關於 OS X El Capitan v10.11 的安全性內容

本文說明 OS X El Capitan v10.11 的安全性內容。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。如需 Apple 產品安全性的詳細資訊,請參閱「Apple 產品安全性」網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。

若要瞭解其他安全性更新,請參閱「Apple 安全性更新」。

OS X El Capitan v10.11

  • 通訊錄

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機攻擊者可能得以將任意程式碼插入載入通訊錄架構的程序

    說明:通訊錄架構處理環境變數的方式有問題。改進環境變數處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5897:Gotham Digital Science 的 Dan Bastone

  • AirScan

    適用於:Mac OS X v10.6.8 和以上版本

    影響:網路位置具有權限的攻擊者可能得以從透過安全連線傳送的 eSCL 封包擷取承載資料

    說明:處理 eSCL 封包的方式有問題。改進驗證檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-5853:匿名研究人員

  • apache_mod_php

    適用於:Mac OS X v10.6.8 和以上版本

    影響:PHP 有多個漏洞

    說明:5.5.27 之前的 PHP 版本有多個漏洞,其中一個可能導致遠端程式碼得以執行。將 PHP 更新至 5.5.27 版後,已解決此問題。

    CVE-ID

    CVE-2014-9425

    CVE-2014-9427

    CVE-2014-9652

    CVE-2014-9705

    CVE-2014-9709

    CVE-2015-0231

    CVE-2015-0232

    CVE-2015-0235

    CVE-2015-0273

    CVE-2015-1351

    CVE-2015-1352

    CVE-2015-2301

    CVE-2015-2305

    CVE-2015-2331

    CVE-2015-2348

    CVE-2015-2783

    CVE-2015-2787

    CVE-2015-3329

    CVE-2015-3330

  • Apple Online Store 套件

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意應用程式可以存取使用者的鑰匙圈項目

    說明:驗證 iCloud 鑰匙圈項目的存取控制列表的方式有問題。改進存取控制列表檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-5836:印地安那大學的 XiaoFeng Wang、印地安那大學的 Luyi Xing、北京大學的 Tongxin Li、清華大學的 Xiaolong Bai

  • AppleEvents

    適用於:Mac OS X v10.6.8 和以上版本

    影響:透過螢幕共享連線的使用者可以將 Apple Event 傳送到本機使用者的工作階段

    說明:Apple Event 過濾機制有問題,可讓部分使用者傳送事件給其他使用者。改進 Apple Event 處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5849:Jack Lawrence(@_jackhl)

  • 音訊

    適用於:Mac OS X v10.6.8 和以上版本

    影響:播放惡意音訊檔案可能會導致應用程式意外終止

    說明:處理音訊檔案時,出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5862:韓國首爾延世大學 Information Security Lab(指導:Taekyoung Kwon 教授)的 YoungJin Yoon

  • bash

    適用於:Mac OS X v10.6.8 和以上版本

    影響:bash 有多個漏洞

    說明:3.2 修補程式層級 57 之前的 bash 版本有多個漏洞。將 bash 3.2 版更新至修補程式層級 57 後,已解決此問題。

    CVE-ID

    CVE-2014-6277

    CVE-2014-7186

    CVE-2014-7187

  • 憑證信任規則

    適用於:Mac OS X v10.6.8 和以上版本

    影響:更新憑證信任規則

    說明:憑證信任規則已更新。如需完整的憑證列表,請查看 https://support.apple.com/zh-tw/HT202858

  • CFNetwork Cookie

    適用於:Mac OS X v10.6.8 和以上版本

    影響:具有網路特殊權限的攻擊者可追蹤使用者的活動

    說明:處理頂層網域時出現跨網域 Cookie 問題。改進建立 Cookie 的限制後,已解決此問題。

    CVE-ID

    CVE-2015-5885:清華大學藍蓮花戰隊的 Xiaofeng Zheng

  • CFNetwork FTPProtocol

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意 FTP 伺服器可能得以指示用戶端對其他主機進行探查

    說明:使用 PASV 指令時,處理 FTP 封包的方式有問題。改進驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5912:Amit Klein

  • CFNetwork HTTPProtocol

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意製作的 URL 可能得以規避 HSTS 並洩漏敏感資料

    說明:HSTS 的處理方式有 URL 剖析漏洞。改進 URL 剖析機制後,已解決此問題。

    CVE-ID

    CVE-2015-5858:清華大學藍蓮花戰隊的 Xiaofeng Zheng

  • CFNetwork HTTPProtocol

    適用於:Mac OS X v10.6.8 和以上版本

    影響:具有權限之網路位置的攻擊者可能會攔截網路流量

    說明:在 Safari 私密瀏覽模式中處理 HSTS 預先載入列表項目時出現問題。改進狀態處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5859:盧森堡大學的 Rosario Giustolisi

  • CFNetwork HTTPProtocol

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意網站可能得以在 Safari 私密瀏覽模式中追蹤使用者

    說明:在 Safari 私密瀏覽模式中處理 HSTS 狀態時出現問題。改進狀態處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5860:RadicalResearch Ltd 的 Sam Greenhalgh

  • CFNetwork 代理伺服器

    適用於:Mac OS X v10.6.8 和以上版本

    影響:連線到惡意網頁代理伺服器可能會設定網站的惡意 Cookie

    說明:處理代理伺服器連線回應時出現問題。剖析連線回應時移除 set-cookie 標頭後,已解決此問題。

    CVE-ID

    CVE-2015-5841:清華大學藍蓮花戰隊的 Xiaofeng Zheng

  • CFNetwork SSL

    適用於:Mac OS X v10.6.8 和以上版本

    影響:網路位置具有權限的攻擊者可以攔截 SSL/TLS 連線

    說明:變更憑證時,出現 NSURL 的憑證驗證問題。改進憑證驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5824:The Omni Group 的 Timothy J. Wood

  • CFNetwork SSL

    適用於:Mac OS X v10.6.8 和以上版本

    影響:攻擊者可能得以將受到 SSL 保護的資料加以解密

    說明:RC4 的機密性會受到已知攻擊。攻擊者可利用封鎖 TLS 1.0 和以上版本的連線,直到 CFNetwork 嘗試僅允許 RC4 的 SSL 3.0 的方式,強制使用 RC4,即使伺服器偏好使用較佳的加密機制也一樣。移除改用 SSL 3.0 的機制後,已解決此問題。

  • CoreCrypto

    適用於:Mac OS X v10.6.8 和以上版本

    影響:攻擊者可能得以判斷私密金鑰

    說明:藉由觀察多次簽署或解密嘗試,攻擊者可能得以判斷 RSA 私密金鑰。改進加密演算法後,已解決此問題。

  • CoreText

    適用於:Mac OS X v10.6.8 和以上版本

    影響:處理惡意製作的字體檔案可能導致執行任意程式碼

    說明:處理字體檔案時,出現記憶體損毀問題。改進輸入驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5874:John Villamil(@day6reak)、Yahoo Pentest Team

  • 開發工具

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:dyld 出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5876:grayhash 的 beist

  • 開發工具

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意應用程式可能得以略過程式碼簽署

    說明:可執行檔的程式碼簽署驗證出現問題。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-5839:@PanguTeam

  • 磁碟映像檔

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能以系統權限執行任意程式碼

    說明:DiskImages 出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5847:Filippo Bigarella、Luca Todesco

  • dyld

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意應用程式可能得以略過程式碼簽署

    說明:可執行檔的程式碼簽署驗證出現問題。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-5839:TaiG Jailbreak 團隊

  • EFI

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意應用程式可能導致部分系統無法開機

    說明:受保護範圍登錄涵蓋的位址有問題。變更受保護的範圍後,已解決此問題。

    CVE-ID

    CVE-2015-5900:LegbaCore 的 Xeno Kovah 和 Corey Kallenberg

  • EFI

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意 Apple 乙太網路 Thunderbolt 轉換器可能得以影響韌體更新

    說明:Apple 乙太網路 Thunderbolt 轉換器若在 EFI 更新期間連接,可能會修改主機韌體。藉由在更新期間不載入選項 ROM,已解決此問題。

    CVE-ID

    CVE-2015-5914:Two Sigma Investments and snare 的 Trammell Hudson

  • Finder

    適用於:Mac OS X v10.6.8 和以上版本

    影響:「安全清空垃圾桶」可能無法安全地刪除放在垃圾桶中的檔案。

    說明:在某些系統上保證安全刪除垃圾桶檔案有問題,例如快閃儲存裝置的檔案。移除「安全清空垃圾桶」選項後,已解決此問題。

    CVE-ID

    CVE-2015-5901:Apple

  • Game Center

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意 Game Center 應用程式可能得以存取玩家的電子郵件地址

    說明:Game Center 處理玩家電子郵件時出現問題。改進存取限制機制後,已解決此問題。

    CVE-ID

    CVE-2015-5855:Nasser Alnasser

  • Heimdal

    適用於:Mac OS X v10.6.8 和以上版本

    影響:攻擊者可能得以向 SMB 伺服器重播 Kerberos 憑證。

    說明:Kerberos 憑證有驗證問題。使用最近看到的憑證列表進一步驗證憑證後,已解決問題。

    CVE-ID

    CVE-2015-5913:美國 Microsoft Corporation 的 Tarun Chopra、中國 Microsoft Corporation 的 Yu Fan

  • ICU

    適用於:Mac OS X v10.6.8 和以上版本

    影響:ICU 有多個漏洞

    說明:53.1.0 之前的 ICU 版本出現多個漏洞。將 ICU 更新至 55.1 版後,已解決這些問題。

    CVE-ID

    CVE-2014-8146:Marc Deslauriers

    CVE-2014-8147:Marc Deslauriers

    CVE-2015-5922:Google Project Zero 的 Mark Brand

  • 安裝舊型架構

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能得以取得根權限

    說明:包含權限可執行檔的「安裝」私密架構有限制問題。移除可執行檔後,已解決此問題。

    CVE-ID

    CVE-2015-5888:Apple

  • Intel 顯示卡驅動程式

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能以系統權限執行任意程式碼

    說明:Intel 顯示卡驅動程式有多個記憶體損毀問題。改進記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2015-5830:Yuki MIZUNO(@mzyy94)

    CVE-2015-5877:Camillus Gerard Cai

  • IOAudioFamily

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能得以判斷核心記憶體佈局

    說明:IOAudioFamily 有問題,會導致核心記憶體內容洩漏。改變核心指標序列後,已解決此問題。

    CVE-ID

    CVE-2015-5864:Luca Todesco

  • IOGraphics

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能以核心權限執行任意程式碼

    說明:核心出現多個記憶體損毀問題。改進記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2015-5871:IOActive 的 lja van Sprundel

    CVE-2015-5872:IOActive 的 Ilja van Sprundel

    CVE-2015-5873:IOActive 的 Ilja van Sprundel

    CVE-2015-5890:IOActive 的 Ilja van Sprundel

  • IOGraphics

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意應用程式可能得以判斷核心記憶體佈局

    說明:IOGraphics 有問題,會導致核心記憶體配置洩漏。改進記憶體管理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5865:Luca Todesco

  • IOHIDFamily

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意應用程式可能以系統權限執行任意程式碼

    說明:IOHIDFamily 出現多個記憶體損毀問題。改進記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2015-5866:Apple

    CVE-2015-5867:Trend Micro 的 moony li

  • IOStorageFamily

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機攻擊者可能得以讀取核心記憶體

    說明:核心出現記憶體初始化問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5863:IOActive 的 Ilja van Sprundel

  • 核心

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能以核心權限執行任意程式碼

    說明:核心有多個記憶體損毀問題。改進記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2015-5868:Alibaba Mobile Security Team 的 Cererdlong

    CVE-2015-5896:m00nbsd 的 Maxime Villard

    CVE-2015-5903:CESG

  • 核心

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機程序可在沒有授權檢查的情況下修改其他程序

    說明:系統出現問題,允許使用 processor_set_tasks API 的根程序擷取其他程序的工作連接埠。追加授權檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-5882:Pedro Vilaça(從 Ming-chieh Pan 和 Sung-ting Tsai 的原始研究來解決此問題)、Jonathan Levin

  • 核心

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機攻擊者可控制堆疊 Cookie 的值

    說明:產生使用者空間堆疊 Cookie 的機制出現多個弱點。改進產生堆疊 Cookie 的機制後,已解決這些問題。

    CVE-ID

    CVE-2013-3951:Stefan Esser

  • 核心

    適用於:Mac OS X v10.6.8 和以上版本

    影響:攻擊者可能得以在不知道正確序列號碼的情況下,對目標 TCP 連線發動阻斷服務攻擊

    說明:xnu 驗證 TCP 封包標頭時出現問題。改進 TCP 封包標頭驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5879:Jonathan Looney

  • 核心

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機 LAN 區段的攻擊者可停用 IPv6 路由

    說明:處理 IPv6 路由器公告的方式有驗證不足的問題,可讓攻擊者將躍點限制設為任意值。強制最低躍點限制後,已解決此問題。

    CVE-ID

    CVE-2015-5869:Dennis Spindel Ljungmark

  • 核心

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能得以判斷核心記憶體佈局

    說明:存在導致核心記憶體配置洩漏的問題。改進核心記憶體結構初始化後,已解決此問題。

    CVE-ID

    CVE-2015-5842:grayhash 的 beist

  • 核心

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能得以判斷核心記憶體佈局

    說明:除錯介面有問題,會導致記憶體內容洩漏。淨化除錯介面的輸出後,已解決此問題。

    CVE-ID

    CVE-2015-5870:Apple

  • 核心

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能導致系統阻斷服務

    說明:除錯功能有狀態管理問題。改進驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5902:NowSecure Research Team 的 Sergi Alvarez(pancake)

  • libc

    適用於:Mac OS X v10.6.8 和以上版本

    影響:遠端攻擊者可能得以執行任意程式碼

    說明:fflush 函數出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2014-8611:Norse Corporation 的 Adrian Chadd 和 Alfred Perlstein

  • libpthread

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能以核心權限執行任意程式碼

    說明:核心出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5899:奇虎 360 Vulcan Team 的 Lufeng Li

  • libxpc

    適用於:Mac OS X v10.6.8 和以上版本

    影響:許多 SSH 連線可能會導致拒絕服務

    說明:launchd 對於網路連線可以啟動的程序數目未設有限制。將 SSH 程序數目限制在 40 後,已解決問題。

    CVE-ID

    CVE-2015-5881:Apple

  • 登入視窗

    適用於:Mac OS X v10.6.8 和以上版本

    影響:螢幕鎖定在過了指定的一段時間後可能無法啟動

    說明:擷取的顯示器鎖定有問題。改進鎖定的處理方式後,已解決此問題。

    CVE-ID

    CVE-2015-5833:Rainer Dorau of rainer dorau informationsdesign 的 Carlos Moreira、Asynchrony 的 Chris Nehren、Kai Takac、Hans Douma、Toni Vaahtera 和 Jon Hall

  • lukemftpd

    適用於:Mac OS X v10.6.8 和以上版本

    影響:遠端攻擊者可能得以拒絕 FTP 伺服器的服務

    說明:tnftpd 有 glob 處理問題。改進 glob 驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5917:cxsecurity.com 的 Maksymilian Arciemowicz

  • 郵件

    適用於:Mac OS X v10.6.8 和以上版本

    影響:列印電子郵件可能會導致洩漏敏感的使用者資訊

    說明:「郵件」有問題,會在列印電子郵件時略過使用者的偏好設定。改進使用者偏好設定強制執行機制後,已解決此問題。

    CVE-ID

    CVE-2015-5881:Akamai Technologies 的 Owen DeLong、Noritaka Kamiya、德國埃申堡的 Dennis Klein、Systim Technology Partners 的 Jeff Hammett

  • 郵件

    適用於:Mac OS X v10.6.8 和以上版本

    影響:網路位置具有權限的攻擊者可能得以攔截透過 Mail Drop 傳送的 S/MIME 加密電子郵件的附件

    說明:處理透過 Mail Drop 傳送的大型電子郵件附件的加密參數時出現問題。藉由傳送加密電子郵件時不再提供 Mail Drop,已解決問題。

    CVE-ID

    CVE-2015-5884:Integrated Mapping Ltd 的 John McCombs

  • Multipeer Connectivity

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機攻擊者可能得以觀察未受保護的 multipeer 資料

    說明:處理便利初始設定式時出現問題,可能會將加密主動降級為非加密工作階段。將便利初始設定式變更為需要加密後,已解決此問題。

    CVE-ID

    CVE-2015-5851:Data Theorem 的 Alban Diquet(@nabla_c0d3)

  • NetworkExtension

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意應用程式可能得以判斷核心記憶體佈局

    說明:核心出現未初始化記憶體問題,導致核心記憶體內容洩漏。改進記憶體初始化後,已解決此問題。

    CVE-ID

    CVE-2015-5831:m00nbsd 的 Maxime Villard

  • 備註

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能得以洩漏敏感的使用者資訊

    說明:剖析「備忘錄」應用程式中的連結時出現問題。改進輸入驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5878:Tripwire VERT 的 Craig Young、匿名研究人員

  • 備註

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能得以洩漏敏感的使用者資訊

    說明:「備忘錄」應用程式剖析的文字有跨網站指令碼問題。改進輸入驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5875:騰訊宣武實驗室(www.tencent.com)的 xisigr

  • OpenSSH

    適用於:Mac OS X v10.6.8 和以上版本

    影響:OpenSSH 有多個漏洞

    說明:6.9 之前的 OpenSSH 版本有多個漏洞。將 OpenSSH 更新至 6.9 版後,已解決這些問題。

    CVE-ID

    CVE-2014-2532

  • OpenSSL

    適用於:Mac OS X v10.6.8 和以上版本

    影響:OpenSSL 有多個漏洞

    說明:0.9.8zg 之前的 OpenSSL 版本出現多個漏洞。將 OpenSSL 更新到 0.9.8zg 版後,已解決這些問題。

    CVE-ID

    CVE-2015-0286

    CVE-2015-0287

  • procmail

    適用於:Mac OS X v10.6.8 和以上版本

    影響:procmail 有多個漏洞

    說明:3.22 之前的 procmail 版本有多個漏洞。移除 procmail 後,已解決這些問題。

    CVE-ID

    CVE-2014-3618

  • remote_cmds

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能以根權限執行任意程式碼

    說明:rsh 二進位檔使用環境變數的方式有問題。從 rsh 二進位檔去除 setuid 權限後,已解決此問題。

    CVE-ID

    CVE-2015-5889:Philip Pettersson

  • removefile

    適用於:Mac OS X v10.6.8 和以上版本

    影響:處理惡意資料可能會導致應用程式意外終止

    說明:checkint 除法常式出現溢位錯誤。改進除法常式後,已解決此問題。

    CVE-ID

    CVE-2015-5840:匿名研究人員

  • Ruby

    適用於:Mac OS X v10.6.8 和以上版本

    影響:Ruby 有多個漏洞

    說明:2.0.0p645 之前的 Ruby 版本有多個漏洞。將 Ruby 更新至 2.0.0p645 版後,已解決這些問題。

    CVE-ID

    CVE-2014-8080

    CVE-2014-8090

    CVE-2015-1855

  • 安全性

    適用於:Mac OS X v10.6.8 和以上版本

    影響:使用者可能會看到不正確的鑰匙圈鎖定狀態

    說明:追蹤鑰匙圈鎖定狀態的方式有狀態管理問題。改進狀態管理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5915:明尼蘇達大學的 Peter Walz、David Ephron、Eric E. Lawrence、Apple

  • 安全性

    適用於:Mac OS X v10.6.8 和以上版本

    影響:即使撤銷檢查失敗,設定為需要撤銷檢查的信任評估仍可能成功

    說明:已指定 kSecRevocationRequirePositiveResponse 旗標,但未使用。使用旗標後,已解決此問題。

    CVE-ID

    CVE-2015-5894:kWallet GmbH 的 Hannes Oud

  • 安全性

    適用於:Mac OS X v10.6.8 和以上版本

    影響:遠端伺服器可能會在提出其身分識別之前,先提示要求憑證

    說明:「安全傳輸」先接受 CertificateRequest 訊息,之後才接受 ServerKeyExchange 訊息。首先要求 ServerKeyExchange 後,已解決此問題。

    CVE-ID

    CVE-2015-5887:INRIA Paris-Rocquencour 的 Benjamin Beurdouche、Karthikeyan Bhargavan、Antoine Delignat-Lavaud、Alfredo Pironti 和 Jean Karim Zinzindohoue,以及 Microsoft Research 的 Cedric Fournet 和 Markulf Kohlweiss、IMDEA Software Institute 的 Pierre-Yves Strub

  • SMB

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能以核心權限執行任意程式碼

    說明:核心出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5891:IOActive 的 Ilja van Sprundel

  • SMB

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能得以判斷核心記憶體佈局

    說明:SMBClient 有問題,會導致核心記憶體內容洩漏。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-5893:IOActive 的 Ilja van Sprundel

  • SQLite

    適用於:Mac OS X v10.6.8 和以上版本

    影響:SQLite v3.8.5 有多個漏洞

    說明:SQLite v3.8.5 出現多個漏洞。將 SQLite 更新至 3.8.10.2 版後,已解決這些問題。

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • 電話

    適用於:Mac OS X v10.6.8 和以上版本

    影響:使用 Continuity 時,本機攻擊者可能會在使用者不知情的情況下撥打電話

    說明:撥打電話的授權檢查機制有問題。改進授權檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-3785:Gotham Digital Science 的 Dan Bastone

  • 終端機

    適用於:Mac OS X v10.6.8 和以上版本

    影響:惡意製作的文字可能會在「終端機」誤導使用者

    說明:在顯示文字和選取文字時,「終端機」無法以相同的方式處理雙向覆寫字元。在「終端機」中隱藏雙向覆寫字元後,已解決此問題。

    CVE-ID

    CVE-2015-5883:Lukas Schauer(@lukas2511)

  • tidy

    適用於:Mac OS X v10.6.8 和以上版本

    影響:參訪惡意製作的網站可能導致執行任意程式碼

    說明:tidy 有多個記憶體損毀問題。改進記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2015-5522:NULLGroup.com 的 Fernando Muñoz

    CVE-2015-5523:NULLGroup.com 的 Fernando Muñoz

  • Time Machine

    適用於:Mac OS X v10.6.8 和以上版本

    影響:本機使用者可能得以存取鑰匙圈項目

    說明:Time Machine 架構進行的備份有問題。改進 Time Machine 備份的涵蓋範圍後,已解決此問題。

    CVE-ID

    CVE-2015-5854:Assured AB 的 Jonas Magazinius

註:OS X El Capitan v10.11 包含 Safari 9 的安全性內容。

 

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: