關於 OS X El Capitan v10.11 的安全性內容
本文說明 OS X El Capitan v10.11 的安全性內容。
為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。如需 Apple 產品安全性的詳細資訊,請參閱「Apple 產品安全性」網站。
如需 Apple 產品安全性 PGP 金鑰的相關資料,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。
在可能的情況下,將會使用 CVE ID 來參照安全性漏洞,以取得進一步資料。
若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。
OS X El Capitan v10.11
通訊錄
Mac OS X v10.6.8 和以上版本
影響:本機攻擊者可能得以將任意程式碼插入載入通訊錄架構的程序
說明:通訊錄架構處理環境變數的方式有問題。改進環境變數處理機制後,已解決此問題。
CVE-ID
CVE-2015-5897:Gotham Digital Science 的 Dan Bastone
AirScan
Mac OS X v10.6.8 和以上版本
影響:網絡位置具有權限的攻擊者可能得以從透過安全連線傳送的 eSCL 封包擷取承載資料
說明:處理 eSCL 封包的方式有問題。改進驗證檢查機制後,已解決此問題。
CVE-ID
CVE-2015-5853:匿名研究員
apache_mod_php
Mac OS X v10.6.8 和以上版本
影響:PHP 有多個漏洞
說明:5.5.27 之前的 PHP 版本有多個漏洞,其中一個可能導致遙距程式碼得以執行。將 PHP 更新至 5.5.27 版後,已解決此問題。
CVE-ID
CVE-2014-9425
CVE-2014-9427
CVE-2014-9652
CVE-2014-9705
CVE-2014-9709
CVE-2015-0231
CVE-2015-0232
CVE-2015-0235
CVE-2015-0273
CVE-2015-1351
CVE-2015-1352
CVE-2015-2301
CVE-2015-2305
CVE-2015-2331
CVE-2015-2348
CVE-2015-2783
CVE-2015-2787
CVE-2015-3329
CVE-2015-3330
Apple Online Store 套件
Mac OS X v10.6.8 和以上版本
影響:惡意應用程式可以存取用戶的鑰匙圈項目
說明:驗證 iCloud 鑰匙圈項目的存取控制清單的方式有問題。改進存取控制清單檢查機制後,已解決此問題。
CVE-ID
CVE-2015-5836:印地安那大學的 XiaoFeng Wang、印地安那大學的 Luyi Xing、北京大學的 Tongxin Li、清華大學的 Xiaolong Bai
AppleEvents
Mac OS X v10.6.8 和以上版本
影響:透過螢幕共享連線的用戶可以將 Apple Event 傳送到本機用戶的工作階段
說明:Apple Event 過濾機制有問題,可讓部分用戶傳送事件給其他用戶。改進 Apple Event 處理機制後,已解決此問題。
CVE-ID
CVE-2015-5849:Jack Lawrence(@_jackhl)
音效
Mac OS X v10.6.8 和以上版本
影響:播放惡意音訊檔案可能會導致應用程式無故終止
說明:處理音訊檔案的方式有記憶體損毀問題。改進記憶體處理機制後,已解決此問題。
CVE-ID
CVE-2015-5862:韓國首爾延世大學 Information Security Lab(指導:Taekyoung Kwon 教授)的 YoungJin Yoon
bash
Mac OS X v10.6.8 和以上版本
影響:bash 有多個漏洞
說明:3.2 修補程式層級 57 之前的 bash 版本有多個漏洞。 將 bash 3.2 版更新至修補程式層級 57 後,已解決此問題。
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
證書信任規則
Mac OS X v10.6.8 和以上版本
影響:更新證書信任規則
說明:證書信任規則已更新。如需完整的憑證清單,請查看 https://support.apple.com/kb/HT202858。
CFNetwork Cookie
Mac OS X v10.6.8 和以上版本
影響:攻擊者所在的網絡位置如果有特殊權限,可追蹤用戶的活動
說明:處理最上層網域時,出現跨網域 Cookie 問題。改進建立 Cookie 的限制後,已解決此問題。
CVE-ID
CVE-2015-5885:清華大學藍蓮花戰隊的 Xiaofeng Zheng
CFNetwork FTPProtocol
Mac OS X v10.6.8 和以上版本
影響:惡意 FTP 伺服器可能得以指示用戶端對其他主機進行探查
說明:使用 PASV 指令時,處理 FTP 封包的方式有問題。改進驗證機制後,已解決此問題。
CVE-ID
CVE-2015-5912:Amit Klein
CFNetwork HTTPProtocol
Mac OS X v10.6.8 和以上版本
影響:惡意製作的網址可能得以規避 HSTS 並洩漏敏感資料
說明:HSTS 的處理方式有網址剖析漏洞。改進網址剖析機制後,已解決此問題。
CVE-ID
CVE-2015-5858:清華大學藍蓮花戰隊的 Xiaofeng Zheng
CFNetwork HTTPProtocol
Mac OS X v10.6.8 和以上版本
影響:具有權限之網絡位置的攻擊者可能會攔截網絡流量
說明:在 Safari 私密瀏覽模式中處理 HSTS 預先載入清單項目時出現問題。改進狀態處理機制後,已解決此問題。
CVE-ID
CVE-2015-5859:盧森堡大學的 Rosario Giustolisi
CFNetwork HTTPProtocol
Mac OS X v10.6.8 和以上版本
影響:惡意網站可能得以在 Safari 私密瀏覽模式中追蹤使用者
說明:在 Safari 私密瀏覽模式中處理 HSTS 狀態的方式有問題。改進狀態處理機制後,已解決此問題。
CVE-ID
CVE-2015-5860:RadicalResearch Ltd 的 Sam Greenhalgh
CFNetwork Proxies
Mac OS X v10.6.8 和以上版本
影響:連線到惡意網頁代理伺服器可能會設定網站的惡意 Cookie
說明:處理代理伺服器連線回應時出現問題。剖析連線回應時移除 set-cookie 標頭後,已解決此問題。
CVE-ID
CVE-2015-5841:清華大學藍蓮花戰隊的 Xiaofeng Zheng
CFNetwork SSL
Mac OS X v10.6.8 和以上版本
影響:具有權限之網絡位置的攻擊者可以攔截 SSL/TLS 連線
說明:變更證書時,NSURL 有證書驗證問題。改進證書驗證機制後,已解決此問題。
CVE-ID
CVE-2015-5824:The Omni Group 的 Timothy J. Wood
CFNetwork SSL
Mac OS X v10.6.8 和以上版本
影響:攻擊者可能可以將受到 SSL 保護的資料解密
說明:RC4 的機密性會受到已知攻擊。攻擊者可利用封鎖 TLS 1.0 和更高版本的連線,直到 CFNetwork 嘗試僅允許 RC4 的 SSL 3.0 的方式,強制使用 RC4,即使伺服器偏好使用較佳的加密機制也一樣。移除改用 SSL 3.0 的機制後,已解決此問題。
CoreCrypto
Mac OS X v10.6.8 和以上版本
影響:攻擊者可能得以判斷私密金鑰
說明:藉由觀察多次簽署或解密嘗試,攻擊者可能得以判斷 RSA 私密金鑰。改進加密演算法後,已解決此問題。
CoreText
Mac OS X v10.6.8 和以上版本
影響:處理惡意製作的字體可能導致任意執行程式碼
說明:處理字體檔案的方式出現記憶體損毀問題。改進輸入驗證機制後,已解決此問題。
CVE-ID
CVE-2015-5874:John Villamil(@day6reak)、Yahoo Pentest Team
開發工具
Mac OS X v10.6.8 和以上版本
影響:惡意應用程式可能以系統權限執行任意程式碼
說明:dyld 出現記憶體損毀問題。改良記憶體處理機制後,已解決此問題。
CVE-ID
CVE-2015-5876:grayhash 的 beist
開發工具
Mac OS X v10.6.8 和以上版本
影響:惡意應用程式可能得以略過程式碼簽署
說明:可執行檔的程式碼簽署驗證有問題。改進界限檢查機制後,已解決此問題。
CVE-ID
CVE-2015-5839:@PanguTeam
磁碟影像
Mac OS X v10.6.8 和以上版本
影響:本機用戶可能以系統權限執行任意程式碼
說明:DiskImages 出現記憶體損毀問題。改良記憶體處理機制後,已解決此問題。
CVE-ID
CVE-2015-5847:Filippo Bigarella、Luca Todesco
dyld
Mac OS X v10.6.8 和以上版本
影響:惡意應用程式可能得以略過程式碼簽署
說明:可執行檔的程式碼簽署驗證有問題。改進界限檢查機制後,已解決此問題。
CVE-ID
CVE-2015-5839:TaiG Jailbreak Team
EFI
Mac OS X v10.6.8 和以上版本
影響:惡意應用程式可能導致部分系統無法開機
說明:受保護範圍登錄涵蓋的地址有問題。變更受保護的範圍後,已解決此問題。
CVE-ID
CVE-2015-5900:LegbaCore 的 Xeno Kovah 和 Corey Kallenberg
EFI
Mac OS X v10.6.8 和以上版本
影響:惡意 Apple 乙太網路 Thunderbolt 轉換器可能得以影響韌體更新
說明:Apple 乙太網路 Thunderbolt 轉換器若在 EFI 更新期間連接,可能會修改主機韌體。藉由在更新期間不載入選項 ROM,已解決此問題。
CVE-ID
CVE-2015-5914:Two Sigma Investments and snare 的 Trammell Hudson
Finder
Mac OS X v10.6.8 和以上版本
影響:「安全清空垃圾桶」可能無法安全地刪除放在垃圾桶中的檔案。
說明:在某些系統上保證安全刪除垃圾桶檔案有問題,例如快閃儲存裝置的檔案。移除「安全清空垃圾桶」選項後,已解決此問題。
CVE-ID
CVE-2015-5901:Apple
Game Center
Mac OS X v10.6.8 和以上版本
影響:惡意 Game Center 應用程式可能得以存取玩家的電郵地址
說明:Game Center 處理玩家電郵的方式有問題。改進存取限制機制後,已解決此問題。
CVE-ID
CVE-2015-5855:Nasser Alnasser
Heimdal
Mac OS X v10.6.8 和以上版本
影響:攻擊者可能得以向 SMB 伺服器重播 Kerberos 憑證
說明:Kerberos 憑證有驗證問題。使用最近看到的憑證清單進一步驗證憑證後,已解決問題。
CVE-ID
CVE-2015-5913:美國 Microsoft Corporation 的 Tarun Chopra、中國 Microsoft Corporation 的 Yu Fan
ICU
Mac OS X v10.6.8 和以上版本
影響:ICU 有多個漏洞
說明:53.1.0 之前的 ICU 版本出現多個漏洞。將 ICU 更新至 55.1 版後,已解決這些問題。
CVE-ID
CVE-2014-8146:Marc Deslauriers
CVE-2014-8147:Marc Deslauriers
CVE-2015-5922:Google Project Zero 的 Mark Brand
安裝舊型號架構
Mac OS X v10.6.8 和以上版本
影響:本機用戶可能得以取得根權限
說明:包含權限可執行檔的「安裝」私密架構有限制問題。移除可執行檔後,已解決此問題。
CVE-ID
CVE-2015-5888:Apple
Intel 顯示卡驅動程式
Mac OS X v10.6.8 和以上版本
影響:本機用戶可能以系統權限執行任意程式碼
說明:Intel 顯示卡驅動程式有多個記憶體損毀問題。改良記憶體處理機制後,已解決這些問題。
CVE-ID
CVE-2015-5830:Yuki MIZUNO(@mzyy94)
CVE-2015-5877:Camillus Gerard Cai
IOAudioFamily
Mac OS X v10.6.8 和以上版本
影響:本機用戶可能得以判斷核心記憶體佈局
說明:IOAudioFamily 有問題,會導致核心記憶體內容洩漏。改變核心指標序列後,已解決此問題。
CVE-ID
CVE-2015-5864:Luca Todesco
IOGraphics
Mac OS X v10.6.8 和以上版本
影響:本機用戶可能以核心權限執行任意程式碼
說明:核心有多個記憶體損毀問題。改良記憶體處理機制後,已解決這些問題。
CVE-ID
CVE-2015-5871:IOActive 的 Ilja van Sprundel
CVE-2015-5872:IOActive 的 Ilja van Sprundel
CVE-2015-5873:IOActive 的 Ilja van Sprundel
CVE-2015-5890:IOActive 的 Ilja van Sprundel
IOGraphics
Mac OS X v10.6.8 和以上版本
影響:惡意應用程式可能得以判斷核心記憶體佈局
說明:IOGraphics 有問題,會導致核心記憶體配置洩漏。改進記憶管理機制後,已解決此問題。
CVE-ID
CVE-2015-5865:Luca Todesco
IOHIDFamily
Mac OS X v10.6.8 和以上版本
影響:惡意應用程式可能以系統權限執行任意程式碼
說明:IOHIDFamily 出現多個記憶體損毀問題。改良記憶體處理機制後,已解決這些問題。
CVE-ID
CVE-2015-5866:Apple
CVE-2015-5867:趨勢科技的 moony li
IOStorageFamily
Mac OS X v10.6.8 和以上版本
影響:本機攻擊者可能得以讀取核心記憶體
說明:核心出現記憶體初始化問題。改良記憶體處理機制後,已解決此問題。
CVE-ID
CVE-2015-5863:IOActive 的 Ilja van Sprundel
核心
Mac OS X v10.6.8 和以上版本
影響:本機用戶可能以核心權限執行任意程式碼
說明:核心有多個記憶體損毀問題。改良記憶體處理機制後,已解決這些問題。
CVE-ID
CVE-2015-5868:Alibaba Mobile Security Team 的 Cererdlong
CVE-2015-5896:m00nbsd 的 Maxime Villard
CVE-2015-5903:CESG
核心
Mac OS X v10.6.8 和以上版本
影響:本機程序可在沒有授權檢查的情況下修改其他程序
說明:系統出現問題,允許使用 processor_set_tasks API 的根程序擷取其他程序的工作連接埠。追加授權檢查機制後,已解決此問題。
CVE-ID
CVE-2015-5882:Pedro Vilaça(從 Ming-chieh Pan 和 Sung-ting Tsai 的原始研究來解決此問題)、Jonathan Levin
核心
Mac OS X v10.6.8 和以上版本
影響:本機攻擊者可控制堆疊 Cookie 的值
說明:產生用戶空間堆疊 Cookie 的機制出現多個弱點。改進產生堆疊 Cookie 的機制後,已解決這些問題。
CVE-ID
CVE-2013-3951:Stefan Esser
核心
Mac OS X v10.6.8 和以上版本
影響:攻擊者可能得以在不知道正確序列號碼的情況下,對目標 TCP 連線發動拒絕服務攻擊
說明:xnu 驗證 TCP 封包標頭的方式有問題。改進 TCP 封包標頭驗證機制後,已解決此問題。
CVE-ID
CVE-2015-5879:Jonathan Looney
核心
Mac OS X v10.6.8 和以上版本
影響:本機 LAN 區段的攻擊者可停用 IPv6 路由
說明:處理 IPv6 路由器公告的方式有驗證不足的問題,可讓攻擊者將躍點限制設為任意值。強制最低躍點限制後,已解決此問題。
CVE-ID
CVE-2015-5869:Dennis Spindel Ljungmark
核心
Mac OS X v10.6.8 和以上版本
影響:本機用戶可能得以判斷核心記憶體佈局
說明:存在導致核心記憶體配置洩漏的問題。改進核心記憶體結構初始化後,已解決此問題。
CVE-ID
CVE-2015-5842:grayhash 的 beist
核心
Mac OS X v10.6.8 和以上版本
影響:本機用戶可能得以判斷核心記憶體佈局
說明:除錯介面有問題,會導致記憶體內容洩漏。淨化除錯介面的輸出後,已解決此問題。
CVE-ID
CVE-2015-5870:Apple
核心
Mac OS X v10.6.8 和以上版本
影響:本機使用者可能導致系統阻斷服務
說明:除錯功能有狀態管理問題。改進驗證機制後,已解決此問題。
CVE-ID
CVE-2015-5902:NowSecure Research Team 的 Sergi Alvarez(pancake)
libc
Mac OS X v10.6.8 和以上版本
影響:遙距攻擊者可能得以執行任意程式碼
說明:fflush 函數出現記憶體損毀問題。改良記憶體處理機制後,已解決此問題。
CVE-ID
CVE-2014-8611:Norse Corporation 的 Adrian Chadd 和 Alfred Perlstein
libpthread
Mac OS X v10.6.8 和以上版本
影響:本機用戶可能以核心權限執行任意程式碼
說明:核心出現記憶體損毀問題。改良記憶體處理機制後,已解決此問題。
CVE-ID
CVE-2015-5899:奇虎 360 Vulcan Team 的 Lufeng Li
libxpc
Mac OS X v10.6.8 和以上版本
影響:許多 SSH 連線可能會導致拒絕服務
說明:launchd 對於網絡連線可以啟動的程序數目未設有限制。將 SSH 程序數目限制在 40 後,已解決問題。
CVE-ID
CVE-2015-5881:Apple
登入視窗
Mac OS X v10.6.8 和以上版本
影響:螢幕鎖定在過了指定的一段時間後可能無法啟動
說明:擷取的顯示器鎖定有問題。改良鎖定的處理方式後,已解決此問題。
CVE-ID
CVE-2015-5833:Rainer Dorau of rainer dorau informationsdesign 的 Carlos Moreira、Asynchrony 的 Chris Nehren、Kai Takac、Hans Douma、Toni Vaahtera 和 Jon Hall
lukemftpd
Mac OS X v10.6.8 和以上版本
影響:遙距攻擊者可能得以拒絕 FTP 伺服器的服務
說明:tnftpd 有 glob 處理問題。改進 glob 驗證機制後,已解決此問題。
CVE-ID
CVE-2015-5917:cxsecurity.com 的 Maksymilian Arciemowicz
郵件
Mac OS X v10.6.8 和以上版本
影響:列印電郵可能會導致洩漏敏感的用戶資料
說明:「郵件」有問題,會在列印電郵時略過用戶的偏好設定。改進用戶偏好設定強制執行機制後,已解決此問題。
CVE-ID
CVE-2015-5881:Akamai Technologies 的 Owen DeLong、Noritaka Kamiya、德國埃申堡的 Dennis Klein、Systim Technology Partners 的 Jeff Hammett
郵件
Mac OS X v10.6.8 和以上版本
影響:網絡位置具有權限的攻擊者可能得以攔截透過 Mail Drop 傳送的 S/MIME 加密電子郵件的附件
說明:處理透過 Mail Drop 傳送的大型電郵附件的加密參數時出現問題。藉由傳送加密電子郵件時不再提供 Mail Drop,已解決問題。
CVE-ID
CVE-2015-5884:Integrated Mapping Ltd 的 John McCombs
Multipeer Connectivity
Mac OS X v10.6.8 和以上版本
影響:本機攻擊者可能得以觀察未受保護的 Multipeer 資料
說明:便利初始設定式的處理機制有問題,可能會將加密主動降級為非加密工作階段。將便利初始設定式變更為需要加密後,已解決此問題。
CVE-ID
CVE-2015-5851:Data Theorem 的 Alban Diquet(@nabla_c0d3)
NetworkExtension
Mac OS X v10.6.8 和以上版本
影響:惡意應用程式可能得以判斷核心記憶體佈局
說明:核心出現未初始化記憶體問題,導致核心記憶體內容洩漏。記憶體初始化已經改良,此問題已經解決。
CVE-ID
CVE-2015-5831:m00nbsd 的 Maxime Villard
備註
Mac OS X v10.6.8 和以上版本
影響:本機使用者可能洩漏敏感的使用者資料
說明:剖析「備忘錄」應用程式中的連結時出現問題。改進輸入驗證機制後,已解決此問題。
CVE-ID
CVE-2015-5878:Tripwire VERT 的 Craig Young、匿名研究人員
備註
Mac OS X v10.6.8 和以上版本
影響:本機使用者可能洩漏敏感的使用者資料
說明:「備忘錄」應用程式剖析的文字有跨網站指令碼問題。改進輸入驗證機制後,已解決此問題。
CVE-ID
CVE-2015-5875:騰訊宣武實驗室(www.tencent.com)的 xisigr
OpenSSH
Mac OS X v10.6.8 和以上版本
影響:OpenSSH 有多個漏洞
說明:6.9 之前的 OpenSSH 版本有多個漏洞。將 OpenSSH 更新至 6.9 版後,已解決這些問題。
CVE-ID
CVE-2014-2532
OpenSSL
Mac OS X v10.6.8 和以上版本
影響:OpenSSL 有多個漏洞
說明:0.9.8zg 之前的 OpenSSL 版本出現多個漏洞。將 OpenSSL 更新到 0.9.8zg 版後,已解決這些問題。
CVE-ID
CVE-2015-0286
CVE-2015-0287
procmail
Mac OS X v10.6.8 和以上版本
影響:procmail 有多個漏洞
說明:3.22 之前的 procmail 版本有多個漏洞。移除 procmail 後,已解決這些問題。
CVE-ID
CVE-2014-3618
remote_cmds
Mac OS X v10.6.8 和以上版本
影響:本機用戶可能以根權限執行任意程式碼
說明:rsh 二進位檔使用環境變數的方式有問題。從 rsh 二進位檔去除 setuid 權限後,已解決此問題。
CVE-ID
CVE-2015-5889:Philip Pettersson
removefile
Mac OS X v10.6.8 和以上版本
影響:處理惡意資料可能會導致應用程式意外終止
說明:checkint 除法常式出現溢位錯誤。改進除法常式後,已解決此問題。
CVE-ID
CVE-2015-5840:匿名研究員
Ruby
Mac OS X v10.6.8 和以上版本
影響:Ruby 有多個漏洞
說明:2.0.0p645 之前的 Ruby 版本有多個漏洞。將 Ruby 更新至 2.0.0p645 版後,已解決這些問題。
CVE-ID
CVE-2014-8080
CVE-2014-8090
CVE-2015-1855
安全性
Mac OS X v10.6.8 和以上版本
影響:用戶可能會看到不正確的鑰匙圈鎖定狀態
說明:追蹤鑰匙圈鎖定狀態的方式有狀態管理問題。改進狀態管理機制後,已解決此問題。
CVE-ID
CVE-2015-5915:明尼蘇達大學的 Peter Walz、David Ephron、Eric E. Lawrence、Apple
安全性
Mac OS X v10.6.8 和以上版本
影響:即使撤銷檢查失敗,設定為需要撤銷檢查的信任評估仍可能成功
說明:已指定·kSecRevocationRequirePositiveResponse 旗標,但未實作。使用旗標後,已解決此問題。
CVE-ID
CVE-2015-5894:kWallet GmbH 的 Hannes Oud
安全性
Mac OS X v10.6.8 和以上版本
影響:遙距伺服器可能會在提出其身分識別之前,先提示要求證書
說明:「安全傳輸」先接受 CertificateRequest 訊息,之後才接受 ServerKeyExchange 訊息。首先要求 ServerKeyExchange 後,已解決此問題。
CVE-ID
CVE-2015-5887:INRIA Paris-Rocquencour 的 Benjamin Beurdouche、Karthikeyan Bhargavan、Antoine Delignat-Lavaud、Alfredo Pironti 和 Jean Karim Zinzindohoue,以及 Microsoft Research 的 Cedric Fournet 和 Markulf Kohlweiss、IMDEA Software Institute 的 Pierre-Yves Strub
SMB
Mac OS X v10.6.8 和以上版本
影響:本機用戶可能以核心權限執行任意程式碼
說明:核心出現記憶體損毀問題。改良記憶體處理機制後,已解決此問題。
CVE-ID
CVE-2015-5891:IOActive 的 Ilja van Sprundel
SMB
Mac OS X v10.6.8 和以上版本
影響:本機用戶可能得以判斷核心記憶體佈局
說明:SMBClient 有問題,會導致核心記憶體內容洩漏。改進界限檢查機制後,已解決此問題。
CVE-ID
CVE-2015-5893:IOActive 的 Ilja van Sprundel
SQLite
Mac OS X v10.6.8 和以上版本
影響:SQLite v3.8.5 有多個漏洞
說明:SQLite v3.8.5 出現多個漏洞。將 SQLite 更新至 3.8.10.2 版後,已解決這些問題。
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
電話
Mac OS X v10.6.8 和以上版本
影響:使用 Continuity 時,本機攻擊者可能會在用戶不知情的情況下撥打電話
說明:撥打電話的授權檢查機制有問題。改進授權檢查機制後,已解決此問題。
CVE-ID
CVE-2015-3785:Gotham Digital Science 的 Dan Bastone
終端機
Mac OS X v10.6.8 和以上版本
影響:惡意製作的文字可能會在「終端機」誤導用戶
說明:在顯示文字和選取文字時,「終端機」無法以相同的方式處理雙向覆寫字元。在「終端機」中隱藏雙向覆寫字元後,已解決此問題。
CVE-ID
CVE-2015-5883:Lukas Schauer(@lukas2511)
tidy
Mac OS X v10.6.8 和以上版本
影響:參閱惡意製作的網站可能導致執行任意程式碼
說明:tidy 有多個記憶體損毀問題。改良記憶體處理機制後,已解決這些問題。
CVE-ID
CVE-2015-5522:NULLGroup.com 的 Fernando Muñoz
CVE-2015-5523:NULLGroup.com 的 Fernando Muñoz
Time Machine
Mac OS X v10.6.8 和以上版本
影響:本機使用者可能得以存取鑰匙圈項目
說明:Time Machine 架構進行的備份有問題。改進 Time Machine 備份的涵蓋範圍後,已解決此問題。
CVE-ID
CVE-2015-5854:Assured AB 的 Jonas Magazinius
對於非 Apple 製造產品,或者並非由 Apple 控制或測試的獨立網站,其相關資訊的提供不應詮釋為受到 Apple 所推薦或認可。Apple 對於第三方網站或產品的選擇、表現或使用,概不承擔任何責任。Apple 對於第三方網站的準確性或可靠性不作任何聲明。如需進一步資料,請聯絡相關供應商。