OS X Yosemite v10.10.4 ve Güvenlik Güncellemesi 2015-005'in güvenlik içeriği hakkında

Bu belgede OS X Yosemite v10.10.4 ve Güvenlik Güncellemesi 2015-005'in güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla tam bir inceleme gerçekleştirilip gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Mümkün olduğunda daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.

OS X Yosemite v10.10.4 ve Güvenlik Güncellemesi 2015-005

  • Yönetici Çerçevesi

    İlgili İşletim Sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: İşlem, uygun kimlik doğrulaması olmadan yönetici ayrıcalıkları kazanabilir

    Açıklama: XPC yetkilerinin kontrolünde sorun vardı. Bu sorun, yetkilerin kontrolü iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3671: TrueSec'ten Emil Kvarnhammar

  • Yönetici Çerçevesi

    İlgili İşletim Sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Yönetici olmayan kullanıcı yönetici hakları elde edebilir

    Açıklama: Kullanıcı kimlik doğrulamasının işlenmesinde sorun vardı. Bu sorun, hata kontrolü iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3672: TrueSec'ten Emil Kvarnhammar

  • Yönetici Çerçevesi

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Saldırgan, kök ayrıcalıkları kazanmak için Dizin İzlencesi'ni kötüye kullanabilir

    Açıklama: Dizin İzlencesi yetkili bir işlemde kod yürütülebilmesi için taşınabiliyor ve değiştirilebiliyordu. Bu sorun, writeconfig istemcilerinin yürütülebileceği disk konumu sınırlandırılarak giderildi.

    CVE kimliği

    CVE-2015-3673: Synack'ten Patrick Wardle, TrueSec'ten Emil Kvarnhammar

  • afpserver

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: AFP sunucusunda bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3674: NCC Group'tan Dean Jerkovich

  • apache

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Saldırgan, doğru kimlik bilgilerinin bilmeden HTTP kimlik doğrulamasıyla korunan dizinlere erişebilir

    Açıklama: Varsayılan Apache konfigürasyonunda mod_hfs_apple yoktu. Apache elle etkinleştirildiyse ve konfigürasyon değiştirilmediyse erişilebilir olmaması gereken bazı dosyalar özel olarak oluşturulmuş bir URL kullanılarak erişilebilir hale getirilmiş olabilir. Bu sorun, mod_hfs_apple etkinleştirilerek giderildi.

    CVE kimliği

    CVE-2015-3675: Apple

  • apache

    İlgili İşletim Sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: PHP'de birden çok güvenlik açığı vardı ve bunların en ciddi olanı rastgele kod yürütülmesine neden olabiliyordu

    Açıklama: PHP'nin 5.5.24 ve 5.4.40'tan önceki sürümlerinde birden çok güvenlik açığı vardı. Bu güvenlik açıkları PHP 5.5.24 ve 5.4.40 sürümlerine güncellenerek giderildi.

    CVE kimliği

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama çekirdek belleği düzenini belirleyebilir

    Açıklama: AppleGraphicsControl'de çekirdek belleği düzeninin açığa çıkmasına neden olan bir sorun vardı. Bu sorun, sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3676: KEEN Team'den Chen Liang

  • AppleFSCompression

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama çekirdek belleği düzenini belirleyebilir

    Açıklama: LZVN sıkıştırmada çekirdek belleği içeriğinin açığa çıkmasına neden olabilen bir sorun vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3677: HP Zero Day Initiative ile birlikte çalışan anonim bir araştırmacı

  • AppleThunderboltEDMService

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Yerel işlemlerdeki belirli Thunderbolt komutlarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3678: Apple

  • ATS

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Belirli fontların işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3679: HP Zero Day Initiative ile birlikte çalışan Pawel Wylecial

    CVE-2015-3680: HP Zero Day Initiative ile birlikte çalışan Pawel Wylecial

    CVE-2015-3681: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3682: 魏诺德

  • Bluetooth

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Bluetooth HCI arabiriminde bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3683: Emaze Networks'ten Roberto Paleari ve Aristide Fattori

  • Sertifika Güven Politikası

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan ağ trafiğini ele geçirebilir

    Açıklama: Sertifika otoritesi CNNIC tarafından yanlışlıkla bir ara sertifika veriliyordu. Bu sorun, yalnızca ara sertifikanın yanlışlıkla düzenlenmesinden önce düzenlenen sertifikaların bir alt kümesine güvenmek üzere bir mekanizma eklenmesiyle giderildi. Güvenlik için kısmi güvenme izin listesi hakkında daha fazla bilgi edinin.

  • Sertifika Güven Politikası

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi OS X Güvenilir Depo bölümünde yer almaktadır.

  • CFNetwork HTTPAuthentication

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir URL'nin izlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: Belirli URL kimlik bilgilerinin işlenmesinde bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3684: Apple

  • CoreText

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Metin dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar, sınırların kontrolü iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689: Apple

  • coreTLS

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, SSL/TLS bağlantılarına erişim sağlayabilir

    Açıklama: coreTLS, dışarı aktarım gücündeki kısa ömürlü DH şifre paketleri kullanan kısa ömürlü Diffie-Hellman (DH) anahtarlarını kabul ediyordu. Logjam olarak da bilinen bu sorun, ayrıcalıklı ağ konumuna sahip bir saldırganın sunucunun dışarı aktarım gücündeki kısa ömürlü DH şifre paketleri desteklemesi durumunda güvenliği 512 bit DH Düzeyine düşürmesine izin verdi. Sorun, kısa ömürlü DH anahtarları için izin verilen minimum varsayılan boyut 768 bit'e yükseltilerek giderildi.

    CVE kimliği

    CVE-2015-4000: weakdh.org'da weakdh ekibi, Hanno Boeck

  • DiskImages

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama çekirdek belleği düzenini belirleyebilir

    Açıklama: Disk görüntülerinin işlenmesinde bilgilerin açığa çıkması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3690: HP Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • Ekran Sürücüleri

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: İzleme Denetimi Komut Kümesi çekirdek uzantısında, bir kullanıcı alanı işlemine çekirdekte bulunan işlev işaretçisinin değerini denetleyebilmesi olanağı veren bir sorun vardı. Bu sorun, etkilenen arabirim kaldırılarak giderildi.

    CVE kimliği

    CVE-2015-3691: Emaze Networks'ten Roberto Paleari ve Aristide Fattori

  • EFI

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kök ayrıcalıkları olan kötü amaçlı bir uygulama EFI flaş bellekte değişiklik yapabilir

    Açıklama: EFI flash bellekte uyku durumundan çıkıp çalışmaya başladığında yetersiz kilitleme sorunu vardı. Bu sorun, kilitlenme iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3692: Two Sigma Investments'tan Trammell Hudson, LegbaCore LLC'den Xeno Kovah ve Corey Kallenberg, Pedro Vilaça

  • EFI

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama ayrıcalıkları yönlendirmek için bellek bozulmasına neden olabilir

    Açıklama: DDR3 RAM'de bellek bozulmasına neden olmuş olabilecek, Rowhammer olarak da bilinen bir bozulma hatası vardı. Bu sorun, bellek yenileme hızları artırılarak hafifletildi.

    CVE kimliği

    CVE-2015-3693: Google'dan Mark Seaborn ve Thomas Dullien, Yoongu Kim ve ark. (2014) tarafından yapılan orijinal araştırmadan

  • FontParser

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Team

  • Grafik Sürücü

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: NVIDIA grafik sürücüsünde sınırların dışında yazma sorunu vardı. Bu sorun, sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3712: Google Project Zero'dan Ian Beer

  • Intel Grafik Sürücüsü

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Intel grafik sürücüsünde birden çok arabellek taşması sorunu var ve bunların en ciddi olanı sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir

    Açıklama: Intel grafik sürücüsünde birden çok arabellek taşması sorunu vardı. Bu sorunlar, ek sınır kontrolüyle giderildi.

    CVE kimliği

    CVE-2015-3695: Google Project Zero'dan Ian Beer

    CVE-2015-3696: Google Project Zero'dan Ian Beer

    CVE-2015-3697: Google Project Zero'dan Ian Beer

    CVE-2015-3698: Google Project Zero'dan Ian Beer

    CVE-2015-3699: Google Project Zero'dan Ian Beer

    CVE-2015-3700: Google Project Zero'dan Ian Beer

    CVE-2015-3701: Google Project Zero'dan Ian Beer

    CVE-2015-3702: KEEN Team

  • ImageIO

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: libtiff'de birden çok güvenlik açığı vardı ve bunların en ciddi olanı rastgele kod yürütülmesine neden olabiliyordu

    Açıklama: libtiff'in 4.0.4'ten önceki sürümlerinde birden çok güvenlik açığı vardı. Bu güvenlik açıkları libtiff 4.0.4 sürümüne güncellenerek giderildi.

    CVE kimliği

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir .tiff dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: .tiff dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3703: Apple

  • Install Framework Legacy

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Install.framework 'runner' setuid binary'nin ayrıcalıkları bırakmasıyla ilgili çeşitli sorunlar vardı. Bu sorunlar, ayrıcalıklar doğru bir şekilde bırakılarak giderildi.

    CVE kimliği

    CVE-2015-3704: Google Project Zero'dan Ian Beer

  • IOAcceleratorFamily

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOAcceleratorFamily'de birden çok bellek bozulması sorunu vardı. Bu sorunlar, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3705: KEEN Team

    CVE-2015-3706: KEEN Team

  • IOFireWireFamily

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: FireWire sürücüsünde birden çok null işaretçi başvurusu sorunu vardı. Bu sorunlar, hata kontrolü iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3707: Emaze Networks'ten Roberto Paleari ve Aristide Fattori
  • Çekirdek

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama çekirdek belleği düzenini belirleyebilir

    Açıklama: Çekirdek uzantılarıyla ilgili API'lerin işlenmesinde çekirdek belleği düzeninin açığa çıkmasına neden olan bir bellek yönetimi sorun vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3720: Stefan Esser
  • Çekirdek

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama çekirdek belleği düzenini belirleyebilir

    Açıklama: HFS parametrelerinin işlenmesinde çekirdek belleği düzeninin açığa çıkmasına neden olan bir bellek yönetimi sorun vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3721: Google Project Zero'dan Ian Beer
  • kext araçları

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir

    Açıklama: kextd yeni bir dosya oluştururken sembolik bağlantıları izliyordu. Bu sorun, sembolik bağlantıların işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3708: Google Project Zero'dan Ian Beer

  • kext araçları

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Yerel bir kullanıcı imzalanmamış çekirdek uzantıları yükleyebilir

    Açıklama: Çekirdek uzantılarının yolları doğrulanırken kontrol zamanı - kullanım zamanı (TOCTOU) yarışma durumu sorunu vardı. Bu sorun, çekirdek uzantılarının yolunu doğrulamak için yapılan kontrollerin iyileştirilmesiyle giderildi.

    CVE kimliği

    CVE-2015-3709: Google Project Zero'dan Ian Beer

  • Mail

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir e-posta mesajı görüntülendiğinde mesaj içeriğini rastgele bir web sayfasıyla değiştirebilir

    Açıklama: HTML e-posta desteğinde mesaj içeriğinin rastgele bir web sayfasıyla yenilenmesine olanak sağlayan bir sorun vardı. Bu sorun, HTML içeriğine verilen destek sınırlandırılarak giderildi.

    CVE kimliği

    CVE-2015-3710: vtty.com'dan Aaron Sigel, Jan Souček

  • ntfs

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama çekirdek belleği düzenini belirleyebilir

    Açıklama: NTFS'de çekirdek belleği içeriğinin açığa çıkmasına neden olan bir sorun vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3711: HP Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • ntp

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Ayrıcalıklı konuma sahip saldırgan iki ntp istemcisine karşı servis reddi saldırısı gerçekleştirebilir

    Açıklama: Yapılandırılmış uç noktalar tarafından alınan ntp paketlerinin kimlik doğrulama işleminde birden çok sorun vardı. Bu sorunlar, bağlantı durumu yönetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: OpenSSL'de, aktarım derecesinde şifreleri destekleyen bir sunucuya bağlantıları engelleyen bir saldırgana izin verebilecek güvenlik açığı da dahil birden çok sorun var

    Açıklama: OpenSSL 0.9.8zd'deki birden çok sorun, OpenSSL 0.9.8zf sürümüne güncellenerek giderildi.

    CVE kimliği

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: QuickTime'da birden çok bellek bozulması sorunu tespit edildi. Bu sorunlar, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3661: HP Zero Day Initiative ile birlikte çalışan G. Geshev

    CVE-2015-3662: HP Zero Day Initiative ile birlikte çalışan kdot

    CVE-2015-3663: HP Zero Day Initiative ile birlikte çalışan kdot

    CVE-2015-3666: HP Zero Day Initiative ile birlikte çalışan Source Incite'dan Steven Seeley

    CVE-2015-3667: Ryan Pentney, Cisco Talos'tan Richard Johnson ve Fortinet's FortiGuard Labs'den Kai Lu

    CVE-2015-3668: Fortinet FortiGuard Labs'den Kai Lu

    CVE-2015-3713: Apple

  • Güvenlik

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: S/MIME e-postaların ve diğer imzalanmış veya şifrelenmiş bazı nesnelerin ayrıştırılmasında kullanılan Güvenlik çerçevesi kodunda tam sayı taşması sorunu vardı. Bu sorun, doğrulama kontrolü iyileştirilerek giderildi.

    CVE kimliği

    CVE-2013-1741

  • Güvenlik

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Üzerinde değişiklik yapılmış uygulamaların başlatılması engellenemiyordu

    Açıklama: Özel kaynak kuralları kullanan uygulamalar, imzayı geçersiz kılmayan müdahalelere karşı savunmasızdı. Bu sorun, kaynak doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3714: Leviathan Security Group'tan Joshua Pitts

  • Güvenlik

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama kod imzalama kontrollerini atlayabilir

    Açıklama: Kod imzalamasının uygulama paketinin dışında yüklenen arşivleri doğrulamaması sorunu vardı. Bu sorun, paket doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3715: Synack'ten Patrick Wardle

  • Spotlight

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Spotlight'la kötü amaçlı bir dosyanın aranması komut enjeksiyonuna yol açabilir

    Açıklama: Yerel fotoğraf arşivine eklenen fotoğrafların dosya adlarının işlenmesinde komut enjeksiyonu güvenlik açığı vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3716: Apple

  • SQLite

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: SQLite'ın printf uygulamasında birden çok arabellek taşması vardı. Bu sorunlar, sınırların kontrolü iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3717: HP Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • SQLite

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir SQL komutu uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: SQLite işlevinde API sorunu vardı. Bu sorun, sınırlandırmalar iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-7036: HP Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • System Stats

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama systemstatsd'i tehlikeye atabilir

    Açıklama: systemstatsd'nin işlemler arası iletişimi işlemesinde tür karışıklığı sorunu vardı. Systemstatsd'ye kötü amaçlı olarak biçimlendirilmiş bir mesaj gönderilmesiyle systemstatsd işlemi olarak rastgele kod yürütmek mümkün olabiliyordu. Sorun, ek tür kontrolüyle giderildi.

    CVE kimliği

    CVE-2015-3718: Emaze Networks'ten Roberto Paleari ve Aristide Fattori

  • TrueTypeScaler

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Team

  • zip

    İlgili işletim sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir sıkıştırılmış dosyayı sıkıştırma açma aracını kullanarak açmak, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Sıkıştırılmış dosyaların işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

OS X Yosemite 10.10.4, Safari 8.0.7'nin güvenlik içeriğini içerir.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: