OS X Yosemite 10.10.3 sürümü ve Güvenlik Güncellemesi 2015-004'ün güvenlik içeriği hakkında
Bu belgede OS X Yosemite 10.10.3 sürümü ve Güvenlik Güncellemesi 2015-004'ün güvenlik içeriği açıklanmaktadır.
Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz ya da onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi için Apple Ürün Güvenliği web sitesine bakın.
Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.
Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Diğer Güvenlik Güncellemeleri hakkında bilgi için Apple Güvenlik Güncellemeleri başlıklı makaleye bakın.
OS X Yosemite 10.10.3 sürümü ve Güvenlik Güncellemesi 2015-004
Admin Framework
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Bir işleme, uygun kimlik doğrulaması olmadan yönetici ayrıcalıkları kazandırılabilir
Açıklama: XPC yetkilerinin kontrolünde bir sorun vardı. Bu sorun, yetki denetimi iyileştirilerek giderildi.
CVE Kimliği
CVE-2015-1130: TrueSec'ten Emil Kvarnhammar
apache
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Apache'de birden fazla güvenlik açığı
Açıklama: Uzaktaki bir saldırganın rastgele kod yürütmesine izin verebilecek bir güvenlik açığı da dahil olmak üzere Apache'nin 2.4.10 ve 2.2.29 sürümlerinden önceki sürümlerinde birden fazla güvenlik açığı vardı. Bu sorunlar, Apache'nin 2.4.10 ve 2.2.29 sürümlerine güncellenmesiyle giderildi
CVE Kimliği
CVE-2013-5704
CVE-2013-6438
CVE-2014-0098
CVE-2014-0117
CVE-2014-0118
CVE-2014-0226
CVE-2014-0231
ATS
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: fontd'de birden fazla giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorunlar giderildi.
CVE Kimliği
CVE-2015-1131: Google Project Zero'dan Ian Beer
CVE-2015-1132: Google Project Zero'dan Ian Beer
CVE-2015-1133: Google Project Zero'dan Ian Beer
CVE-2015-1134: Google Project Zero'dan Ian Beer
CVE-2015-1135: Google Project Zero'dan Ian Beer
Certificate Trust Policy
Etki: Sertifika Güven Politikası'nın güncellenmesi
Açıklama: Sertifika Güven Politikası güncellendi. Sertifikaların tam listesini görüntüleyin.
CFNetwork HTTPProtocol
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Bir kaynağa ait olan çerezler başka bir kaynağa gönderilebilir
Açıklama: Yönlendirmenin işlenmesinde etki alanları arası bir çerez sorunu vardı. Bir yönlendirme yanıtında ayarlanan çerezler, başka bir kaynağın yönlendirme hedefine geçirilebiliyordu. Bu sorun, yönlendirmelerin işlenmesi iyileştirilerek giderildi.
CVE Kimliği
CVE-2015-1089: Niklas Keller (http://kelunik.com)
CFNetwork Session
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Kimlik doğrulama bilgileri, başka bir kaynaktaki sunucuya gönderilebilir
Açıklama: Yönlendirmenin işlenmesinde etki alanları arası bir HTTP istek başlıkları sorunu vardı. Yönlendirme yanıtında gönderilen HTTP istek başlıkları başka bir kaynağa geçirilebiliyordu. Bu sorun, yönlendirmelerin işlenmesi iyileştirilerek giderildi.
CVE Kimliği
CVE-2015-1091: Diego Torres (http://dtorres.me)
CFURL
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, rastgele kod yürütülmesine neden olabilir
Açıklama: URL'nin işlenmesinde bir giriş doğrulama sorunu vardı. Bu sorun, URL doğrulaması iyileştirilerek giderildi.
CVE Kimliği
CVE-2015-1088: Luigi Galli
CoreAnimation
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, rastgele kod yürütülmesine neden olabilir
Açıklama: CoreAnimation'da, boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardı. Karşılıklı dışlama yönetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1136: Apple
CUPS
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir kullanıcı, kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: CUPS'nin IPP iletilerini işlemesinde, boşaltılan belleğin kullanılmasıyla ilgili bir sorun vardı. Referans sayımı iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1158: Google'dan Neel Mehta
CUPS
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Belirli konfigürasyonlarda, uzaktaki bir saldırgan, rastgele yazdırma görevleri gönderebilir
Açıklama: CUPS web arabiriminde siteler arası betik kullanımı sorunu vardı. Çıkış temizleme işlemi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1159: Google'dan Neel Mehta
FontParser
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi, rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde birden fazla bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.
CVE Kimliği
CVE-2015-1093: Marc Schoenefeld
Graphics Driver
İlgili sürümler: OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: NVDIA grafik sürücüsünün belirli IOService kullanıcı istemcisi türlerini işlemesinde null işaretçi dereferansı vardı. Bu sorun, ek bağlam doğrulaması aracılığıyla giderildi.
CVE Kimliği
CVE-2015-1137: Yahoo Pentest Team'den Frank Graziano ve John Villamil
Hypervisor
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir uygulama, servis reddine neden olabilir
Açıklama: Hypervisor çerçevesinde, giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1138: Izik Eidus ve Alex Fishman
ImageIO
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Kötü amaçlarla oluşturulmuş bir .sgi dosyasını işlemek, rastgele kod yürütülmesine neden olabilir
Açıklama: .sgi dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1139: Apple
IOHIDFamily
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Kötü amaçlı bir HID aygıtı, rastgele kod yürütülmesine neden olabilir
Açıklama: IOHIDFamily API'sinde bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1095: Andrew Church
IOHIDFamily
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily'de arabellek taşması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1140: lokihardt@ASRT, Luca Todesco, Vitaliy Toropov (HP'nin Zero Day Initiative (ZDI) programıyla)
IOHIDFamily
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir kullanıcı, çekirdek belleği düzenini belirleyebilir
Açıklama: IOHIDFamily'de, çekirdek belleği içeriğinin açığa çıkmasına neden olan bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1096: IOActive'den Ilja van Sprundel
IOHIDFamily
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir
Açıklama: IOHIDFamily'nin anahtar eşleşme özelliklerini işlemesinde yığın arabellek taşması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4404: Google Project Zero'dan Ian Beer
IOHIDFamily
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü
Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir
Açıklama: IOHIDFamily'nin anahtar eşleşme özelliklerini işlemesinde null işaretçi dereferansı vardı. Bu sorun, IOHIDFamily anahtar eşleşme özellikleri doğrulamasının geliştirilmesiyle giderildi.
CVE Kimliği
CVE-2014-4405: Google Project Zero'dan Ian Beer
IOHIDFamily
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü
Etki: Bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: IOHIDFamily sürücüsünde sınırların dışında yazma sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-4380: Adlab of Venustech'ten cunzhang
Kernel
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde kapanmasına neden olabilir
Açıklama: Çekirdekteki sanal bellek işlemlerinin işlenmesinde bir sorun vardı. mach_vm okuma işleminin işlenmesi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1141: www.frida.re'den Ole Andre Vadla Ravnas
Kernel
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir kullanıcı, sistemde servis reddine neden olabilir
Açıklama: Çekirdeğin setreuid sistem çağrısında bir yarış durumu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1099: Google Inc.'ten Mark Mentovai
Kernel
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir uygulama, azaltılmış ayrıcalıklarla çalıştırılmak üzere tasarlanan riskli bir servisi kullanarak ayrıcalıkları yükseltebilir
Açıklama: setreuid ve setregid sistem çağrıları, ayrıcalıkları kalıcı olarak düşüremiyordu. Bu sorun, ayrıcalıklar doğru bir şekilde düşürülerek giderildi.
CVE Kimliği
CVE-2015-1117: Google Inc.'ten Mark Mentovai
Kernel
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, kullanıcı trafiğini rastgele sunuculara yönlendirebilir
Açıklama: OS X'te ICMP yönlendirmeleri saptanmış olarak etkindi. ICMP yönlendirmeleri etkisizleştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1103: Zimperium Mobile Security Labs
Kernel
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servisin reddine neden olabilir
Açıklama: TCP başlıklarının işlenmesinde durum tutarsızlığı vardı. Durum işlemesi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1102: Kaspersky Lab'den Andrey Khudyakov ve Maxim Zhuravlev
Kernel
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir
Açıklama: Çekirdekte sınırların dışında bir bellek erişimi sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1100: m00nbsd'den Maxime Villard
Kernel
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Uzaktaki bir saldırgan, ağ filtrelerini atlayabilir
Açıklama: Sistem, uzak ağ arabirimlerindeki bazı IPv6 paketlerine yerel paketler gibi davranıyordu. Bu sorun, söz konusu paketler reddedilerek giderildi.
CVE Kimliği
CVE-2015-1104: Google Security Team'den Stephen Roettger
Kernel
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Çekirdekte bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1101: lokihardt@ASRT (HP'nin Zero Day Initiative programıyla)
Kernel
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir
Açıklama: Bant dışı TCP verilerinin işlenmesinde durum tutarsızlığı sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1105: Sandstorm.io'dan Kenton Varda
LaunchServices
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir kullanıcı, Finder'ın çökmesine neden olabilir
Açıklama: LaunchServices'in uygulama yerelleştirme verilerini işlemesinde, giriş doğrulama sorunu vardı. Yerelleştirme verilerinin doğrulanması iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1142
LaunchServices
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: LaunchServices'in yerelleştirilmiş dizeleri işlemesinde, bir tür karışıklığı sorunu vardı. Ek sınır denetimi ile bu sorun giderildi.
CVE Kimliği
CVE-2015-1143: Apple
libnetcore
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Kötü amaçlarla oluşturulmuş bir konfigürasyon profilini işlemek, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir
Açıklama: Konfigürasyon profillerinin işlenmesinde bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1118: FireEye, Inc.'ten Zhaofeng Chen, Hui Xue, Yulong Zhang ve Tao Wei
ntp
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Uzaktaki bir saldırgan, kimlik doğrulama anahtarlarına güç uygulayabilir
Açıklama: ntpd'deki config_auth işlevi, kimlik doğrulama anahtarı ayarlanmadığında zayıf bir anahtar oluşturuyordu. Anahtar oluşturma iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-9298
OpenLDAP
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Uzaktaki kimliği doğrulanmamış bir istemci, servisin reddine neden olabilir
Açıklama: OpenLDAP'de birden fazla giriş doğrulama sorunu vardı. Giriş doğrulaması iyileştirilerek bu sorunlar giderildi.
CVE Kimliği
CVE-2015-1545: Ryan Tandy
CVE-2015-1546: Ryan Tandy
OpenSSL
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: OpenSSL'de birden fazla güvenlik açığı
Açıklama: OpenSSL 0.9.8zc sürümünde, bir saldırganın aktarım derecesinde şifreleri destekleyen sunucuların bağlantılarını ele geçirmesine izin verebilecek bir sorun da dahil olmak üzere birden fazla güvenlik açığı vardı. OpenSSL 0.9.8zd sürümüne güncellenerek bu sorunlar giderildi.
CVE Kimliği
CVE-2014-3569
CVE-2014-3570
CVE-2014-3571
CVE-2014-3572
CVE-2014-8275
CVE-2015-0204
Open Directory Client
İlgili sürümler: OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Bir parola, OS X Server'dan Open Directory kullanılırken ağ üzerinden şifrelenmeden gönderilebilir
Açıklama: Open Directory istemcisi OS X Server'a bağlanıp OS X Server'ın sertifikalarını yüklemediğinde ve ardından, bu istemcideki bir kullanıcı parolasını değiştirdiğinde parola değiştirme isteği ağ üzerinden şifrelenmeden gönderiliyordu. İstemcinin bu olay için şifreleme talep etmesi sağlanarak bu sorun giderildi.
CVE Kimliği
CVE-2015-1147: Apple
PHP
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: PHP'de birden fazla güvenlik açığı
Açıklama: 5.3.29, 5.4.38 ve 5.5.20 sürümlerinden önceki PHP sürümlerinde rastgele kod yürütülmesine neden olabilecek bir sorun da dahil olmak üzere birden fazla güvenlik açığı vardı. Bu güncelleme, PHP'yi 5.3.29, 5.4.38 ve 5.5.20 sürümlerine güncelleyerek bu sorunları giderir.
CVE Kimliği
CVE-2013-6712
CVE-2014-0207
CVE-2014-0237
CVE-2014-0238
CVE-2014-2497
CVE-2014-3478
CVE-2014-3479
CVE-2014-3480
CVE-2014-3487
CVE-2014-3538
CVE-2014-3587
CVE-2014-3597
CVE-2014-3668
CVE-2014-3669
CVE-2014-3670
CVE-2014-3710
CVE-2014-3981
CVE-2014-4049
CVE-2014-4670
CVE-2014-4698
CVE-2014-5120
QuickLook
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Kötü amaçlarla oluşturulmuş bir iWork dosyasını açmak, rastgele kod yürütülmesine neden olabilir
Açıklama: iWork dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1098: Christopher Hickstein
SceneKit
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü
Etki: Kötü amaçlarla oluşturulmuş bir Collada dosyasını görüntülemek, rastgele kod yürütülmesine neden olabilir
Açıklama: SceneKit'in Collada dosyalarını işlemesinde bir yığın arabellek taşması sorunu vardı. Kötü amaçlarla oluşturulmuş bir Collada dosyasını görüntülemek, rastgele kod yürütülmesine neden olmuş olabilir. Erişimci öğe doğrulaması işlemi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2014-8830: Google Security Team'den Jose Duart
Screen Sharing
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Bir kullanıcının parolası, yerel bir dosyaya kaydedilebilir
Açıklama: Bazı durumlarda Ekran Paylaşma, kullanıcının sistemdeki diğer kullanıcılar tarafından okunamayan parolasını kaydedebilir. Bu sorun, kimlik bilgilerinin günlüğe kaydedilmesi engellenerek giderildi.
CVE Kimliği
CVE-2015-1148: Apple
Secure Transport
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Kötü amaçlarla oluşturulmuş bir X.509 sertifikasını işlemek, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir
Açıklama: X.509 sertifikalarının işlenmesinde null işaretçi dereferansı sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1160: Skycure Security Research'ten Elisha Eshed, Roy Iarchy ve Yair Amit
Security - Code Signing
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Üzerinde değişiklik yapılmış uygulamaların başlatılması engellenemiyor
Açıklama: Özel olarak oluşturulmuş paketler içeren uygulamalar tamamen geçerli bir imza olmadan başlatılabiliyordu. Ek kontroller eklenerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1145
CVE-2015-1146
UniformTypeIdentifiers
İlgili sürümler: OS X Mountain Lion 10.8.5 sürümü, OS X Mavericks 10.9.5 sürümü, OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Tek Tip Tanıtıcılarının işlenmesinde arabellek taşması vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1144: Apple
WebKit
İlgili sürümler: OS X Yosemite 10.10 sürümünden 10.10.2 sürümüne kadar olan sürümler
Etki: Kötü amaçlarla oluşturulmuş bir web sitesini ziyaret etmek, rastgele kod yürütülmesine neden olabilir
Açıklama: WebKit'te bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.
CVE Kimliği
CVE-2015-1069: lokihardt@ASRT (HP'nin Zero Day Initiative programıyla)
Güvenlik Güncellemesi 2015-004 (ilgili sürümler: OS X Mountain Lion 10.8.5 sürümü ve OS X Mavericks 10.9.5 sürümü), Güvenlik Güncellemesi 2015-002'deki CVE-2015-1067'ye yönelik düzeltmenin neden olduğu bir sorunu da giderir. Bu sorun, her sürümdeki Uzaktan Apple Olayları istemcilerinin Uzaktan Apple Olayları sunucusuna bağlanmasını engelliyordu. Saptanmış konfigürasyonlarda Uzak Apple Etkinlikleri etkin değildir.
OS X Yosemite 10.10.3 sürümü, Safari 8.0.5'in güvenlik içeriğini kapsar.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.