Sikkerhedsindholdet i OS X Yosemite v10.10.4 og sikkerhedsopdatering 2015-005

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i OS X Yosemite v10.10.4 og sikkerhedsopdatering 2015-005.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Læs mere om Apple-produktsikkerhed på webstedet om Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

OS X Yosemite v10.10.4 og sikkerhedsopdatering 2015-005

  • Admin Framework

    Tilgængelig til: OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: En proces kan få administratorrettigheder uden korrekt godkendelse

    Beskrivelse: Der var et problem under kontrol af XPC-rettigheder. Problemet er løst ved forbedret kontrol af rettigheder.

    CVE-ID

    CVE-2015-3671 : Emil Kvarnhammar fra TrueSec

  • Admin Framework

    Tilgængelig til: OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: En ikke-admin-bruger kan opnå admin-rettigheder

    Beskrivelse: Der var et problem med håndteringen af brugergodkendelse. Problemet er løst via forbedret fejlkontrol.

    CVE-ID

    CVE-2015-3672 : Emil Kvarnhammar fra TrueSec

  • Admin Framework

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En angriber kan misbruge Directory Utility for at opnå root-rettigheder

    Beskrivelse: Directory Utility kunne blive flyttet og ændret for at opnå kodeudførelse inden for en berettiget proces. Problemet er løst ved at begrænse antallet af diskplaceringer, som writeconfig-klienter kan køres fra.

    CVE-ID

    CVE-2015-3673 : Patrick Wardle fra Synack, Emil Kvarnhammar fra TrueSec

  • afpserver

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En fjernangriber kan muligvis forårsage uventet programafslutning eller vilkårlig kodekørsel

    Beskrivelse: Der var et problem med hukommelseskorruption på AFP-serveren. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-ID

    CVE-2015-3674 : Dean Jerkovich fra NCC Group

  • apache

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En angriber kan muligvis få adgang til mapper, der er beskyttet med HTTP-godkendelse, uden at kende de korrekte legitimationsoplysninger

    Beskrivelse: Standard Apache-konfigurationen inkluderede ikke mod_hfs_apple. Hvis Apache blev aktiveret manuelt og konfigurationen ikke blev ændret, var nogle arkiver, som normalt ikke er tilgængelige, muligvis tilgængelige via en specialudviklet URL. Problemet er løst ved at aktivere mod_hfs_apple.

    CVE-ID

    CVE-2015-3675 : Apple

  • apache

    Tilgængelig til: OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Der findes flere sårbarheder i PHP, hvoraf den mest alvorlige kan føre til vilkårlig kodekørsel

    Beskrivelse: Der eksisterede flere sårbarheder i PHP-versioner før 5.5.24 og 5.4.40. Disse blev løst ved at opdatere PHP til version 5.5.24 og 5.4.40.

    CVE-ID

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis bestemme kernehukommelseslayout

    Beskrivelse: Der var et problem i AppleGraphicsControl, som kunne have ført til offentliggørelse af kernehukommelseslayout. Problemet er løst via forbedret kontrol af grænser.

    CVE-ID

    CVE-2015-3676 : Chen Liang fra KEEN Team

  • AppleFSCompression

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis bestemme kernehukommelsens layout

    Beskrivelse: Der var et problem i LZVN-komprimering, der kunne have ført til afsløring af kernehukommelsesindhold. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-ID

    CVE-2015-3677 : En anonym programmør, der arbejder sammen med HP's Zero Day Initiative

  • AppleThunderboltEDMService

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis udføre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med hukommelseskorruption i håndteringen af visse Thunderbolt-kommandoer fra lokale processer. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-ID

    CVE-2015-3678 : Apple

  • ATS

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Behandling af et skadeligt skriftarkiv kan føre til en uventet programlukning eller vilkårlig kodekørsel

    Beskrivelse: Der var flere problemer med hukommelseskorruption ved håndtering af visse skrifter. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-ID

    CVE-2015-3679 : Pawel Wylecial, der arbejder sammen med HP's Zero Day Initiative

    CVE-2015-3680 : Pawel Wylecial, der arbejder sammen med HP's Zero Day Initiative

    CVE-2015-3681 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3682 : 魏诺德

  • Bluetooth

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis udføre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med hukommelseskorruption i Bluetooth HCI-grænsefladen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-ID

    CVE-2015-3683 : Roberto Paleari og Aristide Fattori fra Emaze Networks

  • Certificate Trust Policy

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: En angriber med en privilegeret netværksposition kan muligvis opsnappe netværkstrafik

    Beskrivelse: Et midlertidigt certifikat blev forkert udstedt af certifikatmyndigheden CNNIC. Problemet er løst ved at tilføje en mekanisme udelukkende til godkendelse af et undersæt af certifikater, som blev udstedt inden det forkerte certifikat. Her kan du læse mere om sikkerhedslisten for delvis godkendelse.

  • Certificate Trust Policy

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Beskrivelse: Certifikattillidspolitikken blev opdateret. Du kan se hele listen med certifikater i OS X Trust Store.

  • CFNetwork HTTPAuthentication

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: At følge en skadeligt udformet URL kan føre til vilkårlig kodekørsel

    Beskrivelse: Der var et problem med hukommelseskorruption ved håndtering af visse URL-legitimationsoplysninger. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-ID

    CVE-2015-3684 : Apple

  • CoreText

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Behandling af et skadeligt tekstarkiv kan føre til en uventet programlukning eller vilkårlig kodekørsel

    Beskrivelse: Der var flere problemer med hukommelseskorruption i behandlingen af tekstarkiver. Problemerne er løst ved forbedret kontrol af grænser.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685 : Apple

    CVE-2015-3686 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3687 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3688 : John Villamil (@day6reak), Yahoo Pentest Team

    CVE-2015-3689 : Apple

  • coreTLS

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En angriber med en privilegeret netværksposition kan opsnappe SSL/TLS-forbindelser

    Beskrivelse: coreTLS accepterede korte, kortvarige DH-nøgler (Diffie-Hellman), som bruges i kortvarige DH-chiffer-suiter med eksportstyrke. Problemet, der også kaldes Logjam, gjorde det muligt for en hacker med en privilegeret netværksposition at nedgradere sikkerheden til 512-bit DH, hvis serveren understøttede en kortvarig DH-chiffer-suite med eksportstyrke. Problemet er løst ved at øge standardminimumgrænsen for kortvarige DH-nøgler til 768 bit.

    CVE-ID

    CVE-2015-4000 : weakdh-teamet fra weakdh.org, Hanno Boeck

  • DiskImages

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis bestemme kernehukommelseslayout

    Beskrivelse: Der var et problem med afsløring af oplysninger i behandlingen af diskbilleder. Problemet blev løst ved forbedret hukommelsesstyring.

    CVE-ID

    CVE-2015-3690 : Peter Rutenbar, der arbejder sammen med HP's Zero Day Initiative

  • Display Drivers

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis udføre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem i kerneudvidelsen Monitor Control Command Set, hvorved en userland-proces kunne kontrollere værdien af en funktionsmarkør i kernen. Problemet er løst ved at fjerne den berørte grænseflade.

    CVE-ID

    CVE-2015-3691 : Roberto Paleari og Aristide Fattori fra Emaze Networks

  • EFI

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program med root-rettigheder kan muligvis ændre EFI-flashhukommelse

    Beskrivelse: Der var et problem med utilstrækkelig låsning, når EFI-flash vendte tilbage fra vågeblus. Problemet er løst ved forbedret låsning.

    CVE-ID

    CVE-2015-3692 : Trammell Hudson fra Two Sigma Investments, Xeno Kovah og Corey Kallenberg fra LegbaCore LLC, Pedro Vilaça

  • EFI

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan forårsage hukommelseskorruption for at eskalere privilegier

    Beskrivelse: Der findes en forstyrrelsesfejl, også kendt som Rowhammer, med noget DDR3 RAM, der kunne have ført til hukommelseskorruption. Problemet blev begrænset ved at øge hukommelsesopdateringsfrekvenserne.

    CVE-ID

    CVE-2015-3693 : Mark Seaborn og Thomas Dullien fra Google, som arbejder ud fra oprindeligt arbejde af Yoongu Kim et al (2014)

  • FontParser

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Behandling af et skadeligt skriftarkiv kan føre til en uventet programlukning eller vilkårlig kodekørsel

    Beskrivelse: Der var et problem med hukommelseskorruption i behandlingen af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-ID

    CVE-2015-3694 : John Villamil (@day6reak), Yahoo Pentest Team

  • Graphics Driver

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis udføre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et skriveproblem uden for grænserne i NVIDIA-grafikdriveren. Problemet er løst via forbedret kontrol af grænser.

    CVE-ID

    CVE-2015-3712 : Ian Beer fra Google Project Zero

  • Intel Graphics Driver

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Der er flere problemer med bufferoverløb i Intel-grafikdriveren, hvoraf den mest alvorlige kan føre til vilkårlig kodeudførelse med systemrettigheder

    Beskrivelse: Der var flere problemer med bufferoverløb i Intel-grafikdriveren. Disse problemer er løst ved forbedret kontrol af grænser.

    CVE-ID

    CVE-2015-3695 : Ian Beer fra Google Project Zero

    CVE-2015-3696 : Ian Beer fra Google Project Zero

    CVE-2015-3697 : Ian Beer fra Google Project Zero

    CVE-2015-3698 : Ian Beer fra Google Project Zero

    CVE-2015-3699 : Ian Beer fra Google Project Zero

    CVE-2015-3700 : Ian Beer fra Google Project Zero

    CVE-2015-3701 : Ian Beer fra Google Project Zero

    CVE-2015-3702 : KEEN Team

  • ImageIO

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Der eksisterede flere sårbarheder i libtiff, hvoraf den mest alvorlige kan føre til vilkårlig kodeudførelse

    Beskrivelse: Der eksisterede flere sårbarheder i libtiff-versioner før 4.0.4. De blev rettet ved at opdatere libtiff til version 4.0.4.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Behandling af et skadeligt udformet .tiff-arkiv kan føre til en uventet programlukning eller vilkårlig kodekørsel

    Beskrivelse: Der var et problem med hukommelseskorruption i behandlingen af .tiff-arkiver. Problemet er løst via forbedret kontrol af grænser.

    CVE-ID

    CVE-2015-3703 : Apple

  • Install Framework Legacy

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis udføre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var flere problemer med, hvordan Install.frameworks 'runner' setuid binære mistede rettigheder. Problemet er løst ved korrekt ophævelse af rettigheder.

    CVE-ID

    CVE-2015-3704 : Ian Beer fra Google Project Zero

  • IOAcceleratorFamily

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis udføre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var flere problemer med hukommelseskorruption i IOAcceleratorFamily. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-ID

    CVE-2015-3705 : KEEN Team

    CVE-2015-3706 : KEEN Team

  • IOFireWireFamily

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis udføre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var flere problemer med referencer til en null-pointer i FireWire-driveren. Disse problemer er løst ved forbedret kontrol af fejl.

    CVE-ID

    CVE-2015-3707 : Roberto Paleari og Aristide Fattori fra Emaze Networks

  • Kernel

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis bestemme kernehukommelseslayout

    Beskrivelse: Der var et problem med hukommelsesadministration i håndteringen af API'er relateret til kerneudvidelser, hvilket kunne have ført til offentliggørelse af kernehukommelseslayout. Problemet blev løst ved forbedret hukommelsesstyring.

    CVE-ID

    CVE-2015-3720 : Stefan Esser

  • Kernel

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis bestemme kernehukommelseslayout

    Beskrivelse: Der var et problem med hukommelsesstyring i håndteringen af HFS-parametre, som kunne have ført til offentliggørelse af kernehukommelseslayout. Problemet blev løst ved forbedret hukommelsesstyring.

    CVE-ID

    CVE-2015-3721 : Ian Beer fra Google Project Zero

  • kext tools

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis overskrive vilkårlige arkiver

    Beskrivelse: kextd fulgte symbolske links under oprettelse af et nyt arkiv. Problemet er løst ved forbedret behandling af symbolske henvisninger.

    CVE-ID

    CVE-2015-3708 : Ian Beer fra Google Project Zero

  • kext tools

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En lokal bruger kan muligvis indlæse usignerede kerneudvidelser

    Beskrivelse: En time-of-check time-of-use (TOCTOU) race condition-tilstand eksisterede under validering af stierne til kerneudvidelser. Problemet er løst ved forbedret kontrol ved godkendelse af stier til kerneudvidelser.

    CVE-ID

    CVE-2015-3709 : Ian Beer fra Google Project Zero

  • Mail

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En skadelig e-mail kan erstatte meddelelsens indhold med en vilkårlig webside, når meddelelsen ses

    Beskrivelse: Der var et problem i understøttelsen af HTML-e-mail, som tillod meddelelsesindhold at blive opdateret med en vilkårlig webside. Problemet er løst ved begrænset understøttelse af HTML-indhold.

    CVE-ID

    CVE-2015-3710 : Aaron Sigel fra vtty.com, Jan Souček

  • ntfs

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis bestemme kernehukommelsens layout

    Beskrivelse: Der eksisterede et problem i NTFS, der kunne have ført til afsløring af indhold i kernehukommelsen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-ID

    CVE-2015-3711 : Peter Rutenbar, der arbejder sammen med HP's Zero Day Initiative

  • ntp

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: En angriber i en privilegeret position kan muligvis udføre et Denial-of-Service-angreb mod to ntp-klienter

    Beskrivelse: Der var flere problemer med godkendelsen af ntp-pakker, der blev modtaget af konfigurerede slutpunkter. Problemet er løst ved forbedret styring af forbindelsestilstande.

    CVE-ID

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Der findes flere problemer i OpenSSL, inklusive et, der kan tillade en angriber at opsnappe forbindelser til en server, der understøtter eksport-grade-cifre

    Beskrivelse: Der var flere problemer i OpenSSL 0.9.8zd, som blev løst ved at opdatere OpenSSL til version 0.9.8zf.

    CVE-ID

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Behandling af et skadeligt udformet filmarkiv kan føre til en uventet programlukning eller vilkårlig kodekørsel

    Beskrivelse: Der var flere problemer med hukommelseskorruption i QuickTime. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-ID

    CVE-2015-3661 : G. Geshev, der arbejder sammen med HP's Zero Day Initiative

    CVE-2015-3662 : kdot, der arbejder sammen med HP's Zero Day Initiative

    CVE-2015-3663 : kdot, der arbejder sammen med HP's Zero Day Initiative

    CVE-2015-3666 : Steven Seeley fra Source Incite, der arbejder sammen med HP's Zero Day Initiative

    CVE-2015-3667 : Ryan Pentney, Richard Johnson fra Cisco Talos og Kai Lu fra Fortinet's FortiGuard Labs

    CVE-2015-3668 : Kai Lu fra Fortinet's FortiGuard Labs

    CVE-2015-3713 : Apple

  • Security

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: En fjernangriber kan forårsage en uventet programlukning eller vilkårlig kodekørsel

    Beskrivelse: Der eksisterede et heltalsoverløb i sikkerhedsrammekoden til at parse S/MIME-e-mail og nogle andre signerede eller krypterede objekter. Problemet er løst ved forbedret kontrol af godkendelse.

    CVE-ID

    CVE-2013-1741

  • Security

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Forfalskede applikationer forhindres muligvis ikke i at starte

    Beskrivelse: Apps, der bruger tilpassede ressourceregler, kan have været modtagelige for manipulation, der ikke ville have ugyldiggjort signaturen. Problemet er løst ved forbedret kontrol af ressourcer.

    CVE-ID

    CVE-2015-3714 : Joshua Pitts fra Leviathan Security Group

  • Security

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Et skadeligt program kan muligvis omgå kontrol af kodesignering

    Beskrivelse: Der var et problem, hvor kodesignering ikke bekræftede biblioteker indlæst uden for applikationspakken. Problemet er løst ved forbedret kontrol af pakker.

    CVE-ID

    CVE-2015-3715 : Patrick Wardle fra Synack

  • Spotlight

    Tilgængelig til: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 til v10.10.3

    Effekt: Søgning efter et skadeligt arkiv med Spotlight kan føre til kommandoindsættelse

    Beskrivelse: En sårbarhed forbundet med kommandoindsættelse eksisterede i håndteringen af arkivnavne på fotos, der blev tilføjet det lokale fotobibliotek. Problemet er løst ved forbedret godkendelse af input.

    CVE-ID

    CVE-2015-3716 : Apple

  • SQLite

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En fjernangriber kan forårsage en uventet programlukning eller vilkårlig kodekørsel

    Beskrivelse: Der var flere bufferoverløb i SQLites printf-implementering. Problemerne er løst ved forbedret kontrol af grænser.

    CVE-ID

    CVE-2015-3717 : Peter Rutenbar, der arbejder sammen med HP's Zero Day Initiative

  • SQLite

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En skadeligt udformet SQL-kommando kan tillade uventet programafslutning eller udførelse af vilkårlig kode

    Beskrivelse: Der var et API-problem i SQLite-funktionaliteten. Problemet er løst ved forbedrede begrænsninger.

    CVE-ID

    CVE-2015-7036 : Peter Rutenbar, der arbejder sammen med HP's Zero Day Initiative

  • System Stats

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: En skadelig app kan muligvis kompromittere systemstatsd

    Beskrivelse: Der var et problem med typeforveksling ved systemstatsd-behandlingen af kommunikation mellem processer. Ved at sende en skadelig meddelelse til systemstatsd kunne der køres vilkårlig kode som systemstatsd-processen. Problemet blev løst gennem yderligere typekontrol.

    CVE-ID

    CVE-2015-3718 : Roberto Paleari og Aristide Fattori fra Emaze Networks

  • TrueTypeScaler

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Behandling af et skadeligt skriftarkiv kan føre til en uventet programlukning eller vilkårlig kodekørsel

    Beskrivelse: Der var et problem med hukommelseskorruption i behandlingen af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-ID

    CVE-2015-3719 : John Villamil (@day6reak), Yahoo Pentest Team

  • zip

    Tilgængelig til: OS X Yosemite v10.10 til v10.10.3

    Effekt: Udpakning af et skadeligt oprettet zip-arkiv ved hjælp af unzip-værktøjet kan føre til en uventet programlukning eller vilkårlig kodekørsel

    Beskrivelse: Der var flere problemer med hukommelseskorruption i håndteringen af zip-arkiver. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-ID

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

OS X Yosemite v10.10.4 omfatter sikkerhedsindholdet i Safari 8.0.7.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: