关于 OS X El Capitan v10.11 的安全性内容

本文介绍了 OS X El Capitan v10.11 的安全性内容。

为保护我们的客户,在没有进行详尽调查并推出任何必要的修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

Where possible, CVE IDs are used to reference the vulnerabilities for further information.

要了解其他安全性更新,请参阅“Apple 安全性更新”。

OS X El Capitan v10.11

  • 地址簿

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地攻击者或许能够向加载“地址簿”框架的进程中注入任意代码

    描述:“地址簿”框架在处理环境变量时存在问题。已通过改进环境变量处理解决这个问题。

    CVE-ID

    CVE-2015-5897 : Dan Bastone of Gotham Digital Science

  • AirScan

    适用于:Mac OS X v10.6.8 和更高版本

    影响:拥有特权网络地位的攻击者或许能够从通过安全连接发送的 eSCL 数据包中提取有效负载

    描述:处理 eSCL 数据包时存在问题。已通过改进验证检查解决这个问题。

    CVE-ID

    CVE-2015-5853 : an anonymous researcher

  • apache_mod_php

    适用于:Mac OS X v10.6.8 和更高版本

    影响:PHP 中存在多个漏洞

    描述:版本低于 5.5.27 的 PHP 中存在多个漏洞,包括可能会导致远程代码执行的漏洞。已通过将 PHP 更新到 5.5.27 版来解决这个问题。

    CVE-ID

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Apple Store 在线商店套件

    适用于:Mac OS X v10.6.8 和更高版本

    影响:恶意应用程序可以获得用户钥匙串项目的访问权限

    描述:验证 iCloud 钥匙串项目的访问控制列表时存在问题。已通过改进访问控制列表检查来解决这个问题。

    CVE-ID

    CVE-2015-5836 : XiaoFeng Wang of Indiana University, Luyi Xing of Indiana University, Tongxin Li of Peking University, Tongxin Li of Peking University, Xiaolong Bai of Tsinghua University

  • AppleEvents

    适用于:Mac OS X v10.6.8 和更高版本

    影响:通过屏幕共享连接的用户可向本地用户的会话发送 Apple 事件

    描述:过滤 Apple 事件时存在问题,所以某些用户能向其他用户发送事件。已通过改进 Apple 事件处理解决这个问题。

    CVE-ID

    CVE-2015-5849 : Jack Lawrence (@_jackhl)

  • 音频

    适用于:Mac OS X v10.6.8 和更高版本

    影响:播放恶意音频文件可能会导致应用程序意外终止

    描述:处理音频文件时存在内存损坏问题。已通过改进内存处理解决这个问题。

    CVE-ID

    CVE-2015-5862 : YoungJin Yoon of Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea

  • bash

    适用于:Mac OS X v10.6.8 和更高版本

    影响:bash 中存在多个漏洞

    描述:版本低于 3.2 补丁级别 57 的 bash 中存在多个漏洞。已通过将 bash 3.2 版更新到补丁级别 57 来解决这些问题。

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • 证书信任策略

    适用于:Mac OS X v10.6.8 和更高版本

    影响:证书信任策略更新

    说明:更新了证书信任策略。有关完整的证书列表,可查看 https://support.apple.com/zh-cn/HT202858

  • CFNetwork Cookie

    适用于:Mac OS X v10.6.8 和更高版本

    影响:拥有特权网络地位的攻击者可以跟踪用户的活动

    描述:处理顶级域时存在跨域 Cookie 问题。已通过改进 Cookie 创建操作的相关限制来解决这个问题。

    CVE-ID

    CVE-2015-5885 : Xiaofeng Zheng of Blue Lotus Team, Tsinghua University

  • CFNetwork FTPProtocol

    适用于:Mac OS X v10.6.8 和更高版本

    影响:恶意 FTP 服务器或许能够导致客户端在其他主机上实施侦察

    描述:使用 PASV 命令处理 FTP 数据包时存在问题。已通过改进验证解决这个问题。

    CVE-ID

    CVE-2015-5912 : Amit Klein

  • CFNetwork HTTPProtocol

    适用于:Mac OS X v10.6.8 和更高版本

    影响:恶意制作的 URL 或许能够绕过 HSTS 协议并造成敏感数据泄漏

    描述:处理 HSTS 时存在 URL 解析漏洞。已通过改进 URL 解析解决这个问题。

    CVE-ID

    CVE-2015-5858 : Xiaofeng Zheng of Blue Lotus Team, Tsinghua University

  • CFNetwork HTTPProtocol

    适用于:Mac OS X v10.6.8 和更高版本

    影响:拥有特权网络地位的攻击者或许能够拦截网络流量

    描述:在“Safari 浏览器”无痕浏览模式下处理 HSTS 预加载列表条目时存在问题。已通过改进状态处理解决这个问题。

    CVE-ID

    CVE-2015-5859 : Rosario Giustolisi of University of Luxembourg

  • CFNetwork HTTPProtocol

    适用于:Mac OS X v10.6.8 和更高版本

    影响:恶意网站或许能够在“Safari 浏览器”无痕浏览模式下跟踪用户

    描述:在“Safari 浏览器”无痕浏览模式下处理 HSTS 状态时存在问题。已通过改进状态处理解决这个问题。

    CVE-ID

    CVE-2015-5860 : Sam Greenhalgh of RadicalResearch Ltd

  • CFNetwork 代理

    适用于:Mac OS X v10.6.8 和更高版本

    影响:连接到恶意 Web 代理可能会导致网站被设置恶意 Cookie

    描述:处理代理连接响应时存在问题。已通过移除解析连接响应时的 set-cookie 标头来解决这个问题。

    CVE-ID

    CVE-2015-5841 : Xiaofeng Zheng of Blue Lotus Team, Tsinghua University

  • CFNetwork SSL

    适用于:Mac OS X v10.6.8 和更高版本

    影响:拥有特权网络地位的攻击者可能会拦截 SSL/TLS 连接

    描述:当证书发生变化时,NSURL 中存在证书验证问题。已通过改进证书验证解决这个问题。

    CVE-ID

    CVE-2015-5824 : Timothy J. Wood of The Omni Group

  • CFNetwork SSL

    适用于:Mac OS X v10.6.8 和更高版本

    影响:攻击者或许能够解密受 SSL 保护的数据

    描述:存在与 RC4 机密性有关的已知攻击。攻击者可能会强制使用 RC4(即使服务器采用更加安全的密码作为首选项,也是如此),具体的方法是:阻止 TLS 1.0 及更高版本的连接,直到 CFNetwork 尝试只允许 RC4 的 SSL 3.0。已通过移除至 SSL 3.0 的回退解决这个问题。

  • CoreCrypto

    适用于:Mac OS X v10.6.8 和更高版本

    影响:攻击者或许能够确定私钥

    描述:通过观察大量签名或解密尝试,攻击者或许能够确定 RSA 私钥。已通过使用改进的加密算法来解决这个问题。

  • CoreText

    适用于:Mac OS X v10.6.8 和更高版本

    影响:处理恶意制作的字体文件可能会导致任意代码执行

    描述:处理字体文件时存在内存损坏问题。已通过改进输入验证解决这个问题。

    CVE-ID

    CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team

  • 开发者工具

    适用于:Mac OS X v10.6.8 和更高版本

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:dyld 中存在内存损坏问题。已通过改进内存处理解决这个问题。

    CVE-ID

    CVE-2015-5876 : beist of grayhash

  • 开发者工具

    适用于:Mac OS X v10.6.8 和更高版本

    影响:应用程序或许能够绕开代码签名

    描述:验证可执行文件的代码签名时存在问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2015-5839 : @PanguTeam

  • 磁盘映像

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够以系统权限执行任意代码

    描述:DiskImages 中存在内存损坏问题。已通过改进内存处理解决这个问题。

    CVE-ID

    CVE-2015-5847 : Filippo Bigarella, Luca Todesco

  • dyld

    适用于:Mac OS X v10.6.8 和更高版本

    影响:应用程序或许能够绕开代码签名

    描述:验证可执行文件的代码签名时存在问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2015-5839 : TaiG Jailbreak Team

  • EFI

    适用于:Mac OS X v10.6.8 和更高版本

    影响:恶意应用程序可以阻止某些系统启动

    描述:受保护的范围寄存器所涵盖的地址存在问题。已通过更改保护范围解决这个问题。

    CVE-ID

    CVE-2015-5900 : Xeno Kovah & Corey Kallenberg from LegbaCore

  • EFI

    适用于:Mac OS X v10.6.8 和更高版本

    影响:恶意 Apple 以太网雷雳转换器或许能够影响固件刷新

    描述:如果在 EFI 更新期间进行连接,Apple 以太网雷雳转换器可能会修改主机固件。已通过在更新期间不加载 ROM 选件来解决这个问题。

    CVE-ID

    CVE-2015-5914 : Trammell Hudson of Two Sigma Investments and snare

  • 访达

    适用于:Mac OS X v10.6.8 和更高版本

    影响:“安全清倒废纸篓”功能可能无法安全地删除废纸篓中的文件

    描述:部分系统(比如配有闪存的系统)存在问题,它们无法保证安全删除“废纸篓”中的文件。已通过移除“安全清倒废纸篓”选项解决这个问题。

    CVE-ID

    CVE-2015-5901 : Apple

  • Game Center

    适用于:Mac OS X v10.6.8 和更高版本

    影响:恶意 Game Center 应用程序或许能够访问玩家的电子邮件地址

    描述:Game Center 在处理玩家的电子邮件时存在问题。已通过改进访问限制解决这个问题。

    CVE-ID

    CVE-2015-5855 : Nasser Alnasser

  • Heimdal

    适用于:Mac OS X v10.6.8 和更高版本

    影响:攻击者或许能够向 SMB 服务器重新播放 Kerberos 凭证

    描述:Kerberos 凭证存在鉴定问题。已通过使用含有最近所用凭证的列表对凭证进行额外验证来解决这个问题。

    CVE-ID

    CVE-2015-5913 : Tarun Chopra of Microsoft Corporation, U.S. and Yu Fan of Microsoft Corporation, China

  • ICU

    适用于:Mac OS X v10.6.8 和更高版本

    影响:ICU 中存在多个漏洞

    描述:版本低于 53.1.0 的 ICU 中存在多个漏洞。已通过将 ICU 更新到 55.1 版来解决这些问题。

    CVE-ID

    CVE-2014-8146 : Marc Deslauriers

    CVE-2014-8147 : Marc Deslauriers

    CVE-2015-5922 : Mark Brand of Google Project Zero

  • 安装传统框架

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够获得根权限

    描述:安装包含特权可执行文件的专用框架时存在访问限制问题。已通过移除这个可执行文件来解决这个问题。

    CVE-ID

    CVE-2015-5888 : Apple

  • Intel 图形卡驱动程序

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够以系统权限执行任意代码

    描述:Intel 图形卡驱动程序中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5830 : Yuki MIZUNO (@mzyy94)

    CVE-2015-5877 : Camillus Gerard Cai

  • IOAudioFamily

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够确定内核内存布局

    描述:IOAudioFamily 中存在会导致内核内存内容泄露的问题。已通过置换内核指针解决这个问题。

    CVE-ID

    CVE-2015-5864 : Luca Todesco

  • IOGraphics

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够以内核权限执行任意代码

    描述:内核中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5871 : Ilja van Sprundel of IOActive

    CVE-2015-5872 : Ilja van Sprundel of IOActive

    CVE-2015-5873 : Ilja van Sprundel of IOActive

    CVE-2015-5890 : Ilja van Sprundel of IOActive

  • IOGraphics

    适用于:Mac OS X v10.6.8 和更高版本

    影响:恶意应用程序或许能够确定内核内存布局

    描述:IOGraphics 中存在可能会导致内核内存布局泄漏的问题。已通过改进内存管理解决这个问题。

    CVE-ID

    CVE-2015-5865 : Luca Todesco

  • IOHIDFamily

    适用于:Mac OS X v10.6.8 和更高版本

    影响:恶意应用程序或许能够以系统权限执行任意代码

    描述:IOHIDFamily 中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5866 : Apple

    CVE-2015-5867 : moony li of Trend Micro

  • IOStorageFamily

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地攻击者或许能够读取内核内存

    描述:内核中存在内存初始化问题。已通过改进内存处理解决这个问题。

    CVE-ID

    CVE-2015-5863 : Ilja van Sprundel of IOActive

  • 内核

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够以内核权限执行任意代码

    描述:内核中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5868 : Cererdlong of Alibaba Mobile Security Team

    CVE-2015-5896 : Maxime Villard of m00nbsd

    CVE-2015-5903 : CESG

  • 内核

    适用于:Mac OS X v10.6.8 和更高版本

    影响:某个本地进程能在未经过授权检查的情况下修改其他进程

    描述:使用 processor_set_tasks API 的根进程存在问题,它们可以检索其他进程的任务端口。已通过额外授权检查解决这个问题。

    CVE-ID

    CVE-2015-5882 : Pedro Vilaça, working from original research by Ming-chieh Pan and Sung-ting Tsai; Jonathan Levin

  • 内核

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地攻击者可以控制堆栈 Cookie 的值

    描述:生成用户空间堆栈 Cookie 时存在多个漏洞。已通过改进堆栈 Cookie 的生成来解决这些问题。

    CVE-ID

    CVE-2013-3951 : Stefan Esser

  • 内核

    适用于:Mac OS X v10.6.8 和更高版本

    影响:攻击者或许能在不知道正确序号的情况下有针对性地对 TCP 连接发动拒绝服务攻击

    描述:在 xnu 验证 TCP 包头时存在问题。已通过改进 TCP 包头验证解决这个问题。

    CVE-ID

    CVE-2015-5879 : Jonathan Looney

  • 内核

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地 LAN 区段中的攻击者可停用 IPv6 路由

    描述:处理 IPv6 路由器通告时存在验证不充分问题,致使攻击者能够将跃点限制设置为任意值。已通过强制采用最小跃点限制解决这个问题。

    CVE-ID

    CVE-2015-5869 : Dennis Spindel Ljungmark

  • 内核

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够确定内核内存布局

    描述:存在会导致内核内存布局泄露的问题。已通过改进内核内存结构初始化解决这个问题。

    CVE-ID

    CVE-2015-5842 : beist of grayhash

  • 内核

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够确定内核内存布局

    描述:调试接口中存在会导致内存内容泄露的问题。已通过从调试接口中清理输出来解决这个问题。

    CVE-ID

    CVE-2015-5870 : Apple

  • 内核

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够导致服务遭系统拒绝

    描述:调试功能中存在状态管理问题。已通过改进验证解决这个问题。

    CVE-ID

    CVE-2015-5902 : Sergi Alvarez (pancake) of NowSecure Research Team

  • libc

    适用于:Mac OS X v10.6.8 和更高版本

    影响:远程攻击者或许能够导致任意代码执行

    描述:fflush 函数中存在内存损坏问题。已通过改进内存处理解决这个问题。

    CVE-ID

    CVE-2014-8611 : Adrian Chadd and Alfred Perlstein of Norse Corporation

  • libpthread

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够以内核权限执行任意代码

    描述:内核中存在内存损坏问题。已通过改进内存处理解决这个问题。

    CVE-ID

    CVE-2015-5899 : Lufeng Li of Qihoo 360 Vulcan Team

  • libxpc

    适用于:Mac OS X v10.6.8 和更高版本

    影响:很多 SSH 连接都可能会导致服务遭拒

    描述:launchd 没有限定网络连接可以启动的进程数量。已通过将 SSH 进程数量限制为 40 来解决这个问题。

    CVE-ID

    CVE-2015-5881 : Apple

  • 登录窗口

    适用于:Mac OS X v10.6.8 和更高版本

    影响:屏幕可能无法按照指定的时间锁定

    描述:捕获的显示屏锁定操作存在问题。已通过改进锁定处理解决这个问题。

    CVE-ID

    CVE-2015-5833 : Carlos Moreira, Rainer Dorau of rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera, and Jon Hall of Asynchrony

  • lukemftpd

    适用于:Mac OS X v10.6.8 和更高版本

    影响:远程攻击者或许能够拒绝向 FTP 服务器提供服务

    描述:tnftpd 中存在 glob 处理问题。已通过改进 glob 验证解决这个问题。

    CVE-ID

    CVE-2015-5917 : Maksymilian Arciemowicz of cxsecurity.com

  • 邮件

    适用于:Mac OS X v10.6.8 和更高版本

    影响:打印电子邮件时可能会泄露敏感用户信息

    描述:“邮件”存在问题,所以在打印电子邮件时会绕过用户偏好设置。已通过改进用户偏好设置的强制实施来解决这个问题。

    CVE-ID

    CVE-2015-5881 : Owen DeLong of Akamai Technologies, Noritaka Kamiya, Dennis Klein from Eschenburg, Germany, Jeff Hammett of Systim Technology Partners

  • 邮件

    适用于:Mac OS X v10.6.8 和更高版本

    影响:拥有特权网络地位的攻击者或许能够拦截通过邮包发送的 S/MIME 加密电子邮件的附件

    描述:处理通过邮包发送的大型电子邮件附件的加密参数时存在问题。已通过在发送加密电子邮件时不再提供邮包来解决这个问题。

    CVE-ID

    CVE-2015-5884 : John McCombs of Integrated Mapping Ltd

  • 多点连接

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地攻击者或许能够观察未受保护的多点数据

    描述:便利初始化器处理存在问题,导致加密可主动降级为非加密会话。已通过将便利初始化器改为需要加密来解决这个问题。

    CVE-ID

    CVE-2015-5851 : Alban Diquet (@nabla_c0d3) of Data Theorem

  • NetworkExtension

    适用于:Mac OS X v10.6.8 和更高版本

    影响:恶意应用程序或许能够确定内核内存布局

    描述:内核中存在导致内核内存内容泄露的未初始化内存问题。已通过改进内存初始化解决这个问题。

    CVE-ID

    CVE-2015-5831 : Maxime Villard of m00nbsd

  • 备忘录

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够泄露敏感用户信息

    描述:解析“备忘录”应用程序中的链接时存在问题。已通过改进输入验证解决这个问题。

    CVE-ID

    CVE-2015-5878 : Craig Young of Tripwire VERT, an anonymous researcher

  • 备忘录

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够泄露敏感用户信息

    描述:“备忘录”应用程序在进行文本解析时存在跨站点脚本编写问题。已通过改进输入验证解决这个问题。

    CVE-ID

    CVE-2015-5875 : xisigr of Tencent's Xuanwu LAB (www.tencent.com)

  • OpenSSH

    适用于:Mac OS X v10.6.8 和更高版本

    影响:OpenSSH 中存在多个漏洞

    描述:版本低于 6.9 的 OpenSSH 中存在多个漏洞。已通过将 OpenSSH 更新到 6.9 版来解决这些问题。

    CVE-ID

    CVE-2014-2532

  • OpenSSL

    适用于:Mac OS X v10.6.8 和更高版本

    影响:OpenSSL 中存在多个漏洞

    描述:版本低于 0.9.8zg 的 OpenSSL 中存在多个漏洞。已通过将 OpenSSL 更新到 0.9.8zg 版来解决这些问题。

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    适用于:Mac OS X v10.6.8 和更高版本

    影响:procmail 中存在多个漏洞

    描述:版本低于 3.22 的 procmail 中存在多个漏洞。已通过移除 procmail 来解决这些问题。

    CVE-ID

    CVE-2014-3618

  • remote_cmds

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够以根权限执行任意代码

    描述:rsh 二进制文件在使用环境变量时存在问题。已通过从 rsh 二进制文件中删除 setuid 特权来解决这个问题。

    CVE-ID

    CVE-2015-5889 : Philip Pettersson

  • removefile

    适用于:Mac OS X v10.6.8 和更高版本

    影响:处理恶意数据可能导致应用程序意外终止

    描述:checkint 除法例程中存在溢出错误。已通过改进除法例程解决这个问题。

    CVE-ID

    CVE-2015-5840 : an anonymous researcher

  • Ruby

    适用于:Mac OS X v10.6.8 和更高版本

    影响:Ruby 中存在多个漏洞

    描述:版本低于 2.0.0p645 的 Ruby 中存在多个漏洞。已通过将 Ruby 更新到 2.0.0p645 版来解决这些问题。

    CVE-ID

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • 安全性

    适用于:Mac OS X v10.6.8 和更高版本

    影响:可能会错误地向用户显示钥匙串的锁定状态

    描述:钥匙串锁定状态的跟踪方式存在状态管理问题。已通过改进状态管理解决这个问题。

    CVE-ID

    CVE-2015-5915 : Peter Walz of University of Minnesota, David Ephron, Eric E. Lawrence, Apple

  • 安全性

    适用于:Mac OS X v10.6.8 和更高版本

    影响:即使吊销检查失败,配置为需要吊销检查的信任评估也可能成功

    描述:指定了 kSecRevocationRequirePositiveResponse 标记,但未实施。已通过实施这个标记来解决这个问题。

    CVE-ID

    CVE-2015-5894 : Hannes Oud of kWallet GmbH

  • 安全性

    适用于:Mac OS X v10.6.8 和更高版本

    影响:远程服务器在识别自身之前可能会提示用户提供证书

    描述:安全传输会先接受 CertificateRequest 信息,再接受 ServerKeyExchange 信息。已通过要求先提供 ServerKeyExchange 来解决这个问题。

    CVE-ID

    CVE-2015-5887 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti, and Jean Karim Zinzindohoue of INRIA Paris-Rocquencourt, and Cedric Fournet and Markulf Kohlweiss of Microsoft Research, Pierre-Yves Strub of IMDEA Software Institute

  • SMB

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够以内核权限执行任意代码

    描述:内核中存在内存损坏问题。已通过改进内存处理解决这个问题。

    CVE-ID

    CVE-2015-5891 : Ilja van Sprundel of IOActive

  • SMB

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地用户或许能够确定内核内存布局

    描述:SMBClient 中存在会导致内核内存内容泄露的问题。已通过改进边界检查解决这个问题。

    CVE-ID

    CVE-2015-5893 : Ilja van Sprundel of IOActive

  • SQLite

    适用于:Mac OS X v10.6.8 和更高版本

    影响:SQLite v3.8.5 中存在多个漏洞

    描述:SQLite v3.8.5 中存在多个漏洞。已通过将 SQLite 更新到 3.8.10.2 版来解决这些问题。

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • 电话

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地攻击者在使用“连续互通”时无需用户同意便可拨打电话

    描述:对电话拨打操作进行授权检查时存在问题。已通过改进授权检查解决这个问题。

    CVE-ID

    CVE-2015-3785 : Dan Bastone of Gotham Digital Science

  • 终端

    适用于:Mac OS X v10.6.8 和更高版本

    影响:恶意伪造的文本可能在“终端”中误导用户

    描述:“终端”无法以显示文本和选择文本时的相同方式处理双向覆盖字符。已通过禁止在“终端”中使用双向覆盖字符来解决这个问题。

    CVE-ID

    CVE-2015-5883 : Lukas Schauer (@lukas2511)

  • tidy

    适用于:Mac OS X v10.6.8 和更高版本

    影响:访问恶意制作的网站可能会导致任意代码执行

    描述:tidy 中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5522 : Fernando Muñoz of NULLGroup.com

    CVE-2015-5523 : Fernando Muñoz of NULLGroup.com

  • 时间机器

    适用于:Mac OS X v10.6.8 和更高版本

    影响:本地攻击者可以获得钥匙串项目的访问权限

    描述:“时间机器”框架在备份时存在问题。已通过改进“时间机器”备份的覆盖范围来解决这个问题。

    CVE-ID

    CVE-2015-5854 : Jonas Magazinius of Assured AB

注:OS X El Capitan v10.11 包含“Safari 浏览器 9”的安全性内容。

 

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: