關於安全性更新 2015-003

本文說明安全性更新 2015-003 的安全性內容。

為保障客戶的安全，在進行完整調查並提供所有必要的修補程式或版本之前，Apple 不會揭露、討論或確認安全性問題。若要瞭解 Apple 產品安全性的更多相關資訊，請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊，請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能，會使用 CVE ID 來參照安全漏洞，以取得進一步資訊。

若要瞭解其他安全性更新，請參閱「Apple 安全性更新」。

安全性更新 2015-003

• iCloud 鑰匙圈

  適用於：OS X Yosemite v10.10.2

  影響：攻擊者所在的網路位置如果有特殊權限，即可執行任意程式碼

  說明：在恢復 iCloud 鑰匙圈期間處理資料時，會發生多重緩衝區溢位。改進界限檢查機制後，已解決此問題。

  CVE-ID

  CVE-2015-1065：NowSecure 的 Andrey Belenko

• IOSurface

  適用於：OS X Yosemite v10.10.2

  影響：惡意應用程式可能以系統權限執行任意程式碼

  說明：IOSurface 處理序列化物件時，出現類型混淆問題。已透過其他類型的檢查機制解決此問題。

  CVE-ID

  CVE-2015-1061：Google Project Zero 的 Ian Beer

附註：安全性更新 2015-003 包含安全性更新 2015-002 的內容。如需進一步詳細資訊，請參閱「關於安全性更新 2015-002」。