Sikkerhedsindholdet i OS X El Capitan v10.11.
Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i OS X El Capitan v10.11.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Læs mere om Apple-produktsikkerhed på webstedet om Apple-produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.
Hvor det er muligt, bruges der CVE-id'er som reference til yderligere oplysninger om sårbarheder.
Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
OS X El Capitan v10.11
Adressebog
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal hacker kan indsætte vilkårlig kode i processer, der indlæser Adressebogs-framework
Beskrivelse: Der var et problem med den behandling af en miljøvariabel, som Adressebogs-framework udfører. Problemet er løst ved forbedret behandling af miljøvariabler.
CVE-id
CVE-2015-5897: Dan Bastone fra Gotham Digital Science
AirScan
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En hacker i en privilegeret netværksposition kan trække data ud af eSCL-pakker, der sendes via en sikker forbindelse
Beskrivelse: Der var et problem med håndteringen af eSCL-pakker. Problemet er løst ved at anvende forbedrede godkendelseskontroller.
CVE-id
CVE-2015-5853: En anonym anmelder
apache_mod_php
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Der var flere sårbarheder i PHP
Beskrivelse: Der opstod flere sikkerhedsrisici i PHP-versionerne før 5.5.27 – blandt andet et problem, der kunne medføre kørsel af ekstern kode. Problemet er løst ved at opdatere PHP til version 5.5.27.
CVE-id
CVE-2014-9425
CVE-2014-9427
CVE-2014-9652
CVE-2014-9705
CVE-2014-9709
CVE-2015-0231
CVE-2015-0232
CVE-2015-0235
CVE-2015-0273
CVE-2015-1351
CVE-2015-1352
CVE-2015-2301
CVE-2015-2305
CVE-2015-2331
CVE-2015-2348
CVE-2015-2783
CVE-2015-2787
CVE-2015-3329
CVE-2015-3330
Apple Online Store Kit
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Et skadeligt program kan opnå adgang til en brugers nøgleringselementer
Beskrivelse: Der var et problem ved bekræftelse af adgangskontrollister for iCloud-nøgleringselementer. Problemet er løst ved forbedret kontrol af adgangskontrollister.
CVE-id
CVE-2015-5836: XiaoFeng Wang fra Indiana University, Luyi Xing fra Indiana University, Tongxin Li fra Peking University, Xiaolong Bai fra Tsinghua University
AppleEvents
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En bruger, der er tilsluttet via skærmdeling, kan sende Apple Events til en lokal brugers session
Beskrivelse: Der var et problem med Apple Event-filtrering, som gjorde det muligt for nogle brugere at sende events til andre brugere. Problemet er løst ved forbedret behandling af Apple Events.
CVE-id
CVE-2015-5849: Jack Lawrence (@_jackhl)
Lyd
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Afspilning af et skadeligt lydarkiv kan medføre pludselig applukning
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af lydarkiver. Problemet er løst ved forbedret behandling af hukommelse.
CVE-id
CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (vejl.: prof. Taekyoung Kwon), Yonsei University, Seoul, Sydkorea
bash
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Flere sikkerhedsrisici i bash
Beskrivelse: Der var flere sikkerhedsrisici i bash før version 3.2, sikkerhedsrettelsesniveau 57. Problemerne er løst ved at opdatere bash-version 3.2 til sikkerhedsrettelsesniveau 57.
CVE-id
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Politik for certifikatgodkendelse
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Opdatering af politikken for certifikatgodkendelse
Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Den komplette liste med certifikater kan ses i artiklen https://support.apple.com/da-dk/HT202858.
CFNetwork-cookies
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En hacker med en privilegeret netværksposition kan spore en brugers aktivitet
Beskrivelse: Der var et problem med cookies på tværs af domæner ved behandling af topniveaudomæner. Problemet er løst ved at forbedre begrænsningerne ved cookieoprettelse.
CVE-id
CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University
CFNetwork FTPProtocol
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Skadelige FTP-servere kan forårsage, at klienten udfører rekognoscering af andre værter
Beskrivelse: Der var et problem ved håndtering af FTP-pakker, når PASV-kommandoen blev anvendt. Problemet er løst ved forbedret godkendelse.
CVE-id
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En skadelig URL-adresse kan muligvis tilsidesætte HSTS og lække følsomme data
Beskrivelse: Der var en URL-parsing-sikkerhedsrisiko ved HSTS-behandling. Problemet er løst ved forbedret URL-parsing.
CVE-id
CVE-2015-5858: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University
CFNetwork HTTPProtocol
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En hacker med en privilegeret netværksposition kan muligvis opfange netværkstrafik
Beskrivelse: Der var et problem ved behandling af forudindlæste HSTS-lister i funktionen privat browser i Safari. Problemet er løst ved forbedret statusbehandling.
CVE-id
CVE-2015-5859: Rosario Giustolisi fra University of Luxembourg
CFNetwork HTTPProtocol
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Et skadeligt websted kan muligvis spore brugerne i funktionen Privat browser i Safari
Beskrivelse: Der var et problem ved behandling af HSTS-tilstanden i funktionen Privat browser i Safari. Problemet er løst ved forbedret statusbehandling.
CVE-id
CVE-2015-5860: Sam Greenhalgh fra RadicalResearch Ltd
CFNetwork-proxyservere
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Ved forbindelse til en skadelig webproxyserver kunne der indsættes skadelige cookies for et websted
Beskrivelse: Der var et problem ved behandling af proxyforbindelsessvar. Problemet er løst ved at fjerne set-cookie-headeren, når forbindelsessvaret blev parset.
CVE-id
CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University
CFNetwork SSL
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En hacker med en privilegeret netværksposition kan opfange SSL/TLS-forbindelser
Beskrivelse: Der var et problem med certifikatgodkendelse i NSURL, når et certifikat blev ændret. Problemet er løst ved forbedret certifikatgodkendelse.
CVE-id
CVE-2015-5824: Timothy J. Wood fra The Omni Group
CFNetwork SSL
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En hacker kan dekryptere SSL-beskyttede data
Beskrivelse: Der er kendskab til angreb på fortroligheden i RC4. En hacker kunne fremtvinge brugen af RC4, selv om serveren foretrækker bedre kryptering, ved at blokere forbindelser fra TLS 1.0 og opefter, indtil CFNetwork prøvede SSL 3.0, som kun tillader RC4. Problemet er løst ved at fjerne fallback til SSL 3.0.
CoreCrypto
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En hacker kan bestemme en privat nøgle
Beskrivelse: Ved at observere mange signerings- eller dekrypteringsforsøg kunne en hacker muligvis bestemme den private RSA-nøgle. Problemet er løst ved forbedret godkendelse af krypteringsalgoritmer.
CoreText
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Dev Tools
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i dyld. Problemet er løst ved forbedret hukommelsesstyring.
CVE-id
CVE-2015-5876: beist fra grayhash
Dev Tools
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Et program kan tilsidesætte kodesignering
Beskrivelse: Der var et problem ved godkendelse af kodesignaturen for eksekverbare arkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2015-5839: @PanguTeam
Diskbilleder
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i DiskImages. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5847: Filippo Bigarella og Luca Todesco
dyld
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Et program kan tilsidesætte kodesignering
Beskrivelse: Der var et problem ved godkendelse af kodesignaturen for eksekverbare arkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2015-5839: TaiG Jailbreak Team
EFI
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Et skadeligt program kan forhindre nogle systemer i at starte
Beskrivelse: Der var et problem med adresser, der er dækket af registret over det beskyttede område. Problemet er løst ved at ændre det beskyttede område.
CVE-id
CVE-2015-5900: Xeno Kovah og Corey Kallenberg fra LegbaCore
EFI
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Et skadeligt Apple Ethernet Thunderbolt-mellemstik kan medføre firmwareoverskrivning
Beskrivelse: Apple Ethernet Thunderbolt-mellemstik kan ændre værtsfirmwaren, hvis de blev tilsluttet under en EFI-opdatering. Problemet er løst ved ikke at indlæse ekstern ROM under opdateringer.
CVE-id
CVE-2015-5914: Trammell Hudson fra Two Sigma Investments og snare
Finder
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Funktionen "Sikker tømning af papirkurv" sletter muligvis ikke arkiverne i papirkurven på en sikker måde
Beskrivelse: Der var et problem med at garantere sikker sletning af arkiver i papirkurven på nogle computere – f.eks. computere med flashlager. Problemet er løst ved at fjerne indstillingen "Sikker tømning af papirkurv".
CVE-id
CVE-2015-5901: Apple
Game Center
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Et skadeligt Game Center-program kan muligvis få adgang til en spillers e-mailadresse
Beskrivelse: Der var et problem i Game Center ved behandling af en spillers e-mail. Problemet blev løst via forbedret adgangsbegrænsning.
CVE-id
CVE-2015-5855: Nasser Alnasser
Heimdal
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En hacker kan gentage Kerberos-adgangsoplysninger for SMB-serveren
Beskrivelse: Der var et godkendelsesproblem i Kerberos-adgangsoplysningerne. Problemet er løst ved yderligere godkendelse af adgangsoplysningerne ved hjælp af en liste med de senest anvendte adgangsoplysninger.
CVE-id
CVE-2015-5913: Tarun Chopra fra Microsoft Corporation, USA, og Yu Fan fra Microsoft Corporation, Kina
ICU
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Flere sikkerhedsrisici i ICU
Beskrivelse: Der var flere sikkerhedsrisici i ICU før version 53.1.0. Problemerne er løst ved at opdatere ICU til version 55.1.
CVE-id
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922 : Mark Brand fra Google Project Zero
Install Framework Legacy
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan opnå rodrettigheder
Beskrivelse: Der var et begrænsningsproblem i "Installer privat framework" indeholdende et eksekverbart arkiv med rettigheder. Problemet er løst ved at fjerne det eksekverbare arkiv.
CVE-id
CVE-2015-5888: Apple
Intel Graphics Driver
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder
Beskrivelse: Der var flere problemer med beskadiget hukommelse i Intel-grafikdriveren. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5830: Yuki MIZUNO (@mzyy94)
CVE-2015-5877: Camillus Gerard Cai
IOAudioFamily
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen
Beskrivelse: Der var et problem i IOAudioFamily, som bevirkede, at der blev videregivet indhold fra kernehukommelsen. Problemet er løst ved at ombytte kernemarkører.
CVE-id
CVE-2015-5864: Luca Todesco
IOGraphics
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var flere problemer med beskadiget hukommelse i kernen. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5871: Ilja van Sprundel fra IOActive
CVE-2015-5872: Ilja van Sprundel fra IOActive
CVE-2015-5873: Ilja van Sprundel fra IOActive
CVE-2015-5890: Ilja van Sprundel fra IOActive
IOGraphics
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
Beskrivelse: Der var et problem i IOGraphics, som kunne medføre afsløring af kernehukommelsens opsætning. Problemet blev løst ved forbedret hukommelsesstyring.
CVE-id
CVE-2015-5865: Luca Todesco
IOHIDFamily
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var flere problemer med beskadiget hukommelse i IOHIDFamily. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5866: Apple
CVE-2015-5867: moony li fra Trend Micro
IOStorageFamily
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal hacker kan læse kernehukommelsen
Beskrivelse: Der var et problem med hukommelsesinitialisering i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5863: Ilja van Sprundel fra IOActive
Kernel
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var flere problemer med beskadiget hukommelse i kernen. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard fra m00nbsd
CVE-2015-5903: CESG
Kernel
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal proces kan ændre andre processer uden forudgående berettigelseskontrol
Beskrivelse: Der var et problem med, at rodprocesser, der anvender API'en for processor_set_tasks, kunne hente andre processers opgaveporte. Problemet er løst ved at indføre yderligere berettigelseskontroller.
CVE-id
CVE-2015-5882: Pedro Vilaça, der arbejder ud fra oprindelig research af Ming-chieh Pan og Sung-ting Tsai; Jonathan Levin
Kernel
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal hacker kan styre værdien af stakcookies
Beskrivelse: Der var flere sikkerhedsproblemer ved generering af stakcookies til brugerområdet. Problemerne er løst ved forbedret generering af stakcookies.
CVE-id
CVE-2013-3951: Stefan Esser
Kernel
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En hacker kan starte DoS-angreb på TCP-forbindelser uden at kende det korrekte sekvensnummer
Beskrivelse: Der var et problem med XNU-godkendelse af TCP-pakkeheadere. Problemet er løst ved forbedret godkendelse af TCP-pakkeheadere.
CVE-id
CVE-2015-5879: Jonathan Looney
Kernel
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En hacker i et lokalt LAN-segment kan deaktivere IPv6-routing
Beskrivelse: Der var et problem med utilstrækkelig godkendelse ved behandling af IPv6-routerannonceringer, som gjorde det muligt for en hacker at indstille hop-grænsen til en vilkårlig værdi. Problemet er løst ved at gennemtvinge en minimums-hop-grænse.
CVE-id
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen
Beskrivelse: Der var et problem, som bevirkede, at kernehukommelsens opsætning blev afsløret. Problemet er løst ved forbedret initialisering af kernehukommelsesstrukturerne.
CVE-id
CVE-2015-5842: beist fra grayhash
Kernel
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen
Beskrivelse: Der var et problem i fejlfindingsgrænsefladerne, som bevirkede, at der blev afsløret indhold fra kernehukommelsen. Problemet er løst ved at rense outputtet fra fejlfindingsgrænsefladerne.
CVE-id
CVE-2015-5870: Apple
Kernel
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet
Beskrivelse: Der var et statusadministrationsproblem i fejlfindingsfunktionerne. Problemet er løst ved forbedret godkendelse.
CVE-id
CVE-2015-5902: Sergi Alvarez (pancake) fra NowSecure Research Team
libc
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i fflush-funktionen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2014-8611: Adrian Chadd og Alfred Perlstein fra Norse Corporation
libpthread
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team
libxpc
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Mange SSH-forbindelser kunne forårsage DoS
Beskrivelse: launchd havde ingen grænse for antallet af processer, der kunne startes af en netværksforbindelse. Problemet er løst ved at begrænse antallet af SSH-processer til 40.
CVE-id
CVE-2015-5881: Apple
Log ind-vindue
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Skærmlåsen aktiveres muligvis ikke efter det angivne tidsrum
Beskrivelse: Der var et problem med gemt låsning af skærmen. Problemet er løst ved forbedret behandling af låsen.
CVE-id
CVE-2015-5833: Carlos Moreira, Rainer Dorau fra rainer dorau informationsdesign, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera og Jon Hall fra Asynchrony
lukemftpd
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En ekstern hacker kan blokere for FTP-serveren
Beskrivelse: Der var et problem med glob-behandling i tnftpd. Problemet er løst ved forbedret glob-godkendelse.
CVE-id
CVE-2015-5917: Maksymilian Arciemowicz fra cxsecurity.com
Mail
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Ved udskrivning af en e-mail kan der blive lækket følsomme brugeroplysninger
Beskrivelse: Der var et problem i Mail, så brugerindstillingerne blev tilsidesat ved udskrivning af en e-mail. Problemet er løst ved forbedret gennemførelse af brugerindstillingerne.
CVE-id
CVE-2015-5881: Owen DeLong fra Akamai Technologies, Noritaka Kamiya, Dennis Klein fra Eschenburg, Tyskland, og Jeff Hammett fra Systim Technology Partners
Mail
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En hacker i en privilegeret netværksposition kunne opsnappe bilag til S/MIME-krypteret e-mail afsendt via Mail Drop
Beskrivelse: Der var et problem ved behandling af krypteringsparametre for store e-mailbilag, der er sendt via Mail Drop. Problemet er løst ved ikke længere at tilbyde Mail Drop, når der sendes en krypteret e-mail.
CVE-id
CVE-2015-5884: John McCombs fra Integrated Mapping Ltd
Multipeer-forbindelse
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal hacker kan observere ubeskyttede multipeer-data
Beskrivelse: Der var et problem med behandling af convenience-initialisering, hvor krypteringen aktivt kunne nedgraderes til en ikke-krypteret session. Problemet er løst ved at ændre convenience-initialisering, så der kræves kryptering.
CVE-id
CVE-2015-5851: Alban Diquet (@nabla_c0d3) fra Data Theorem
NetworkExtension
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
Beskrivelse: Der var et problem med ikke-initialiseret hukommelse i kernen, som bevirkede, at der blev afsløret indhold fra kernehukommelsen. Problemet er løst ved forbedret hukommelsesinitialisering.
CVE-id
CVE-2015-5831: Maxime Villard fra m00nbsd
Bemærkninger
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger
Beskrivelse: Der var et problem i parsinghenvisninger i programmet Noter. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-5878: Craig Young fra Tripwire VERT og en anonym anmelder
Bemærkninger
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger
Beskrivelse: Der var et problem med scripting på tværs af websteder ved parsing af tekst i programmet Noter. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-5875: xisigr fra Tencent's Xuanwu LAB (www.tencent.com)
OpenSSH
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Flere sikkerhedsrisici i OpenSSH
Beskrivelse: Der var flere sikkerhedsrisici i OpenSSH før version 6.9. Problemerne er løst ved at opdatere OpenSSH til version 6.9.
CVE-id
CVE-2014-2532
OpenSSL
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Flere sikkerhedshuller i OpenSSL
Beskrivelse: Der var flere sikkerhedsrisici i OpenSSL før version 0.9.8zg. Problemerne er løst ved at opdatere OpenSSL til version 0.9.8zg.
CVE-id
CVE-2015-0286
CVE-2015-0287
procmail
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Flere sikkerhedsrisici i procmail
Beskrivelse: Der var flere sikkerhedsrisici i procmail før version 3.22. Problemerne er løst ved at fjerne procmail.
CVE-id
CVE-2014-3618
remote_cmds
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan køre vilkårlig kode med rodrettigheder
Beskrivelse: Der var et problem med rsh-binary-brugen af miljøvariabler. Problemet er løst ved at fjerne setuid-rettighederne fra rsh-binary.
CVE-id
CVE-2015-5889: Philip Pettersson
removefile
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Behandling af skadelige data kan medføre pludselig applukning
Beskrivelse: Der var en overløbsfejl i checkint-divisionsrutinerne. Problemet er løst ved at forbedre divisionsrutinerne.
CVE-id
CVE-2015-5840: En anonym anmelder
Ruby
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Flere sårbarheder i Ruby
Beskrivelse: Der var flere sikkerhedsrisici i Ruby før version 2.0.0p645. Problemerne er løst ved at opdatere Ruby til version 2.0.0p645.
CVE-id
CVE-2014-8080
CVE-2014-8090
CVE-2015-1855
Sikkerhed
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Nøgleringens låsestatus kan blive vist forkert for brugeren
Beskrivelse: Der var et statusadministrationsproblem i den måde, nøgleringsstatussen blev sporet. Problemet er løst ved forbedret statusadministration.
CVE-id
CVE-2015-5915: Peter Walz fra University of Minnesota, David Ephron og Eric E. Lawrence, Apple
Sikkerhed
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En tillidsevaluering, der er konfigureret til at kræve tilbagekaldskontrol, kan være positiv, selv om tilbagekaldskontrollen mislykkes
Beskrivelse: Indikatoren kSecRevocationRequirePositiveResponse var angivet, men ikke implementeret. Problemet er løst ved at implementere indikatoren.
CVE-id
CVE-2015-5894: Hannes Oud fra kWallet GmbH
Sikkerhed
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En ekstern server kan bede om et certifikat, før den har identificeret sig
Beskrivelse: Secure Transport accepterede CertificateRequest-meddelelsen før ServerKeyExchange-meddelelsen. Problemet er løst ved at kræve ServerKeyExchange først.
CVE-id
CVE-2015-5887: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti og Jean Karim Zinzindohoue fra INRIA Paris-Rocquencourt, Cedric Fournet og Markulf Kohlweiss fra Microsoft Research samt Pierre-Yves Strub fra IMDEA Software Institute
SMB
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5891: Ilja van Sprundel fra IOActive
SMB
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen
Beskrivelse: Der var et problem i SMBClient, som bevirkede, at der blev afsløret indhold fra kernehukommelsen. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2015-5893: Ilja van Sprundel fra IOActive
SQLite
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Flere sikkerhedsrisici i SQLite v3.8.5
Beskrivelse: Der var flere sikkerhedsrisici i SQLite v3.8.5. Problemerne er løst ved at opdatere SQLite til version 3.8.10.2.
CVE-id
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
Telefoni
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal hacker kan foretage telefonopkald, uden at brugeren ved det, når der bruges Kontinuitet
Beskrivelse: Der var et problem med godkendelseskontroller, når der blev foretaget telefonopkald. Problemet er løst ved forbedrede godkendelseskontroller.
CVE-id
CVE-2015-3785: Dan Bastone fra Gotham Digital Science
Terminal
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Skadelig tekst kan føre brugeren på vildspor i Terminal
Beskrivelse: Terminal behandlede ikke tovejstilsidesættelsestegn på samme måde ved visning og valg af tekst. Problemet er løst ved at skjule tovejstilsidesættelsestegn i Terminal.
CVE-id
CVE-2015-5883: Lukas Schauer (@lukas2511)
tidy
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse i tidy. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5522: Fernando Muñoz fra NULLGroup.com
CVE-2015-5523: Fernando Muñoz fra NULLGroup.com
Time Machine
Fås til: Mac OS X v10.6.8 og nyere versioner
Effekt: En lokal hacker kan opnå adgang til nøgleringselementer
Beskrivelse: Der var et problem i sikkerhedskopier udført af Time Machine-framework. Problemet er løst ved forbedret dækning af Time Machine-sikkerhedskopier.
CVE-id
CVE-2015-5854: Jonas Magazinius fra Assured AB
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.