OS X Yosemite v10.10.4 ve Güvenlik Güncellemesi 2015-005'in güvenlik içeriği hakkında

Bu belgede OS X Yosemite v10.10.4 ve Güvenlik Güncellemesi 2015-005'in güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla, tam denetim gerçekleştirilene ve gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Daha fazla bilgi sağlamak amacıyla güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.

OS X Yosemite v10.10.4 ve Güvenlik Güncellemesi 2015-005

  • Admin Framework

    İlgili İşletim Sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: İşlem, uygun kimlik doğrulaması olmadan yönetici ayrıcalıkları kazanabilir

    Açıklama: XPC yetkilerinin kontrolünde sorun vardı. Bu sorun, yetkilerin kontrolü iyileştirilerek giderildi.

    CVE-ID

    CVE-2015-3671: TrueSec'ten Emil Kvarnhammar

  • Admin Framework

    İlgili İşletim Sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Yönetici olmayan kullanıcı yönetici hakları elde edebilir

    Açıklama: Kullanıcı kimlik doğrulamasının işlenmesinde sorun vardı. Bu sorun, hata kontrolü iyileştirilerek giderildi.

    CVE-ID

    CVE-2015-3672: TrueSec'ten Emil Kvarnhammar

  • Admin Framework

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Saldırgan, kök ayrıcalıkları kazanmak için Dizin İzlencesi'ni kötüye kullanabilir

    Açıklama: Dizin İzlencesi yetkili bir işlemde kod yürütülebilmesi için taşınabiliyor ve değiştirilebiliyordu. Bu sorun, writeconfig istemcilerinin yürütülebileceği disk konumu sınırlandırılarak giderildi.

    CVE-ID

    CVE-2015-3673: Synack'ten Patrick Wardle, TrueSec'ten Emil Kvarnhammar

  • afpserver

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: AFP sunucusunda bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3674: NCC Group'tan Dean Jerkovich

  • apache

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Bir saldırgan, doğru kimlik bilgilerini bilmeden, HTTP kimlik doğrulamasıyla korunan dizinlere erişebilir

    Açıklama: Varsayılan Apache konfigürasyonunda mod_hfs_apple yoktu. Apache elle etkinleştirildiyse ve konfigürasyon değiştirilmediyse erişilebilir olmaması gereken bazı dosyalar özel olarak oluşturulmuş bir URL kullanılarak erişilebilir hale getirilmiş olabilir. Bu sorun, mod_hfs_apple etkinleştirilerek giderildi.

    CVE-ID

    CVE-2015-3675: Apple

  • apache

    İlgili İşletim Sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: PHP'de birden çok güvenlik açığı vardı ve bunların en ciddi olanı rastgele kod yürütülmesine neden olabiliyordu

    Açıklama: PHP'nin 5.5.24 ve 5.4.40'tan önceki sürümlerinde birden çok güvenlik açığı vardı. Bu güvenlik açıkları PHP 5.5.24 ve 5.4.40 sürümlerine güncellenerek giderildi.

    CVE-ID

    CVE-2015-0235

    CVE-2015-0273

  • AppleGraphicsControl

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

    Açıklama: AppleGraphicsControl'de çekirdek belleği düzeninin açığa çıkmasına neden olan bir sorun vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3676: KEEN Team'den Chen Liang

  • AppleFSCompression

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

    Açıklama: LZVN sıkıştırmada çekirdek belleği içeriğinin açığa çıkmasına neden olabilen bir sorun vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3677: HP Zero Day Initiative ile birlikte çalışan anonim bir araştırmacı

  • AppleThunderboltEDMService

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Yerel işlemlerdeki belirli Thunderbolt komutlarının işlenmesinde bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3678: Apple

  • ATS

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Belirli fontların işlenmesinde birden çok bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE-ID

    CVE-2015-3679: HP Zero Day Initiative ile birlikte çalışan Pawel Wylecial

    CVE-2015-3680: HP Zero Day Initiative ile birlikte çalışan Pawel Wylecial

    CVE-2015-3681: John Villamil (@day6reak), Yahoo Pentest Ekibi

    CVE-2015-3682: 魏诺德

  • Bluetooth

    İlgili İşletim Sistemleri: Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Bluetooth HCI arabiriminde bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3683: Emaze Networks'ten Roberto Paleari ve Aristide Fattori

  • Certificate Trust Policy

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan ağ trafiğini ele geçirebilir

    Açıklama: Sertifika otoritesi CNNIC tarafından yanlışlıkla bir ara sertifika veriliyordu. Bu sorun, yalnızca ara sertifikanın yanlışlıkla düzenlenmesinden önce düzenlenen sertifikaların bir alt kümesine güvenmek üzere bir mekanizma eklenmesiyle giderildi. Güvenlik için kısmi güvenme izin listesi hakkında daha fazla bilgi edinin.

  • Certificate Trust Policy

    İlgili İşletim Sistemleri: OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Açıklama: Sertifika güven politikası güncellendi. Sertifikaların tam listesi OS X Güvenilir Depo bölümünde yer almaktadır.

  • CFNetwork HTTPAuthentication

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki:Kötü amaçlarla oluşturulmuş bir URL rastgele kod yürütülmesine neden olabilir

    Açıklama: Belirli URL kimlik bilgilerinin işlenmesinde bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3684: Apple

  • CoreText

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Metin dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.

    CVE-ID

    CVE-2015-1157

    CVE-2015-3685: Apple

    CVE-2015-3686: John Villamil (@day6reak), Yahoo Pentest Ekibi

    CVE-2015-3687: John Villamil (@day6reak), Yahoo Pentest Ekibi

    CVE-2015-3688: John Villamil (@day6reak), Yahoo Pentest Ekibi

    CVE-2015-3689: Apple

  • coreTLS

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, SSL/TLS bağlantılarını ele geçirebilir

    Açıklama: coreTLS, dışarı aktarım gücündeki kısa ömürlü DH şifre paketleri kullanan kısa ömürlü Diffie-Hellman (DH) anahtarlarını kabul ediyordu. Logjam olarak da bilinen bu sorun, ayrıcalıklı ağ konumuna sahip bir saldırganın sunucunun dışarı aktarım gücündeki kısa ömürlü DH şifre paketleri desteklemesi durumunda güvenliği 512 bit DH Düzeyine düşürmesine izin verdi. Sorun, kısa ömürlü DH anahtarları için izin verilen minimum varsayılan boyut 768 bit'e yükseltilerek giderildi.

    CVE-ID

    CVE-2015-4000: weakdh.org'da weakdh ekibi, Hanno Boeck

  • DiskImages

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

    Açıklama: Disk görüntülerinin işlenmesinde bilgilerin açığa çıkması sorunu vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3690: HP Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • Display Drivers

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: İzleme Denetimi Komut Kümesi çekirdek uzantısında, bir kullanıcı alanı işlemine çekirdekte bulunan işlev işaretçisinin değerini denetleyebilmesi olanağı veren bir sorun vardı. Bu sorun, etkilenen arabirim kaldırılarak giderildi.

    CVE-ID

    CVE-2015-3691: Emaze Networks'ten Roberto Paleari ve Aristide Fattori

  • EFI

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kök ayrıcalıkları olan kötü amaçlı bir uygulama EFI flaş bellekte değişiklik yapabilir

    Açıklama: EFI flash bellekte uyku durumundan çıkıp çalışmaya başladığında yetersiz kilitleme sorunu vardı. Bu sorun, kilitlenme iyileştirilerek giderildi.

    CVE-ID

    CVE-2015-3692: Two Sigma Investments'tan Trammell Hudson, LegbaCore LLC'den Xeno Kovah ve Corey Kallenberg, Pedro Vilaça

  • EFI

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama ayrıcalıkları yönlendirmek için bellek bozulmasına neden olabilir

    Açıklama: DDR3 RAM'de bellek bozulmasına neden olmuş olabilecek, Rowhammer olarak da bilinen bir bozulma hatası vardı. Bu sorun, bellek yenileme hızları artırılarak hafifletildi.

    CVE-ID

    CVE-2015-3693: Google'dan Mark Seaborn ve Thomas Dullien, Yoongu Kim ve ark. (2014) tarafından yapılan orijinal araştırmadan

  • FontParser

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Yazı tipi dosyalarının işlenmesinde bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3694: John Villamil (@day6reak), Yahoo Pentest Ekibi

  • Graphics Driver

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: NVIDIA grafik sürücüsünde sınırların dışında yazma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3712: Google Project Zero'dan Ian Beer

  • Intel Graphics Driver

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Intel grafik sürücüsünde birden çok arabellek taşması sorunu var ve bunların en ciddi olanı sistem ayrıcalıklarıyla rastgele kod yürütülmesine neden olabilir

    Açıklama: Intel grafik sürücüsünde birden çok arabellek taşması sorunu vardı. Bu sorunlar, ek sınır kontrolüyle giderildi.

    CVE-ID

    CVE-2015-3695: Google Project Zero’dan Ian Beer

    CVE-2015-3696: Google Project Zero’dan Ian Beer

    CVE-2015-369: Google Project Zero’dan Ian Beer

    CVE-2015-3698: Google Project Zero’dan Ian Beer

    CVE-2015-3699: Google Project Zero’dan Ian Beer

    CVE-2015-3700: Google Project Zero’dan Ian Beer

    CVE-2015-3701: Google Project Zero’dan Ian Beer

    CVE-2015-3702: KEEN Team

  • ImageIO

    Etki: libtiff'de birden çok güvenlik açığı vardı ve bunların en ciddi olanı rastgele kod yürütülmesine neden olabiliyordu

    Etki: libtiff'de birden çok güvenlik açığı vardı ve bunların en ciddi olanı rastgele kod yürütülmesine neden olabiliyordu

    Açıklama: libtiff'in 4.0.4'ten önceki sürümlerinde birden çok güvenlik açığı vardı. Bu güvenlik açıkları libtiff 4.0.4 sürümüne güncellenerek giderildi.

    CVE-ID

    CVE-2014-8127

    CVE-2014-8128

    CVE-2014-8129

    CVE-2014-8130

  • ImageIO

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir .tiff dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: .tiff dosyalarının işlenmesinde bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3703: Apple

  • Install Framework Legacy

    İlgili İşletim Sistemleri: Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Install.framework 'runner' setuid binary'nin ayrıcalıkları bırakmasıyla ilgili çeşitli sorunlar vardı. Bu sorunlar, ayrıcalıklar doğru bir şekilde bırakılarak giderildi.

    CVE-ID

    CVE-2015-3704: Google Project Zero'dan Ian Beer

  • IOAcceleratorFamily

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: IOAcceleratorFamily'de birden çok bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE-ID

    CVE-2015-3705: KEEN Team

    CVE-2015-3706: KEEN Team

  • IOFireWireFamily

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: FireWire sürücüsünde birden çok null işaretçi başvurusu sorunu vardı. Bu sorunlar, hata kontrolü iyileştirilerek giderildi.

    CVE-ID

    CVE-2015-3707: Emaze Networks'ten Roberto Paleari ve Aristide Fattori

  • Kernel

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

    Açıklama: Çekirdek uzantılarıyla ilgili API'ların işlenmesinde çekirdek belleği düzeninin açığa çıkmasına neden olan bir bellek yönetimi sorun vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3720: Stefan Esser

  • Kernel

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

    Açıklama: HFS parametrelerinin işlenmesinde çekirdek belleği düzeninin açığa çıkmasına neden olan bir bellek yönetimi sorun vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3721: Google Project Zero'dan Ian Beer

  • kext tools

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama rastgele dosyaların üzerine yazabilir

    Açıklama: kextd yeni bir dosya oluştururken sembolik bağlantıları izliyordu. Sembolik bağlantıların işlenmesi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3708: Google Project Zero'dan Ian Beer

  • kext tools

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Yerel bir kullanıcı imzalanmamış çekirdek uzantıları yükleyebilir

    Açıklama: Çekirdek uzantılarının yolları doğrulanırken kontrol zamanı - kullanım zamanı (TOCTOU) yarışma durumu sorunu vardı. Bu sorun, çekirdek uzantılarının yolunu doğrulamak için yapılan kontrollerin iyileştirilmesiyle giderildi.

    CVE-ID

    CVE-2015-3709: Google Project Zero'dan Ian Beer

  • Mail

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir e-posta mesajı görüntülendiğinde mesaj içeriğini rastgele bir web sayfasıyla değiştirebilir.

    Açıklama: HTML e-posta desteğinde mesaj içeriğinin rastgele bir web sayfasıyla yenilenmesine olanak sağlayan bir sorun vardı. Bu sorun, HTML içeriğine verilen destek sınırlandırılarak giderildi.

    CVE-ID

    CVE-2015-3710: vtty.com'dan Aaron Sigel, Jan Souček

  • ntfs

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Kötü amaçlı bir uygulama çekirdek belleği yerleşimini belirleyebilir

    Açıklama: NTFS’te çekirdek belleği içeriğinin açığa çıkmasına neden olabilen bir sorun vardı. Belleğin işlenmesi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3711 : HP Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • ntp

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Ayrıcalıklı konuma sahip saldırgan iki ntp istemcisine karşı servis reddi saldırısı gerçekleştirebilir

    Açıklama: Ayarlanmış uç noktalar tarafından alınan ntp paketlerinin kimlik doğrulama işleminde birden çok sorun vardı. Bu sorunlar, bağlantı durumu yönetimi iyileştirilerek giderildi.

    CVE-ID

    CVE-2015-1798

    CVE-2015-1799

  • OpenSSL

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: OpenSSL'de, aktarım derecesinde şifreleri destekleyen bir sunucuya bağlantıları engelleyen bir saldırgana izin verebilecek güvenlik açığı da dahil birden çok sorun var

    Açıklama: OpenSSL 0.9.8zd'deki birden çok sorun, OpenSSL 0.9.8zf sürümüne güncellenerek giderildi.

    CVE-ID

    CVE-2015-0209

    CVE-2015-0286

    CVE-2015-0287

    CVE-2015-0288

    CVE-2015-0289

    CVE-2015-0293

  • QuickTime

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir film dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Metin dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE-ID

    CVE-2015-3661: HP'nin Zero Day Initiative programında çalışan G. Geshev

    CVE-2015-3662: HP'nin Zero Day Initiative programında çalışan kdot

    CVE-2015-3663: HP'nin Zero Day Initiative programında çalışan kdot

    CVE-2015-3666: HP'nin Zero Day Initiative programında çalışan Source Incite'dan Steven Seeley

    CVE-2015-3667: Cisco Talos'dan Ryan Pentney, Richard Johnson ve Fortinet FortiGuard Labs'den Kai Lu

    CVE-2015-3668: Fortinet'in FortiGuard Labs ekibinden Kai Lu

    CVE-2015-3713: Apple

  • Security

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

    Açıklama: S/MIME e-postaların ve diğer imzalanmış veya şifrelenmiş bazı nesnelerin ayrıştırılmasında kullanılan Güvenlik çerçevesi kodunda tam sayı taşması sorunu vardı. Bu sorun, doğrulama kontrolü iyileştirilerek giderildi.

    CVE-ID

    CVE-2013-1741

  • Security

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Üzerinde değişiklik yapılmış uygulamaların başlatılması engellenemiyordu

    Açıklama: Özel kaynak kuralları kullanan uygulamalar, imzayı geçersiz kılmayan müdahalelere karşı savunmasızdı. Bu sorun, kaynak doğrulama işlemi iyileştirilerek giderildi.

    CVE-ID

    CVE-2015-3714: Leviathan Security Group'tan Joshua Pitts

  • Security

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama kod imzalama kontrollerini atlayabilir

    Açıklama: Kod imzalamasının uygulama paketinin dışında yüklenen arşivleri doğrulamaması sorunu vardı. Bu sorun, paket doğrulama işlemi iyileştirilerek giderildi.

    CVE-ID

    CVE-2015-3715 : Synack'ten Patrick Wardle

  • Spotlight

    İlgili İşletim Sistemleri: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5, OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Spotlight'la kötü amaçlı bir dosyanın aranması komut enjeksiyonuna yol açabilir

    Açıklama: Yerel fotoğraf arşivine eklenen fotoğrafların dosya adlarının işlenmesinde komut enjeksiyonu güvenlik açığı vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3716: Apple

  • SQLite

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: SQLite'ın printf uygulamasında birden çok arabellek taşması vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.

    CVE-ID

    CVE-2015-3717: HP Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • SQLite

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir SQL komutu uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: SQLite işlevinde API sorunu vardı. Bu sorun, sınırlandırmalar iyileştirilerek giderildi.

    CVE-ID

    CVE-2015-7036: HP Zero Day Initiative ile birlikte çalışan Peter Rutenbar

  • System Stats

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlı bir uygulama systemstatsd'i tehlikeye atabilir

    Açıklama: systemstatsd'nin işlemler arası iletişimi işlemesinde tür karışıklığı sorunu vardı. Systemstatsd'ye kötü amaçlı olarak biçimlendirilmiş bir mesaj gönderilmesiyle systemstatsd işlemi olarak rastgele kod yürütmek mümkün olabiliyordu. Sorun, ek tür kontrolüyle giderildi.

    CVE-ID

    CVE-2015-3718: Emaze Networks'ten Roberto Paleari ve Aristide Fattori

  • TrueTypeScaler

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Yazı tipi dosyalarının işlenmesinde bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

    CVE-ID

    CVE-2015-3719: John Villamil (@day6reak), Yahoo Pentest Ekibi

  • zip

    İlgili İşletim Sistemleri: OS X Yosemite v10.10 - v10.10.3 arası

    Etki: Kötü amaçlarla oluşturulmuş bir sıkıştırılmış dosyayı sıkıştırma açma aracını kullanarak açmak, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Sıkıştırılmış dosyaların işlenmesinde birden çok bellek bozulması sorunu vardı. Belleğin işlenmesi iyileştirilerek bu sorunlar giderildi.

    CVE-ID

    CVE-2014-8139

    CVE-2014-8140

    CVE-2014-8141

OS X Yosemite 10.10.4, Safari 8.0.7'nin güvenlik içeriğini içerir.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: