OS X El Capitan 10.11'in güvenlik içeriği hakkında

Bu belgede OS X El Capitan 10.11'in güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.

OS X El Capitan v10.11

  • Adres Defteri

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir saldırgan Adres Defteri framework'ünü yükleyen işlemlere rastgele kod yerleştirebilir

    Açıklama: Adres Defteri framework'ünün bir ortam değişkenini işlemesinde sorun vardı. Ortam değişkenlerinin işlenme süreci iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5897: Gotham Digital Science'tan Dan Bastone

  • AirScan

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, güvenli bir bağlantı üzerinden gönderilen eSCL paketlerinden veri ayıklayabilir

    Açıklama: eSCL paketlerinin işlenmesinde sorun vardı. Doğrulama denetimleri iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5853: Anonim bir araştırmacı

  • apache_mod_php

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: PHP'de birden çok güvenlik açığı

    Açıklama: 5.5.27 sürümünden önceki PHP sürümlerinde, uzaktan kod yürütmeye neden olabilecek bir açık dahil birden çok güvenlik açığı vardı. PHP 5.5.27 sürümüne güncellenerek bu sorun giderildi.

    CVE kimliği

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Apple Online Store Kiti

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlı bir uygulama bir kullanıcının anahtar zinciri öğelerine erişebilir

    Açıklama: iCloud anahtar zinciri öğeleri için erişim denetimi listelerinin doğrulanmasında bir sorun vardı. Erişim kontrol listesi denetimleri iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5836: Indiana University'den XiaoFeng Wang, Indiana University'den Luyi Xing, Peking University'den Tongxin Li, Peking University'den Tongxin Li, Tsinghua University'den Xiaolong Bai

  • AppleEvents

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Ekran paylaşımı aracılığıyla bağlı olan bir kullanıcı Apple Etkinliklerini yerel bir kullanıcının oturumuna gönderebilir

    Açıklama: Apple Etkinlik filtrelemesinde bazı kullanıcıların etkinlikleri diğer kullanıcılara göndermesine olanak sağlayan bir sorun vardı. Apple Etkinliklerinin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5849: Jack Lawrence (@_jackhl)

  • Ses

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlı bir ses dosyasının çalınması uygulamanın beklenmedik bir şekilde sona ermesine neden olabilir

    Açıklama: Ses dosyalarının işlenmesinde bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5862: Information Security Lab'den YoungJin Yoon (Danışman: Prof. Taekyoung Kwon), Yonsei University, Seul, Kore

  • bash

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Bash'te birden çok güvenlik açığı

    Açıklama: Bash'in 3.2 yama düzeyi 57'den önceki sürümlerinde birden çok güvenlik açığı vardı. Bash'in 3.2 sürümünün yama düzeyi 57'ye güncellenmesiyle bu sorunlar giderildi.

    CVE kimliği

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • Sertifika Güven Politikası

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Sertifika güven politikasında güncelleme

    Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi şu adreste görüntülenebilir: https://support.apple.com/tr-tr/HT202858.

  • CFNetwork Çerezleri

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, kullanıcının etkinliklerini izleyebilir

    Açıklama: En üst düzeydeki etki alanlarının işlenmesinde etki alanları arası bir çerez sorunu vardı. Çerez oluşturma kısıtlamaları iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5885: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University

  • CFNetwork FTPProtocol

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlı FTP sunucuları, istemcinin diğer ana bilgisayarlarla ilgili bilgi toplamasına neden olabilir

    Açıklama: PASV komutu kullanılırken FTP paketlerinin işlenmesinde sorun vardı. Doğrulama iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5912: Amit Klein

  • CFNetwork HTTPProtocol

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlarla oluşturulmuş bir URL HSTS'yi atlayabilir ve hassas bilgileri sızdırabilir

    Açıklama: HSTS'nin işlenmesinde URL'lerin ayrıştırılmasıyla ilgili bir güvenlik açığı vardı. URL'leri ayrıştırma işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5858: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University

  • CFNetwork HTTPProtocol

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan ağ trafiğini ele geçirebilir

    Açıklama: Safari'nin özel dolaşma modunda HSTS önyükleme listesi girişlerinin işlenmesiyle ilgili bir sorun vardı. Durum işlemesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5859: University of Luxembourg'dan Rosario Giustolisi

  • CFNetwork HTTPProtocol

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlı bir web sitesi, Safari'nin Özel Dolaşma Modu'nu kullanan kullanıcıları izleyebilir

    Açıklama: Safari'nin özel dolaşma modunda HSTS durumunun işlenmesiyle ilgili bir sorun vardı. Durum işlemesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5860: RadicalResearch Ltd'den Sam Greenhalgh

  • CFNetwork Proxy'ler

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlı bir web proxy'sine bağlanılması bir web sitesi için kötü amaçlı çerezler ayarlayabilir

    Açıklama: Proxy bağlantı yanıtlarının işlenmesinde bir sorun vardı. Bağlantı yanıtı ayrıştırılırken ayarlanan çerez başlığı kaldırılarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5841: Blue Lotus Team'den Xiaofeng Zheng, Tsinghua University

  • CFNetwork SSL

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, SSL/TLS bağlantılarına erişim sağlayabilir

    Açıklama: NSURL'de, bir sertifika değiştiğinde oluşan bir sertifika doğrulama sorunu vardı. Sertifika doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5824: The Omni Group'tan Timothy J. Wood

  • CFNetwork SSL

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Bir saldırgan SSL ile korunan verilerin şifresini çözebilir

    Açıklama: RC4'ün gizliliğine yönelik saldırılar olduğu biliniyordu. Bir saldırgan, sunucu daha iyi şifreleri tercih etse bile, CFNetwork yalnızca RC4'e izin veren SSL 3.0'ı deneyinceye kadar TLS 1.0 ve daha yüksek bağlantıları engelleyerek RC4 kullanılmasını zorunlu bırakabilir. SSL 3.0'a geri dönme işlemi kaldırılarak bu sorun giderildi.

  • CoreCrypto

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Bir saldırgan, bir özel anahtarı belirleyebilir

    Açıklama: Bir saldırgan, çok sayıda oturum açma ve şifre çözme girişimini gözlemleyerek RSA özel anahtarını belirleyebiliyordu. Şifreleme algoritmaları iyileştirilerek bu sorun giderildi.

  • CoreText

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Dev Tools

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: dyld'de bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5876: grayhash'ten beist

  • Dev Tools

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Bir uygulama kod imzalamayı atlayabilir

    Açıklama: Çalıştırılabilir dosyaların kod imzasının doğrulanmasında bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5839: @PanguTeam

  • Disk Görüntüleri

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: DiskImages'da bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Bir uygulama kod imzalamayı atlayabilir

    Açıklama: Çalıştırılabilir dosyaların kod imzasının doğrulanmasında bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5839: TaiG Jailbreak Ekibi

  • EFI

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlı bir uygulama bazı sistemlerin başlatılmasını engelleyebilir

    Açıklama: Korumalı adres aralığı kayıtlarındaki adreslerle ilgili bir sorun vardı. Bu sorun korumalı adres aralığı değiştirilerek giderildi.

    CVE kimliği

    CVE-2015-5900: LegbaCore'dan Xeno Kovah ve Corey Kallenberg

  • EFI

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlı bir Apple Ethernet Thunderbolt adaptörü, firmware güncellemesini etkileyebilir

    Açıklama: EFI güncellemesi sırasında bağlanan Apple Ethernet Thunderbolt adaptörleri ana bilgisayarın firmware yazılımını değiştirebiliyordu. Bu sorun, güncellemeler sırasında isteğe bağlı ROM'ların yüklenmemesi sağlanarak giderildi.

    CVE kimliği

    CVE-2015-5914: Two Sigma Investments'tan Trammell Hudson ve snare

  • Finder

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    "Çöpü Güvenli Boşalt" özelliği Çöp Sepeti'ndeki dosyaları güvenli bir şekilde silmeyebilir

    Açıklama: Bazı sistemlerde (Flash depolaması olanlar gibi) Çöp Sepeti'ndeki dosyaların güvenli bir şekilde silinmesinin güvence altına alınmasında bir sorun vardı. "Çöpü Güvenli Boşalt" seçeneği kaldırılarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5901: Apple

  • Game Center

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlı bir Game Center uygulaması bir kullanıcının e-posta adresine erişebilir

    Açıklama: Game Center'ın kullanıcıların e-postalarını işlemesinde bir sorun vardı. Erişim sınırlamaları iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5855: Nasser Alnasser

  • Heimdal

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Bir saldırgan Kerberos kimlik bilgilerini SMB sunucusuna tekrar gönderebilir

    Açıklama: Kerberos kimlik bilgilerinde bir kimlik doğrulaması sorunu vardı. En son görülen kimlik bilgilerinin listesi kullanılarak kimlik bilgilerinde ek doğrulama yapılmasıyla bu sorun giderildi.

    CVE kimliği

    CVE-2015-5913: Microsoft Corporation, ABD'den Tarun Chopra; Microsoft Corporation, Çin'den Yu Fan

  • ICU

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: ICU'da birden fazla güvenlik açığı

    Açıklama: ICU 53.1.0 sürümünden önceki sürümlerde birden fazla güvenlik açığı vardı. ICU sürümünün 55.1'e güncellenmesiyle bu sorunlar giderildi.

    CVE kimliği

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Google Project Zero'dan Mark Brand

  • Install Framework Legacy

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir

    Açıklama: Ayrıcalıklı bir çalıştırılabilir dosya içeren özel Install framework'ünde bir kısıtlama sorunu vardı. Çalıştırılabilir dosya kaldırılarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5888: Apple

  • Intel Grafik Sürücüsü

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Intel Grafik Sürücüsünde birden çok bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-5830: Yuki MIZUNO (@mzyy94)

    CVE-2015-5877: Camillus Gerard Cai

  • IOAudioFamily

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir

    Açıklama: IOAudioFamily'de çekirdek belleği içeriğinin açığa çıkmasına neden olan bir sorun vardı. Çekirdek işaretçilerinin sırası değiştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5864: Luca Todesco

  • IOGraphics

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte birden fazla bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-5871: IOActive'den Ilja van Sprundel

    CVE-2015-5872: IOActive'den Ilja van Sprundel

    CVE-2015-5873: IOActive'den Ilja van Sprundel

    CVE-2015-5890: IOActive'den Ilja van Sprundel

  • IOGraphics

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir

    Açıklama: IOGraphics'te çekirdek belleği düzeninin açığa çıkmasına neden olan bir sorun vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5865: Luca Todesco

  • IOHIDFamily

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOHIDFamily'de birden çok bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-5866: Apple

    CVE-2015-5867: Trend Micro'dan moony li

  • IOStorageFamily

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir saldırgan, çekirdek belleğini okuyabilir

    Açıklama: Çekirdekte bir bellek başlatma sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5863: IOActive'den Ilja van Sprundel

  • Çekirdek

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte birden fazla bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-5868: Alibaba Mobile Security Team'den Cererdlong

    CVE-2015-5896: m00nbsd'den Maxime Villard

    CVE-2015-5903: CESG

  • Çekirdek

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir işlem, yetki denetimleri olmadan diğer işlemleri değiştirebilir

    Açıklama: processor_set_tasks API'sı kullanan kök işlemlerin diğer işlemlerin görev bağlantı noktalarını öğrenmesine olanak veren bir sorun vardı. Ek yetki denetimleri aracılığıyla bu sorun giderildi.

    CVE kimliği

    CVE-2015-5882: Pedro Vilaça, Ming-chieh Pan ve Sung-ting Tsai tarafından gerçekleştirilen özgün araştırma temel alınmıştır; Jonathan Levin

  • Çekirdek

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir saldırgan, kontrol amaçlı yığın çerezlerinin değerini kontrol edebilir

    Açıklama: Kullanıcı alanında kontrol amaçlı yığın çerezlerinin oluşturulmasında birden fazla güvenlik açığı vardı. Kontrol amaçlı yığın çerezlerinin oluşturulma işlemi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2013-3951: Stefan Esser

  • Çekirdek

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Bir saldırgan doğru sıra numarasını bilmeden, hedeflenen TCP bağlantılarında hizmet reddi saldırıları başlatabilir

    Açıklama: xnu'nun TCP paket başlıklarını doğrulamasında bir sorun vardı. TCP paketi başlığı doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5879: Jonathan Looney

  • Çekirdek

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel LAN bölümündeki bir saldırgan IPv6 yönlendirmesini etkisizleştirebilir

    Açıklama: IPv6 yöneltici tanıtımlarının işlenmesinde bir saldırganın, atlama sınırını rastgele bir değere ayarlamasına izin veren bir yetersiz doğrulama sorunu vardı. Minimum atlama sınırı uygulanarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Çekirdek

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir

    Açıklama: Çekirdek bellek içeriğinin açığa çıkmasına neden olan bir sorun vardı. Çekirdek bellek yapılarının başlatılması iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5842: grayhash'ten beist

  • Çekirdek

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir

    Açıklama: Hata ayıklama arabirimlerinde bellek içeriğinin açığa çıkmasına neden olan bir sorun vardı. Hata ayıklama arabirimlerinin çıktısı temizlenerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5870: Apple

  • Çekirdek

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir

    Açıklama: Hata ayıklama işlevinde bir durum yönetimi sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5902: NowSecure Research Team'den Sergi Alvarez (pancake)

  • libc

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

    Açıklama: fflush işlevinde bir bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2014-8611: Norse Corporation'dan Adrian Chadd ve Alfred Perlstein

  • libpthread

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5899: Qihoo 360 Vulcan Team'den Lufeng Li

  • libxpc

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Çok sayıda SSH bağlantısı olması hizmet reddine neden olabilir

    Açıklama: Launchd'de bir ağ bağlantısıyla başlatılabilecek işlem sayısı için sınır yoktu. SSH işlemlerinin sayısı 40 ile sınırlandırılarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5881: Apple

  • Oturum Açma Penceresi

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Belirtilen süreden sonra ekran kilidi devreye girmeyebilir

    Açıklama: Yakalama işlemi yapıldığı sırada ekranların kilitlenmesinde bir sorun vardı. Kilidin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5833: Carlos Moreira, rainer dorau informationsdesign'dan Rainer Dorau, Asynchrony'den Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera ve Jon Hall

  • lukemftpd

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Uzak bir saldırgan FTP sunucusunda hizmet reddine neden olabilir

    Açıklama: tnftpd'de bir glob işleme sorunu vardı. Glob doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5917: cxsecurity.com'dan Maksymilian Arciemowicz

  • Mail

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Bir e-postanın yazdırılmasıyla hassas kullanıcı bilgileri sızdırılabilir

    Açıklama: Mail uygulamasında e-posta yazdırırken kullanıcı tercihlerinin atlanması sorunu vardı. Kullanıcı tercihlerinin uygulanması iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5881: Akamai Technologies'den Owen DeLong, Noritaka Kamiya, Eschenburg, Almanya'dan Dennis Klein, Systim Technology Partners'tan Jeff Hammett

  • Mail

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, Mail Drop aracılığıyla gönderilen S/MIME şifreli e-postaların ilişiklerini ele geçirebilir

    Açıklama: Mail Drop aracılığıyla gönderilen büyük e-posta ilişiklerinin şifreleme parametrelerinin işlenmesinde bir sorun vardı. Şifrelenmiş e-posta gönderirken sunulan Mail Drop seçeneği kaldırılarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5884: Integrated Mapping Ltd'den John McCombs

  • Birden Fazla Eş Bağlantısı

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir saldırgan korunmayan birden fazla eşe ait verileri izleyebilir

    Açıklama: Yardımcı başlatıcı işlenmesinde, şifreleme düzeyinin şifrelenmemiş oturuma etkin bir şekilde düşürülmesine olanak veren bir sorun vardı. Yardımcı başlatıcı şifreleme gerektirecek şekilde değiştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5851: Data Theorem'den Alban Diquet (@nabla_c0d3)

  • NetworkExtension

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir

    Açıklama: Çekirdekteki bir başlatılmamış bellek sorunu, çekirdek bellek içeriğinin açığa çıkmasına neden oluyordu. Belleğin başlatılması iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5831: m00nbsd'den Maxime Villard

  • Notlar

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı, gizli kullanıcı bilgilerini sızdırabilir

    Açıklama: Notlar uygulamasında bağlantıların ayrıştırılmasında bir sorun vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5878: Tripwire VERT'ten Craig Young, anonim araştırmacı

  • Notlar

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı, gizli kullanıcı bilgilerini sızdırabilir

    Açıklama: Notlar uygulamasıyla metin ayrıştırılırken siteler arası bir kodlama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5875: Tencent's Xuanwu LAB'den (www.tencent.com) xisigr

  • OpenSSH

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: OpenSSH'de birden çok güvenlik açığı

    Açıklama: OpenSSH 6.9 sürümünden önceki sürümlerde birden çok güvenlik açığı vardı. Bu sorunlar, OpenSSH sürümünün 6.9'a güncellenmesiyle giderildi.

    CVE kimliği

    CVE-2014-2532

  • OpenSSL

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: OpenSSL'de birden fazla güvenlik açığı

    Açıklama: OpenSSL 0.9.8zg sürümünden önceki sürümlerde birden fazla güvenlik açığı vardı. OpenSSL 0.9.8zg sürümüne güncellenerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Procmail'de birden çok güvenlik açığı

    Açıklama: Procmail 3.22 sürümünden önceki sürümlerde birden çok güvenlik açığı vardı. Bu sorunlar procmail kaldırılarak giderildi.

    CVE kimliği

    CVE-2014-3618

  • remote_cmds

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı kök ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: rsh ikili öğesinin ortam değişkenlerini kullanmasıyla ilgili bir sorun vardı. rsh ikili öğesinin setuid ayrıcalıkları iptal edilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5889: Philip Pettersson

  • removefile

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlı verilerin işlenmesi uygulamanın beklenmedik şekilde sona ermesine neden olabilir

    Açıklama: checkint bölme yordamlarında bir taşma hatası vardı. Bölme yordamları iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5840: Anonim bir araştırmacı

  • Ruby

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Ruby'de birden çok güvenlik açığı

    Açıklama: Ruby 2.0.0p645 sürümünden önceki sürümlerde birden çok güvenlik açığı vardı. Ruby'nin 2.0.0p645 sürümüne güncellenmesiyle bu sorunlar giderildi.

    CVE kimliği

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • Güvenlik

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Anahtar zincirinin kilit durumu kullanıcıya yanlış gösterilebilir

    Açıklama: Anahtar zinciri kilit durumunun izlenme şeklinde bir durum yönetimi sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5915: University of Minnesota'dan Peter Walz, David Ephron, Eric E. Lawrence, Apple

  • Güvenlik

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: İptal denetimi gerektirecek şekilde yapılandırılan bir güven değerlendirmesi, iptal denetimi başarısız olsa bile başarılı olabilir

    Açıklama: kSecRevocationRequirePositiveResponse bayrağı belirtilmesine rağmen uygulanmıyordu. Bayrağın uygulanması sağlanarak bu sorun giderildi.

    CVE kimliği

    CVE-2015-5894: kWallet GmbH'den Hannes Oud

  • Güvenlik

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Bir uzak sunucu kendini tanıtmadan önce sertifika isteyebilir

    Açıklama: Güvenli Aktarım ServerKeyExchange iletisinden önce CertificateRequest iletisini kabul ediyordu. ServerKeyExchange iletisinin önce istenmesiyle bu sorun giderildi.

    CVE kimliği

    CVE-2015-5887: INRIA Paris-Rocquencourt'tan Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti ve Jean Karim Zinzindohoue; Microsoft Research'ten Cedric Fournet ve Markulf Kohlweiss; IMDEA Software Institute'ten Pierre-Yves Strub

  • SMB

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Çekirdekte bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5891: IOActive'den Ilja van Sprundel

  • SMB

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir

    Açıklama: SMBClient'ta çekirdek belleği içeriğinin açığa çıkmasına neden olan bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5893: IOActive'den Ilja van Sprundel

  • SQLite

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: SQLite 3.8.5'te birden fazla güvenlik açığı

    Açıklama: SQLite 3.8.5'te birden fazla güvenlik açığı vardı. Bu sorunlar SQLite sürümü 3.8.10.2'ye güncellenerek giderildi.

    CVE kimliği

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • Telefon

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir saldırgan, Devamlılık kullanırken kullanıcının bilgisi olmadan telefon görüşmesi yapabilir

    Açıklama: Telefon görüşmeleri yapılırken kullanılan yetkilendirme denetimlerinde bir sorun vardı. Yetkilendirme denetimleri iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-3785: Gotham Digital Science'tan Dan Bastone

  • Terminal

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlarla oluşturulmuş metinler Terminal'de kullanıcıyı yanıltabilir

    Açıklama: Terminal çift yönlü geçersiz kılma karakterlerini metin görüntülerken ve metin seçerken aynı şekilde işlemiyordu. Terminal'de çift yönlü geçersiz kılma karakterleri engellenerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5883: Lukas Schauer (@lukas2511)

  • tidy

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi rastgele kod yürütülmesine neden olabilir

    Açıklama: Tidy'de'de birden çok bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE kimliği

    CVE-2015-5522: NULLGroup.com'dan Fernando Muñoz

    CVE-2015-5523: NULLGroup.com'dan Fernando Muñoz

  • Time Machine

    İlgili sürümler: Mac OS X 10.6.8 ve sonraki sürümler

    Etki: Yerel bir saldırgan anahtar zinciri öğelerine erişebilir

    Açıklama: Time Machine framework'ü tarafından yapılan yedeklemelerde sorun vardı. Time Machine yedeklemelerinin kapsamı iyileştirilerek bu sorun giderildi.

    CVE kimliği

    CVE-2015-5854: Assured AB'den Jonas Magazinius

Not: OS X El Capitan 10.11, Safari 9'un güvenlik içeriğini içerir.

 

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: