關於 OS X Yosemite v10.10.5 和安全性更新 2015-006 的安全性內容

本文說明 OS X Yosemite v10.10.5 和安全性更新 2015-006 的安全性內容。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步瞭解 Apple 產品安全性,請造訪 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。

OS X Yosemite v10.10.5 和安全性更新 2015-006

  • apache

    適用於:OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:Apache 2.4.16 有多個漏洞,其中最嚴重的漏洞可讓遠端攻擊者造成阻斷服務。

    說明:Apache 2.4.16 之前的版本有多個漏洞。將 Apache 更新至 2.4.16 版後,已解決這些問題。

    CVE-ID

    CVE-2014-3581

    CVE-2014-3583

    CVE-2014-8109

    CVE-2015-0228

    CVE-2015-0253

    CVE-2015-3183

    CVE-2015-3185

  • apache_mod_php

    適用於:OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:PHP 5.5.20 中有多個漏洞,最嚴重者可能導致任意程式碼得以執行。

    說明:PHP 5.5.20 之前的版本有多個漏洞。將 Apache 更新至 5.5.27 版後,已解決這些問題。

    CVE-ID

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3307

    CVE-2015-3329

    CVE-2015-3330

    CVE-2015-4021

    CVE-2015-4022

    CVE-2015-4024

    CVE-2015-4025

    CVE-2015-4026

    CVE-2015-4147

    CVE-2015-4148

  • Apple ID OD 外掛模組

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意應用程式可能得以變更本機使用者的密碼

    說明:在某些情況下,進行密碼驗證時會有狀態管理問題。改良狀態管理後,已解決此問題。

    CVE-ID

    CVE-2015-3799:與 HP 的 Zero Day Initiative 計劃合作的匿名研究員

  • AppleGraphicsControl

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意應用程式可能能夠判斷核心記憶體配置

    說明:AppleGraphicsControl 發生問題,可能導致核心記憶體配置洩露。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-5768:KeenTeam 的 JieTao Yang

  • 藍牙

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:本機使用者可能以系統權限執行任意程式碼

    說明:IOBluetoothHCIController 有記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-3779:Facebook Security 的 Teddy Reed

  • 藍牙

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意應用程式可能能夠判斷核心記憶體配置

    說明:記憶體管理問題可能會導致核心記憶體配置洩露。改良記憶體管理機制後,已解決此問題。

    CVE-ID

    CVE-2015-3780:Emaze Networks 的 Roberto Paleari 和 Aristide Fattori

  • 藍牙

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意 app 可能得以存取其他 iCloud 裝置的通知

    說明:惡意 app 可能得以透過「Apple 通知中心服務」,存取已進行藍牙配對之 Mac 或 iOS 裝置的「通知中心」通知。此問題會影響使用 Handoff 的裝置,並登入相同的 iCloud 帳號。撤銷對「Apple 通知中心服務」的存取權後,已解決此問題。

    CVE-ID

    CVE-2015-3786:Xiaolong Bai(清華大學)、系統安全性實驗室(印地安那大學)、Tongxin Li(北京大學)、XiaoFeng Wang(印地安那大學)

  • 藍牙

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:具有權限之網路位置的攻擊者,可能得以使用格式不正確的藍牙封包來執行阻斷服務攻擊

    說明:剖析藍牙 ACL 封包時,有輸入驗證的問題。改良輸入驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-3787:Trend Micro

  • 藍牙

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:本機攻擊者可能會導致應用程式意外終止或任意程式碼得以執行

    說明:blued 處理 XPC 訊息時,有多個緩衝區溢位的問題。改良界限檢查機制後,已解決這些問題。

    CVE-ID

    CVE-2015-3777:[PDX] 的 mitp0sh

  • BootP

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意的 Wi-Fi 網路也許能夠判斷出裝置之前存取的網路

    說明:連線至 Wi-Fi 網路後,iOS 可能會透過 DNAv4 通訊協定,廣播先前所存取網路的 MAC 位址。在未加密 Wi-Fi 網路上停用 DNAv4 後,已解決此問題。

    CVE-ID

    CVE-2015-3778:牛津大學牛津 Internet 學院的 Piers O'Hanlon(EPSRC Being There 專案)

  • CloudKit

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意應用程式可能得以存取先前登入使用者的 iCloud 使用者記錄

    說明:將使用者登出時,CloudKit 中的狀態不一致。改良狀態處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-3782:多倫多大學的 Deepkanwal Plaha

  • CoreMedia 播放

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:檢視惡意製作的影片檔案可能導致應用程式意外終止或執行任意程式碼

    說明:CoreMedia 播放時,有記憶體損毀問題。改良記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2015-5777:Apple

    CVE-2015-5778:Apple

  • CoreText

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:處理惡意製作的字體檔案,可能會導致應用程式意外終止或任意程式碼得以執行

    說明:處理字體檔案的方式有記憶體損毀問題。改良輸入驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5761:John Villamil(@day6reak)、Yahoo Pentest Team

  • CoreText

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:處理惡意製作的字體檔案,可能會導致應用程式意外終止或任意程式碼得以執行

    說明:處理字體檔案的方式有記憶體損毀問題。改良輸入驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5755:John Villamil(@day6reak)、Yahoo Pentest Team

  • curl

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:7.38.0 之前的 cURL 和 libcurl 有多個漏洞,其中一個漏洞可讓遠端攻擊者得以避開「相同來源原則」。

    說明:7.38.0 之前的 cURL 和 libcurl 有多個漏洞。將 cURL 更新至 7.43.0 版後,已解決這些問題。

    CVE-ID

    CVE-2014-3613

    CVE-2014-3620

    CVE-2014-3707

    CVE-2014-8150

    CVE-2014-8151

    CVE-2015-3143

    CVE-2015-3144

    CVE-2015-3145

    CVE-2015-3148

    CVE-2015-3153

  • 資料偵測器引擎

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:處理一連串的 Unicode 字元時,可能會導致應用程式意外終止或任意程式碼得以執行

    說明:處理 Unicode 字元時,有記憶體損毀的問題。改進記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2015-5750:Safeye Team 的 M1x7e1(www.safeye.org)

  • 日期和時間偏好設定窗格

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:依賴系統時間的應用程式可能會出現非預期的行為

    說明:修改系統日期和時間的偏好設定時,會發生授權問題。改良授權檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-3757:Mark S C Smith

  • 辭典應用程式

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:具有權限之網路位置的攻擊者,可能得以攔截使用者的「辭典」app 查詢

    說明:「辭典」app 有問題,無法妥善保護使用者通訊的安全。將「辭典」查詢移至 HTTPS 後,已解決此問題。

    CVE-ID

    CVE-2015-3774:EEQJ 的 Jeffrey Paul、Google Security Team 的 Jan Bee

  • DiskImages

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:處理惡意製作的 DMG 檔案時,可能會導致應用程式意外終止,或利用系統權限執行任意程式碼

    說明:剖析格式不正確的 DMG 影像時,有記憶體損毀的問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-3800:Yahoo Pentest Team 的 Frank Graziano

  • dyld

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:本機使用者可能以系統權限執行任意程式碼

    說明:dyld 出現路徑驗證問題。改良環境的處理方式後,已解決此問題。

    CVE-ID

    CVE-2015-3760:grayhash 的 beist、Stefan Esser

  • FontParser

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:處理惡意製作的字體檔案,可能會導致應用程式意外終止或任意程式碼得以執行

    說明:處理字體檔案的方式有記憶體損毀問題。改良輸入驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-3804:Apple

    CVE-2015-5775:Apple

  • FontParser

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:處理惡意製作的字體檔案,可能會導致應用程式意外終止或任意程式碼得以執行

    說明:處理字體檔案的方式有記憶體損毀問題。改良輸入驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5756:John Villamil(@day6reak)、Yahoo Pentest Team

  • groff

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:pdfroff 有多項問題

    說明:pdfroff 有多項問題,最嚴重者可能會允許修改任意檔案系統。移除 pdfroff 後,已解決這些問題。

    CVE-ID

    CVE-2009-5044

    CVE-2009-5078

  • ImageIO

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:處理惡意製作的 TIFF 影像,可能造成應用程式意外終止或執行任意程式碼

    說明:處理 TIFF 影像時,有記憶體損毀問題。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-5758:Apple

  • ImageIO

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:瀏覽惡意製作的網站可能導致程序記憶體洩露

    說明:ImageIO 處理 PNG 和 TIFF 影像時,發生尚未初始化的記憶體存取問題。造訪惡意網站時,可能將程序記憶體中的資料傳送到網站。改良記憶體初始化並增加對 PNG 和 TIFF 影像的驗證後,已解決此問題。

    CVE-ID

    CVE-2015-5781:Michal Zalewski

    CVE-2015-5782:Michal Zalewski

  • 安裝舊型架構

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意應用程式可能以 root 權限執行任意程式碼

    說明:Install.framework 的 'runner' 二進位檔捨棄權限的方式有問題。改良權限管理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5784:Google Project Zero 的 Ian Beer

  • 安裝舊型架構

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:Install.framework 的 'runner' 二進位檔有競爭情況,進而導致不當捨棄權限。改良物件鎖定機制後,已解決此問題。

    CVE-ID

    CVE-2015-5754:Google Project Zero 的 Ian Beer

  • IOFireWireFamily

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:本機使用者可能以系統權限執行任意程式碼

    說明:IOFireWireFamily 有記憶體損毀問題。新增類型輸入驗證機制後,已解決這些問題。

    CVE-ID

    CVE-2015-3769:Ilja van Sprundel

    CVE-2015-3771:Ilja van Sprundel

    CVE-2015-3772:Ilja van Sprundel

  • IOGraphics

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:IOGraphics 有記憶體損毀問題。新增類型輸入驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-3770:Ilja van Sprundel

    CVE-2015-5783:Ilja van Sprundel

  • IOHIDFamily

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:本機使用者可能以系統權限執行任意程式碼

    說明:IOHIDFamily 有緩衝區溢位問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5774:TaiG Jailbreak 團隊

  • 核心

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意應用程式可能能夠判斷核心記憶體配置

    說明:mach_port_space_info 介面有問題,可能會導致核心記憶體配置洩露。停用 mach_port_space_info 介面後,已解決此問題。

    CVE-ID

    CVE-2015-3766:Alibaba Mobile Security Team 的 Cererdlong、@PanguTeam

  • 核心

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:處理 IOKit 函數時,出現整數溢位。改良 IOKit API 引數的驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-3768:Ilja van Sprundel

  • 核心

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:本機使用可能會導致系統阻斷服務

    說明:fasttrap 驅動程式有資源耗盡問題。改良記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5747:m00nbsd 的 Maxime VILLARD

  • 核心

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:本機使用可能會導致系統阻斷服務

    說明:裝載 HFS 卷宗時,有驗證問題。新增其他檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-5748:m00nbsd 的 Maxime VILLARD

  • 核心

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意應用程式可能得以執行未簽署的程式碼

    說明:有一個問題會允許在特製的可執行檔中,將未簽署的程式碼附加至已簽署的程式碼。改良程式碼簽章驗證後,已解決此問題。

    CVE-ID

    CVE-2015-3806:TaiG Jailbreak 團隊

  • 核心

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:特製的可執行檔可能會允許未簽署的惡意程式碼執行

    說明:評估多重架構可執行檔的方式有問題,可能會允許未簽署的程式碼執行。改良可執行檔的驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-3803:TaiG Jailbreak 團隊

  • 核心

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:本機使用者可能得以執行未簽署的程式碼

    說明:處理 Mach-O 檔案時,有驗證問題。新增其他檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-3802:TaiG Jailbreak 團隊

    CVE-2015-3805:TaiG Jailbreak 團隊

  • 核心

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:剖析惡意製作的 plist 時,可能會導致應用程式意外終止,或利用系統權限執行任意程式碼

    說明:處理格式不正確的 plist 時,有記憶體損毀的問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-3776:Facebook Security 的 Teddy Reed、Jinx Germany 的 Patrick Stein(@jollyjinx)

  • 核心

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:本機使用者可能以系統權限執行任意程式碼

    說明:路徑驗證有問題。改良環境的處理方式後,已解決此問題。

    CVE-ID

    CVE-2015-3761:Apple

  • Libc

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:處理惡意製作的規則運算式時,可能會導致應用程式意外終止或任意程式碼得以執行

    說明:TRE 資料庫有記憶體損毀問題。改良記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2015-3796:Google Project Zero 的 Ian Beer

    CVE-2015-3797:Google Project Zero 的 Ian Beer

    CVE-2015-3798:Google Project Zero 的 Ian Beer

  • Libinfo

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:遠端攻擊者可能導致應用程式意外終止或任意程式碼得以執行

    說明:處理 AF_INET6 通訊端時,有記憶體損毀問題。改良記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2015-5776:Apple

  • libpthread

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:處理系統呼叫時,有記憶體損毀問題。改良鎖定狀態檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-5757:Qihoo 360 的 Lufeng Li

  • libxml2

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:2.9.2 之前的 libxml2 版本有多個漏洞,其中最嚴重的漏洞可讓遠端攻擊者造成阻斷服務

    說明:2.9.2 之前的 libxml2 版本有多個漏洞。將 libxml2 更新至 2.9.2 版後,已解決這些問題。

    CVE-ID

    CVE-2012-6685:Google 的 Felix Groebert

    CVE-2014-0191:Google 的 Felix Groebert

  • libxml2

    適用於:OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:剖析惡意製作的 XML 文件可能會導致使用者資訊洩露

    說明:libxml2 有記憶體存取問題。改良記憶體處理機制後,已解決此問題

    CVE-ID

    CVE-2014-3660:Google 的 Felix Groebert

  • libxml2

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:剖析惡意製作的 XML 文件可能會導致使用者資訊洩露

    說明:剖析 XML 檔案時,有記憶體損毀的問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-3807:Apple

  • libxpc

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:處理格式不正確的 XPC 訊息時,有記憶體損毀的問題。改良界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-3795:Mathew Rowley

  • mail_cmds

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:本機使用者可能得以執行任意 Shell 指令

    說明:對電子郵件位址進行 mailx 剖析時,有驗證問題。改良處理方式後,已解決此問題。

    CVE-ID

    CVE-2014-7844

  • 通知中心 OSX

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:惡意應用程式可能得以存取先前對使用者顯示的所有通知

    說明:「通知中心」有問題,無法適當刪除使用者通知。正確刪除使用者關閉的通知後,已解決此問題。

    CVE-ID

    CVE-2015-3764:Jonathan Zdziarski

  • ntfs

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:本機使用者可能以系統權限執行任意程式碼

    說明:NTFS 有記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5763:Emaze Networks 的 Roberto Paleari 和 Aristide Fattori

  • OpenSSH

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:遠端攻擊者可能得以規避嘗試登入失敗的時間延遲,進行強力攻擊

    說明:處理鍵盤互動裝置時有問題。改良認證要求的驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5600

  • OpenSSL

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:0.9.8zg 之前的 OpenSSL 版本有多個漏洞,其中最嚴重的漏洞可讓遠端攻擊者造成阻斷服務。

    說明:0.9.8zg 之前的 OpenSSL 版本有多個漏洞。將 OpenSSL 更新到 0.9.8zg 版後,已解決這些問題。

    CVE-ID

    CVE-2015-1788

    CVE-2015-1789

    CVE-2015-1790

    CVE-2015-1791

    CVE-2015-1792

  • perl

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:剖析惡意製作的規則運算式時,可能會導致應用程式意外終止或任意程式碼得以執行

    說明:Perl 剖析規則運算式的方式有整數向下溢位的問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2013-7422

  • PostgreSQL

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:攻擊者可能會導致應用程式意外終止,或是能夠在未獲適當驗證的情況下存取資料

    說明:PostgreSQL 9.2.4 有多項問題。將 PostgreSQL 更新至 9.2.13 版後,已解決這些問題。

    CVE-ID

    CVE-2014-0067

    CVE-2014-8161

    CVE-2015-0241

    CVE-2015-0242

    CVE-2015-0243

    CVE-2015-0244

  • python

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:Python 2.7.6 有多個漏洞,最嚴重者可能導致任意程式碼得以執行

    說明:2.7.6 之前的 Python 版本有多個漏洞。將 Python 更新至 2.7.10 版後,已解決這些問題。

    CVE-ID

    CVE-2013-7040

    CVE-2013-7338

    CVE-2014-1912

    CVE-2014-7185

    CVE-2014-9365

  • QL Office

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:剖析惡意製作的 Office 文件可能會導致應用程式意外終止或執行任意程式碼

    說明:剖析 Office 文件時,有記憶體損毀的問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5773:Apple

  • QL Office

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:剖析惡意製作的 XML 檔案可能會導致使用者資訊洩露

    說明:剖析 XML 檔案時,有外部實體參照問題。改良剖析機制後,已解決此問題。

    CVE-ID

    CVE-2015-3784:INTEGRITY S.A. 的 Bruno Morisson

  • Quartz Composer 架構

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:剖析惡意製作的 QuickTime 檔案可能導致應用程式意外終止或執行任意程式碼

    說明:剖析 QuickTime 檔案時,有記憶體損毀的問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5771:Apple

  • 快速查看

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:搜尋先前檢視的網站時,可能會啟動網頁瀏覽器,並顯示該網站

    說明:有 QuickLook 能夠執行 JavaScript 的問題。調節 JavaScript 提示流量後,已解決此問題。

    CVE-ID

    CVE-2015-3781:Facebook 的 Andrew Pouliot、Qubole 的 Anto Loyola

  • QuickTime 7

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:處理惡意製作的檔案時,可能造成應用程式意外終止或任意程式碼得以執行

    說明:QuickTime 中有多個記憶體損毀問題。改進記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2015-3772

    CVE-2015-3779

    CVE-2015-5753:Apple

    CVE-2015-5779:Apple

  • QuickTime 7

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:處理惡意製作的檔案時,可能造成應用程式意外終止或任意程式碼得以執行

    說明:QuickTime 中有多個記憶體損毀問題。改進記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2015-3765:Audio Poison 的 Joe Burnett

    CVE-2015-3788:Cisco Talos 的 Ryan Pentney 和 Richard Johnson

    CVE-2015-3789:Cisco Talos 的 Ryan Pentney 和 Richard Johnson

    CVE-2015-3790:Cisco Talos 的 Ryan Pentney 和 Richard Johnson

    CVE-2015-3791:Cisco Talos 的 Ryan Pentney 和 Richard Johnson

    CVE-2015-3792:Cisco Talos 的 Ryan Pentney 和 Richard Johnson

    CVE-2015-5751:WalkerFuz

  • SceneKit

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:檢視惡意製作的 Collada 檔案,可能導致任意程式碼得以執行

    說明:SceneKit 處理 Collada 檔案時,出現堆積緩衝區溢位。改良輸入驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5772:Apple

  • SceneKit

    適用於:OS X Mountain Lion v10.8.5、OS X Mavericks v10.9.5、OS X Yosemite v10.10 至 v10.10.4

    影響:遠端攻擊者可能導致應用程式意外終止或任意程式碼得以執行

    說明:SceneKit 有記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-3783:Google Security Team 的 Haris Andrianakis

  • 安全性

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:標準使用者可能得以在未獲適當驗證的情況下,存取系統管理權限

    說明:處理使用者驗證時有問題。改良驗證檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-3775:[Eldon Ahrold]

  • SMBClient

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:遠端攻擊者可能導致應用程式意外終止或任意程式碼得以執行

    說明:SMB 用戶端有記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-3773:Ilja van Sprundel

  • 語音 UI

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:剖析惡意製作並啟用語音提示的 Unicode 字串時,可能導致應用程式意外終止或執行任意程式碼

    說明:處理 Unicode 字串時,有記憶體損毀的問題。改良記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-3794:Refinitive 的 Adam Greenbaum

  • sudo

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:1.7.10p9 之前的 sudo 版本有多個漏洞,最嚴重者可讓攻擊者存取任意檔案

    說明:1.7.10p9 之前的 sudo 版本有多個漏洞。將 sudo 更新到 1.7.10p9 版後,已解決這些問題。

    CVE-ID

    CVE-2013-1775

    CVE-2013-1776

    CVE-2013-2776

    CVE-2013-2777

    CVE-2014-0106

    CVE-2014-9680

  • tcpdump

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:tcpdump 4.7.3 中有多個漏洞,最嚴重者可能會讓遠端攻擊者造成阻斷服務。

    說明:4.7.3 之前的 tcpdump 版本有多個漏洞。將 tcpdump 更新至 4.7.3 版後,已解決這些問題。

    CVE-ID

    CVE-2014-8767

    CVE-2014-8769

    CVE-2014-9140

  • 文字格式

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:剖析惡意製作的文字檔案可能會導致使用者資訊洩露

    說明:進行 TextEdit 剖析時,有 XML 外部實體參照問題。改良剖析機制後,已解決此問題。

    CVE-ID

    CVE-2015-3762:Evernote Security Team 的 Xiaoyong Wu

  • udf

    適用於:OS X Yosemite v10.10 至 v10.10.4

    影響:處理惡意製作的 DMG 檔案時,可能會導致應用程式意外終止,或利用系統權限執行任意程式碼

    說明:剖析格式不正確的 DMG 影像時,有記憶體損毀的問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-3767:grayhash 的 beist

OS X Yosemite v10.10.5 包含 Safari 8.0.8 的安全性內容。

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: