为保护我们的客户,在没有进行详尽调查并推出任何必要的修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。
有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
Where possible, CVE IDs are used to reference the vulnerabilities for further information.
要了解其他安全性更新,请参阅“Apple 安全性更新”。
OS X El Capitan v10.11
地址簿
适用于:Mac OS X v10.6.8 和更高版本
影响:本地攻击者或许能够向加载“地址簿”框架的进程中注入任意代码
描述:“地址簿”框架在处理环境变量时存在问题。已通过改进环境变量处理解决这个问题。
CVE-ID
CVE-2015-5897 : Dan Bastone of Gotham Digital Science
AirScan
适用于:Mac OS X v10.6.8 和更高版本
影响:拥有特权网络地位的攻击者或许能够从通过安全连接发送的 eSCL 数据包中提取有效负载
描述:处理 eSCL 数据包时存在问题。已通过改进验证检查解决这个问题。
CVE-ID
CVE-2015-5853 : an anonymous researcher
apache_mod_php
适用于:Mac OS X v10.6.8 和更高版本
影响:PHP 中存在多个漏洞
描述:版本低于 5.5.27 的 PHP 中存在多个漏洞,包括可能会导致远程代码执行的漏洞。已通过将 PHP 更新到 5.5.27 版来解决这个问题。
CVE-ID
CVE-2014-9425
CVE-2014-9427
CVE-2014-9652
CVE-2014-9705
CVE-2014-9709
CVE-2015-0231
CVE-2015-0232
CVE-2015-0235
CVE-2015-0273
CVE-2015-1351
CVE-2015-1352
CVE-2015-2301
CVE-2015-2305
CVE-2015-2331
CVE-2015-2348
CVE-2015-2783
CVE-2015-2787
CVE-2015-3329
CVE-2015-3330
Apple Store 在线商店套件
适用于:Mac OS X v10.6.8 和更高版本
影响:恶意应用程序可以获得用户钥匙串项目的访问权限
描述:验证 iCloud 钥匙串项目的访问控制列表时存在问题。已通过改进访问控制列表检查来解决这个问题。
CVE-ID
CVE-2015-5836 : XiaoFeng Wang of Indiana University, Luyi Xing of Indiana University, Tongxin Li of Peking University, Tongxin Li of Peking University, Xiaolong Bai of Tsinghua University
AppleEvents
适用于:Mac OS X v10.6.8 和更高版本
影响:通过屏幕共享连接的用户可向本地用户的会话发送 Apple 事件
描述:过滤 Apple 事件时存在问题,所以某些用户能向其他用户发送事件。已通过改进 Apple 事件处理解决这个问题。
CVE-ID
CVE-2015-5849 : Jack Lawrence (@_jackhl)
音频
适用于:Mac OS X v10.6.8 和更高版本
影响:播放恶意音频文件可能会导致应用程序意外终止
描述:处理音频文件时存在内存损坏问题。已通过改进内存处理解决这个问题。
CVE-ID
CVE-2015-5862 : YoungJin Yoon of Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea
bash
适用于:Mac OS X v10.6.8 和更高版本
影响:bash 中存在多个漏洞
描述:版本低于 3.2 补丁级别 57 的 bash 中存在多个漏洞。已通过将 bash 3.2 版更新到补丁级别 57 来解决这些问题。
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
证书信任策略
适用于:Mac OS X v10.6.8 和更高版本
影响:证书信任策略更新
说明:更新了证书信任策略。有关完整的证书列表,可查看 https://support.apple.com/zh-cn/HT202858。
CFNetwork Cookie
适用于:Mac OS X v10.6.8 和更高版本
影响:拥有特权网络地位的攻击者可以跟踪用户的活动
描述:处理顶级域时存在跨域 Cookie 问题。已通过改进 Cookie 创建操作的相关限制来解决这个问题。
CVE-ID
CVE-2015-5885 : Xiaofeng Zheng of Blue Lotus Team, Tsinghua University
CFNetwork FTPProtocol
适用于:Mac OS X v10.6.8 和更高版本
影响:恶意 FTP 服务器或许能够导致客户端在其他主机上实施侦察
描述:使用 PASV 命令处理 FTP 数据包时存在问题。已通过改进验证解决这个问题。
CVE-ID
CVE-2015-5912 : Amit Klein
CFNetwork HTTPProtocol
适用于:Mac OS X v10.6.8 和更高版本
影响:恶意制作的 URL 或许能够绕过 HSTS 协议并造成敏感数据泄漏
描述:处理 HSTS 时存在 URL 解析漏洞。已通过改进 URL 解析解决这个问题。
CVE-ID
CVE-2015-5858 : Xiaofeng Zheng of Blue Lotus Team, Tsinghua University
CFNetwork HTTPProtocol
适用于:Mac OS X v10.6.8 和更高版本
影响:拥有特权网络地位的攻击者或许能够拦截网络流量
描述:在“Safari 浏览器”无痕浏览模式下处理 HSTS 预加载列表条目时存在问题。已通过改进状态处理解决这个问题。
CVE-ID
CVE-2015-5859 : Rosario Giustolisi of University of Luxembourg
CFNetwork HTTPProtocol
适用于:Mac OS X v10.6.8 和更高版本
影响:恶意网站或许能够在“Safari 浏览器”无痕浏览模式下跟踪用户
描述:在“Safari 浏览器”无痕浏览模式下处理 HSTS 状态时存在问题。已通过改进状态处理解决这个问题。
CVE-ID
CVE-2015-5860 : Sam Greenhalgh of RadicalResearch Ltd
CFNetwork 代理
适用于:Mac OS X v10.6.8 和更高版本
影响:连接到恶意 Web 代理可能会导致网站被设置恶意 Cookie
描述:处理代理连接响应时存在问题。已通过移除解析连接响应时的 set-cookie 标头来解决这个问题。
CVE-ID
CVE-2015-5841 : Xiaofeng Zheng of Blue Lotus Team, Tsinghua University
CFNetwork SSL
适用于:Mac OS X v10.6.8 和更高版本
影响:拥有特权网络地位的攻击者可能会拦截 SSL/TLS 连接
描述:当证书发生变化时,NSURL 中存在证书验证问题。已通过改进证书验证解决这个问题。
CVE-ID
CVE-2015-5824 : Timothy J. Wood of The Omni Group
CFNetwork SSL
适用于:Mac OS X v10.6.8 和更高版本
影响:攻击者或许能够解密受 SSL 保护的数据
描述:存在与 RC4 机密性有关的已知攻击。攻击者可能会强制使用 RC4(即使服务器采用更加安全的密码作为首选项,也是如此),具体的方法是:阻止 TLS 1.0 及更高版本的连接,直到 CFNetwork 尝试只允许 RC4 的 SSL 3.0。已通过移除至 SSL 3.0 的回退解决这个问题。
CoreCrypto
适用于:Mac OS X v10.6.8 和更高版本
影响:攻击者或许能够确定私钥
描述:通过观察大量签名或解密尝试,攻击者或许能够确定 RSA 私钥。已通过使用改进的加密算法来解决这个问题。
CoreText
适用于:Mac OS X v10.6.8 和更高版本
影响:处理恶意制作的字体文件可能会导致任意代码执行
描述:处理字体文件时存在内存损坏问题。已通过改进输入验证解决这个问题。
CVE-ID
CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team
开发者工具
适用于:Mac OS X v10.6.8 和更高版本
影响:恶意应用程序或许能够以系统权限执行任意代码
描述:dyld 中存在内存损坏问题。已通过改进内存处理解决这个问题。
CVE-ID
CVE-2015-5876 : beist of grayhash
开发者工具
适用于:Mac OS X v10.6.8 和更高版本
影响:应用程序或许能够绕开代码签名
描述:验证可执行文件的代码签名时存在问题。已通过改进边界检查解决这个问题。
CVE-ID
CVE-2015-5839 : @PanguTeam
磁盘映像
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够以系统权限执行任意代码
描述:DiskImages 中存在内存损坏问题。已通过改进内存处理解决这个问题。
CVE-ID
CVE-2015-5847 : Filippo Bigarella, Luca Todesco
dyld
适用于:Mac OS X v10.6.8 和更高版本
影响:应用程序或许能够绕开代码签名
描述:验证可执行文件的代码签名时存在问题。已通过改进边界检查解决这个问题。
CVE-ID
CVE-2015-5839 : TaiG Jailbreak Team
EFI
适用于:Mac OS X v10.6.8 和更高版本
影响:恶意应用程序可以阻止某些系统启动
描述:受保护的范围寄存器所涵盖的地址存在问题。已通过更改保护范围解决这个问题。
CVE-ID
CVE-2015-5900 : Xeno Kovah & Corey Kallenberg from LegbaCore
EFI
适用于:Mac OS X v10.6.8 和更高版本
影响:恶意 Apple 以太网雷雳转换器或许能够影响固件刷新
描述:如果在 EFI 更新期间进行连接,Apple 以太网雷雳转换器可能会修改主机固件。已通过在更新期间不加载 ROM 选件来解决这个问题。
CVE-ID
CVE-2015-5914 : Trammell Hudson of Two Sigma Investments and snare
访达
适用于:Mac OS X v10.6.8 和更高版本
影响:“安全清倒废纸篓”功能可能无法安全地删除废纸篓中的文件
描述:部分系统(比如配有闪存的系统)存在问题,它们无法保证安全删除“废纸篓”中的文件。已通过移除“安全清倒废纸篓”选项解决这个问题。
CVE-ID
CVE-2015-5901 : Apple
Game Center
适用于:Mac OS X v10.6.8 和更高版本
影响:恶意 Game Center 应用程序或许能够访问玩家的电子邮件地址
描述:Game Center 在处理玩家的电子邮件时存在问题。已通过改进访问限制解决这个问题。
CVE-ID
CVE-2015-5855 : Nasser Alnasser
Heimdal
适用于:Mac OS X v10.6.8 和更高版本
影响:攻击者或许能够向 SMB 服务器重新播放 Kerberos 凭证
描述:Kerberos 凭证存在鉴定问题。已通过使用含有最近所用凭证的列表对凭证进行额外验证来解决这个问题。
CVE-ID
CVE-2015-5913 : Tarun Chopra of Microsoft Corporation, U.S. and Yu Fan of Microsoft Corporation, China
ICU
适用于:Mac OS X v10.6.8 和更高版本
影响:ICU 中存在多个漏洞
描述:版本低于 53.1.0 的 ICU 中存在多个漏洞。已通过将 ICU 更新到 55.1 版来解决这些问题。
CVE-ID
CVE-2014-8146 : Marc Deslauriers
CVE-2014-8147 : Marc Deslauriers
CVE-2015-5922 : Mark Brand of Google Project Zero
安装传统框架
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够获得根权限
描述:安装包含特权可执行文件的专用框架时存在访问限制问题。已通过移除这个可执行文件来解决这个问题。
CVE-ID
CVE-2015-5888 : Apple
Intel 图形卡驱动程序
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够以系统权限执行任意代码
描述:Intel 图形卡驱动程序中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-5830 : Yuki MIZUNO (@mzyy94)
CVE-2015-5877 : Camillus Gerard Cai
IOAudioFamily
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够确定内核内存布局
描述:IOAudioFamily 中存在会导致内核内存内容泄露的问题。已通过置换内核指针解决这个问题。
CVE-ID
CVE-2015-5864 : Luca Todesco
IOGraphics
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够以内核权限执行任意代码
描述:内核中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-5871 : Ilja van Sprundel of IOActive
CVE-2015-5872 : Ilja van Sprundel of IOActive
CVE-2015-5873 : Ilja van Sprundel of IOActive
CVE-2015-5890 : Ilja van Sprundel of IOActive
IOGraphics
适用于:Mac OS X v10.6.8 和更高版本
影响:恶意应用程序或许能够确定内核内存布局
描述:IOGraphics 中存在可能会导致内核内存布局泄漏的问题。已通过改进内存管理解决这个问题。
CVE-ID
CVE-2015-5865 : Luca Todesco
IOHIDFamily
适用于:Mac OS X v10.6.8 和更高版本
影响:恶意应用程序或许能够以系统权限执行任意代码
描述:IOHIDFamily 中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-5866 : Apple
CVE-2015-5867 : moony li of Trend Micro
IOStorageFamily
适用于:Mac OS X v10.6.8 和更高版本
影响:本地攻击者或许能够读取内核内存
描述:内核中存在内存初始化问题。已通过改进内存处理解决这个问题。
CVE-ID
CVE-2015-5863 : Ilja van Sprundel of IOActive
内核
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够以内核权限执行任意代码
描述:内核中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-5868 : Cererdlong of Alibaba Mobile Security Team
CVE-2015-5896 : Maxime Villard of m00nbsd
CVE-2015-5903 : CESG
内核
适用于:Mac OS X v10.6.8 和更高版本
影响:某个本地进程能在未经过授权检查的情况下修改其他进程
描述:使用 processor_set_tasks API 的根进程存在问题,它们可以检索其他进程的任务端口。已通过额外授权检查解决这个问题。
CVE-ID
CVE-2015-5882 : Pedro Vilaça, working from original research by Ming-chieh Pan and Sung-ting Tsai; Jonathan Levin
内核
适用于:Mac OS X v10.6.8 和更高版本
影响:本地攻击者可以控制堆栈 Cookie 的值
描述:生成用户空间堆栈 Cookie 时存在多个漏洞。已通过改进堆栈 Cookie 的生成来解决这些问题。
CVE-ID
CVE-2013-3951 : Stefan Esser
内核
适用于:Mac OS X v10.6.8 和更高版本
影响:攻击者或许能在不知道正确序号的情况下有针对性地对 TCP 连接发动拒绝服务攻击
描述:在 xnu 验证 TCP 包头时存在问题。已通过改进 TCP 包头验证解决这个问题。
CVE-ID
CVE-2015-5879 : Jonathan Looney
内核
适用于:Mac OS X v10.6.8 和更高版本
影响:本地 LAN 区段中的攻击者可停用 IPv6 路由
描述:处理 IPv6 路由器通告时存在验证不充分问题,致使攻击者能够将跃点限制设置为任意值。已通过强制采用最小跃点限制解决这个问题。
CVE-ID
CVE-2015-5869 : Dennis Spindel Ljungmark
内核
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够确定内核内存布局
描述:存在会导致内核内存布局泄露的问题。已通过改进内核内存结构初始化解决这个问题。
CVE-ID
CVE-2015-5842 : beist of grayhash
内核
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够确定内核内存布局
描述:调试接口中存在会导致内存内容泄露的问题。已通过从调试接口中清理输出来解决这个问题。
CVE-ID
CVE-2015-5870 : Apple
内核
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够导致服务遭系统拒绝
描述:调试功能中存在状态管理问题。已通过改进验证解决这个问题。
CVE-ID
CVE-2015-5902 : Sergi Alvarez (pancake) of NowSecure Research Team
libc
适用于:Mac OS X v10.6.8 和更高版本
影响:远程攻击者或许能够导致任意代码执行
描述:fflush 函数中存在内存损坏问题。已通过改进内存处理解决这个问题。
CVE-ID
CVE-2014-8611 : Adrian Chadd and Alfred Perlstein of Norse Corporation
libpthread
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够以内核权限执行任意代码
描述:内核中存在内存损坏问题。已通过改进内存处理解决这个问题。
CVE-ID
CVE-2015-5899 : Lufeng Li of Qihoo 360 Vulcan Team
libxpc
适用于:Mac OS X v10.6.8 和更高版本
影响:很多 SSH 连接都可能会导致服务遭拒
描述:launchd 没有限定网络连接可以启动的进程数量。已通过将 SSH 进程数量限制为 40 来解决这个问题。
CVE-ID
CVE-2015-5881 : Apple
登录窗口
适用于:Mac OS X v10.6.8 和更高版本
影响:屏幕可能无法按照指定的时间锁定
描述:捕获的显示屏锁定操作存在问题。已通过改进锁定处理解决这个问题。
CVE-ID
CVE-2015-5833 : Carlos Moreira, Rainer Dorau of rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera, and Jon Hall of Asynchrony
lukemftpd
适用于:Mac OS X v10.6.8 和更高版本
影响:远程攻击者或许能够拒绝向 FTP 服务器提供服务
描述:tnftpd 中存在 glob 处理问题。已通过改进 glob 验证解决这个问题。
CVE-ID
CVE-2015-5917 : Maksymilian Arciemowicz of cxsecurity.com
邮件
适用于:Mac OS X v10.6.8 和更高版本
影响:打印电子邮件时可能会泄露敏感用户信息
描述:“邮件”存在问题,所以在打印电子邮件时会绕过用户偏好设置。已通过改进用户偏好设置的强制实施来解决这个问题。
CVE-ID
CVE-2015-5881 : Owen DeLong of Akamai Technologies, Noritaka Kamiya, Dennis Klein from Eschenburg, Germany, Jeff Hammett of Systim Technology Partners
邮件
适用于:Mac OS X v10.6.8 和更高版本
影响:拥有特权网络地位的攻击者或许能够拦截通过邮包发送的 S/MIME 加密电子邮件的附件
描述:处理通过邮包发送的大型电子邮件附件的加密参数时存在问题。已通过在发送加密电子邮件时不再提供邮包来解决这个问题。
CVE-ID
CVE-2015-5884 : John McCombs of Integrated Mapping Ltd
多点连接
适用于:Mac OS X v10.6.8 和更高版本
影响:本地攻击者或许能够观察未受保护的多点数据
描述:便利初始化器处理存在问题,导致加密可主动降级为非加密会话。已通过将便利初始化器改为需要加密来解决这个问题。
CVE-ID
CVE-2015-5851 : Alban Diquet (@nabla_c0d3) of Data Theorem
NetworkExtension
适用于:Mac OS X v10.6.8 和更高版本
影响:恶意应用程序或许能够确定内核内存布局
描述:内核中存在导致内核内存内容泄露的未初始化内存问题。已通过改进内存初始化解决这个问题。
CVE-ID
CVE-2015-5831 : Maxime Villard of m00nbsd
备忘录
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够泄露敏感用户信息
描述:解析“备忘录”应用程序中的链接时存在问题。已通过改进输入验证解决这个问题。
CVE-ID
CVE-2015-5878 : Craig Young of Tripwire VERT, an anonymous researcher
备忘录
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够泄露敏感用户信息
描述:“备忘录”应用程序在进行文本解析时存在跨站点脚本编写问题。已通过改进输入验证解决这个问题。
CVE-ID
CVE-2015-5875 : xisigr of Tencent's Xuanwu LAB (www.tencent.com)
OpenSSH
适用于:Mac OS X v10.6.8 和更高版本
影响:OpenSSH 中存在多个漏洞
描述:版本低于 6.9 的 OpenSSH 中存在多个漏洞。已通过将 OpenSSH 更新到 6.9 版来解决这些问题。
CVE-ID
CVE-2014-2532
OpenSSL
适用于:Mac OS X v10.6.8 和更高版本
影响:OpenSSL 中存在多个漏洞
描述:版本低于 0.9.8zg 的 OpenSSL 中存在多个漏洞。已通过将 OpenSSL 更新到 0.9.8zg 版来解决这些问题。
CVE-ID
CVE-2015-0286
CVE-2015-0287
procmail
适用于:Mac OS X v10.6.8 和更高版本
影响:procmail 中存在多个漏洞
描述:版本低于 3.22 的 procmail 中存在多个漏洞。已通过移除 procmail 来解决这些问题。
CVE-ID
CVE-2014-3618
remote_cmds
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够以根权限执行任意代码
描述:rsh 二进制文件在使用环境变量时存在问题。已通过从 rsh 二进制文件中删除 setuid 特权来解决这个问题。
CVE-ID
CVE-2015-5889 : Philip Pettersson
removefile
适用于:Mac OS X v10.6.8 和更高版本
影响:处理恶意数据可能导致应用程序意外终止
描述:checkint 除法例程中存在溢出错误。已通过改进除法例程解决这个问题。
CVE-ID
CVE-2015-5840 : an anonymous researcher
Ruby
适用于:Mac OS X v10.6.8 和更高版本
影响:Ruby 中存在多个漏洞
描述:版本低于 2.0.0p645 的 Ruby 中存在多个漏洞。已通过将 Ruby 更新到 2.0.0p645 版来解决这些问题。
CVE-ID
CVE-2014-8080
CVE-2014-8090
CVE-2015-1855
安全性
适用于:Mac OS X v10.6.8 和更高版本
影响:可能会错误地向用户显示钥匙串的锁定状态
描述:钥匙串锁定状态的跟踪方式存在状态管理问题。已通过改进状态管理解决这个问题。
CVE-ID
CVE-2015-5915 : Peter Walz of University of Minnesota, David Ephron, Eric E. Lawrence, Apple
安全性
适用于:Mac OS X v10.6.8 和更高版本
影响:即使吊销检查失败,配置为需要吊销检查的信任评估也可能成功
描述:指定了 kSecRevocationRequirePositiveResponse 标记,但未实施。已通过实施这个标记来解决这个问题。
CVE-ID
CVE-2015-5894 : Hannes Oud of kWallet GmbH
安全性
适用于:Mac OS X v10.6.8 和更高版本
影响:远程服务器在识别自身之前可能会提示用户提供证书
描述:安全传输会先接受 CertificateRequest 信息,再接受 ServerKeyExchange 信息。已通过要求先提供 ServerKeyExchange 来解决这个问题。
CVE-ID
CVE-2015-5887 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti, and Jean Karim Zinzindohoue of INRIA Paris-Rocquencourt, and Cedric Fournet and Markulf Kohlweiss of Microsoft Research, Pierre-Yves Strub of IMDEA Software Institute
SMB
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够以内核权限执行任意代码
描述:内核中存在内存损坏问题。已通过改进内存处理解决这个问题。
CVE-ID
CVE-2015-5891 : Ilja van Sprundel of IOActive
SMB
适用于:Mac OS X v10.6.8 和更高版本
影响:本地用户或许能够确定内核内存布局
描述:SMBClient 中存在会导致内核内存内容泄露的问题。已通过改进边界检查解决这个问题。
CVE-ID
CVE-2015-5893 : Ilja van Sprundel of IOActive
SQLite
适用于:Mac OS X v10.6.8 和更高版本
影响:SQLite v3.8.5 中存在多个漏洞
描述:SQLite v3.8.5 中存在多个漏洞。已通过将 SQLite 更新到 3.8.10.2 版来解决这些问题。
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
电话
适用于:Mac OS X v10.6.8 和更高版本
影响:本地攻击者在使用“连续互通”时无需用户同意便可拨打电话
描述:对电话拨打操作进行授权检查时存在问题。已通过改进授权检查解决这个问题。
CVE-ID
CVE-2015-3785 : Dan Bastone of Gotham Digital Science
终端
适用于:Mac OS X v10.6.8 和更高版本
影响:恶意伪造的文本可能在“终端”中误导用户
描述:“终端”无法以显示文本和选择文本时的相同方式处理双向覆盖字符。已通过禁止在“终端”中使用双向覆盖字符来解决这个问题。
CVE-ID
CVE-2015-5883 : Lukas Schauer (@lukas2511)
tidy
适用于:Mac OS X v10.6.8 和更高版本
影响:访问恶意制作的网站可能会导致任意代码执行
描述:tidy 中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。
CVE-ID
CVE-2015-5522 : Fernando Muñoz of NULLGroup.com
CVE-2015-5523 : Fernando Muñoz of NULLGroup.com
时间机器
适用于:Mac OS X v10.6.8 和更高版本
影响:本地攻击者可以获得钥匙串项目的访问权限
描述:“时间机器”框架在备份时存在问题。已通过改进“时间机器”备份的覆盖范围来解决这个问题。
CVE-ID
CVE-2015-5854 : Jonas Magazinius of Assured AB
注:OS X El Capitan v10.11 包含“Safari 浏览器 9”的安全性内容。