Tietoja OS X El Capitan 10.11:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan OS X El Capitan 10.11:n turvallisuussisällöstä.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuus -sivulla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on Applen suojauspäivitykset -sivulla.
OS X El Capitan 10.11
Osoitekirja
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen hyökkääjä saattoi pystyä lisäämään mielivaltaista koodia prosesseihin, jotka latasivat Osoitekirja-sovelluskehyksen.
Kuvaus: Osoitekirja-sovelluskehyksen tavassa käsitellä ympäristömuuttujaa oli ongelma. Ongelma on ratkaistu parantamalla ympäristömuuttujien käsittelyä.
CVE-ID
CVE-2015-5897: Gotham Digital Sciencen Dan Bastone
AirScan
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä saamaan suojatun yhteyden kautta lähetettyjen eSCL-pakettien tietosisällön.
Kuvaus: eSCL-pakettien käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla validointitarkistuksia.
CVE-ID
CVE-2015-5853: nimetön tutkija
apache_mod_php
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: PHP:ssä oli useita haavoittuvuuksia.
Kuvaus: PHP 5.5.27:ää edeltävissä versioissa oli useita haavoittuvuuksia, joista yksi saattoi aiheuttaa koodin suorittamisen etänä. Ongelma on ratkaistu päivittämällä PHP versioon 5.5.27.
CVE-ID
CVE-2014-9425
CVE-2014-9427
CVE-2014-9652
CVE-2014-9705
CVE-2014-9709
CVE-2015-0231
CVE-2015-0232
CVE-2015-0235
CVE-2015-0273
CVE-2015-1351
CVE-2015-1352
CVE-2015-2301
CVE-2015-2305
CVE-2015-2331
CVE-2015-2348
CVE-2015-2783
CVE-2015-2787
CVE-2015-3329
CVE-2015-3330
Apple Online Store Kit
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haittaohjelma saattoi saada pääsyn käyttäjän avainnipun kohteisiin.
Kuvaus: iCloud-avainnipun kohteiden pääsynhallintaluetteloiden validoinnissa oli ongelma. Ongelma on ratkaistu parantamalla käyttöoikeusluetteloiden tarkistusta.
CVE-ID
CVE-2015-5836: Indianan yliopiston XiaoFeng Wang ja Luyi Xing, Pekingin yliopiston Tongxin Li ja Tsinghuan yliopiston Xiaolong Bai
AppleEvents
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Näytönjaon kautta yhteydessä ollut käyttäjä pystyi lähettämään Apple Eventejä paikallisen käyttäjän istuntoon.
Kuvaus: Apple Eventien suodatuksessa oli ongelma, jonka vuoksi jotkin käyttäjät pystyivät lähettämään komentoja toisille käyttäjille. Ongelma on ratkaistu parantamalla Apple Eventien käsittelyä.
CVE-ID
CVE-2015-5849: Jack Lawrence (@_jackhl)
Ääni
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.
Kuvaus: Äänitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5862: Yonsei-yliopiston (Soul, Etelä-Korea) Information Security Labin YoungJin Yoon (apuna professori Taekyoung Kwon)
bash
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: bashissa oli useita haavoittuvuuksia.
Kuvaus: bash 3.2:n korjaustiedostotaso 57:ää edeltävissä versioissa oli useita haavoittuvuuksia. Ongelmat on ratkaistu päivittämällä bash 3.2 korjaustiedostotasolle 57.
CVE-ID
CVE-2014-6277
CVE-2014-7186
CVE-2014-7187
Varmenteiden luottamuskäytäntö
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Varmenteiden luottamuskäytäntö on päivitetty.
Kuvaus: Varmenteiden luottamuskäytäntö on päivitetty. Luettelo varmenteista on osoitteessa https://support.apple.com/fi-fi/HT202858.
CFNetwork Cookies
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä pystyi seuraamaan käyttäjän toimintaa.
Kuvaus: Ylimmän tason domainien käsittelyssä oli domainien välinen evästeongelma. Ongelma on ratkaistu parantamalla evästeiden luomisen rajoituksia.
CVE-ID
CVE-2015-5885: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng
CFNetwork FTPProtocol
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haitalliset FTP-palvelimet saattoivat saada asiakkaan suorittamaan tiedustelua muissa palvelimissa.
Kuvaus: FTP-pakettien käsittelyssä oli ongelma käytettäessä PASV-komentoa. Ongelma on ratkaistu parantamalla validointia.
CVE-ID
CVE-2015-5912: Amit Klein
CFNetwork HTTPProtocol
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haitallinen URL-osoite saattoi pystyä ohittamaan HSTS:n ja vuotamaan arkaluontoisia tietoja.
Kuvaus: HSTS:n käsittelyssä oli URL-osoitteen jäsentämishaavoittuvuus. Ongelma on ratkaistu parantamalla URL-osoitteiden jäsentämistä.
CVE-ID
CVE-2015-5858: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng
CFNetwork HTTPProtocol
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan verkkoliikennettä.
Kuvaus: Esiladatun HSTS-luettelon kohtien käsittelyssä oli ongelma Safarin yksityisessä selaustilassa. Ongelma on ratkaistu parantamalla tilan käsittelyä.
CVE-ID
CVE-2015-5859: Luxemburgin yliopiston Rosario Giustolisi
CFNetwork HTTPProtocol
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haitallinen sivusto saattoi pystyä seuraamaan käyttäjän toimia Safarin yksityisessä selaustilassa.
Kuvaus: HSTS-tilan käsittelyssä oli ongelma Safarin yksityisessä selaustilassa. Ongelma on ratkaistu parantamalla tilan käsittelyä.
CVE-ID
CVE-2015-5860: RadicalResearch Ltd:n Sam Greenhalgh
CFNetwork-välipalvelimet
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Yhteyden muodostaminen haitalliseen verkkovälipalvelimeen saattoi asettaa verkkosivustolle haitallisia evästeitä.
Kuvaus: Välipalvelimen yhdistämisvastausten käsittelyssä oli ongelma. Ongelma on ratkaistu poistamalla set-cookie-otsake yhdistämisvastauksen jäsennyksen aikana.
CVE-ID
CVE-2015-5841: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng
CFNetwork SSL
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan SSL/TLS-yhteyksiä.
Kuvaus: NSURLissa oli varmenteen validointiongelma, kun varmenne vaihtui. Ongelma on ratkaistu parantamalla varmenteiden validointia.
CVE-ID
CVE-2015-5824: Omni Groupin Timothy J. Wood
CFNetwork SSL
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Hyökkääjä saattoi pystyä purkamaan SSL:llä suojattujen tietojen salauksen.
Kuvaus: RC4:n luottamuksellisuuteen kohdistuu tunnettuja hyökkäyksiä. Hyökkääjä saattoi pakottaa RC4:n käytön, vaikka palvelin suosi parempaa salausmenetelmää, estämällä TLS 1.0:aa ja sitä uudempaa TLS-versiota käyttävät yhteydet, kunnes CFNetwork kokeili SSL 3.0:aa, joka mahdollistaa vain RC4:n. Ongelma on ratkaistu poistamalla mahdollisuus käyttää SSL 3.0:aa varamenetelmänä.
CoreCrypto
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Hyökkääjä saattoi pystyä selvittämään yksityisen avaimen.
Kuvaus: Hyökkääjä saattoi pystyä selvittämään yksityisen RSA-avaimen tarkkailemalla monia allekirjoittamisen tai salauksen purkamisen yrityksiä. Ongelma on ratkaistu käyttämällä parempia salausalgoritmeja.
CoreText
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak) ja Yahoo Pentest Team
Dev Tools
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: dyldissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5876: grayhashin beist
Dev Tools
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen.
Kuvaus: Suoritustiedostojen koodiallekirjoituksen validoinnissa oli ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2015-5839: @PanguTeam
Levykuvat
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: DiskImagesissa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5847: Filippo Bigarella ja Luca Todesco
dyld
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen.
Kuvaus: Suoritustiedostojen koodiallekirjoituksen validoinnissa oli ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2015-5839: TaiG Jailbreak Team
EFI
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haittaohjelma saattoi estää joidenkin järjestelmien käynnistymisen.
Kuvaus: Suojatun aluerekisterin kattamissa osoitteissa oli ongelma. Ongelma on ratkaistu muuttamalla suojattua aluetta.
CVE-ID
CVE-2015-5900: LegbaCoren Xeno Kovah ja Corey Kallenberg
EFI
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haitallinen Applen Ethernet–Thunderbolt-sovitin saattoi pystyä häiritsemään laiteohjelmiston päivittämistä.
Kuvaus: Applen Ethernet–Thunderbolt-sovitin saattoi muokata isäntälaiteohjelmistoa ollessaan liitettynä tietokoneeseen EFI-päivityksen aikana. Ongelma on ratkaistu olemalla lataamatta valinnaisia ROM-muisteja päivitysten aikana.
CVE-ID
CVE-2015-5914: Two Sigma Investmentsin Trammell Hudson sekä snare
Finder
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Roskakorin turvallinen tyhjennystoiminto ei välttämättä poistanut tiedostoja roskakorista turvallisesti.
Kuvaus: Roskakorissa olevien tiedostojen turvallisen poistamisen varmistamisessa oli ongelma joissakin (esimerkiksi flash-muistia käyttävissä) järjestelmissä. Ongelma on ratkaistu poistamalla roskakorin turvallinen tyhjennysvaihtoehto.
CVE-ID
CVE-2015-5901: Apple
Game Center
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haitallinen Game Center -ohjelma saattoi saada pelaajan sähköpostiosoitteen.
Kuvaus: Game Centerin tavassa käsitellä pelaajan sähköpostiosoitetta oli ongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.
CVE-ID
CVE-2015-5855: Nasser Alnasser
Heimdal
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Hyökkääjä saattoi pystyä toistamaan Kerberos-tunnistetiedot uudelleen SMB-palvelimelle.
Kuvaus: Kerberos-tunnistetiedoissa oli todentamisongelma. Ongelma on ratkaistu tunnistetietojen lisävalidoinnilla käyttämällä äskettäin nähtyjen tunnistetietojen luetteloa.
CVE-ID
CVE-2015-5913: Microsoft Corporationin (Yhdysvallat) Tarun Chopra ja Microsoft Corporationin (Kiina) Yu Fan
ICU
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: ICU:ssa oli useita haavoittuvuuksia.
Kuvaus: ICU 53.1.0:aa edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä ICU versioon 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Google Project Zeron Mark Brand
Install Framework (vanha)
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi saada pääkäyttöoikeudet.
Kuvaus: Etuoikeutetun suoritettavan tiedoston sisältävässä yksityisessä Install-sovelluskehyksessä oli rajoitusongelma. Ongelma on ratkaistu poistamalla suoritettava tiedosto.
CVE-ID
CVE-2015-5888: Apple
Intelin grafiikkaohjain
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Intelin grafiikkaohjaimessa oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5830: Yuki MIZUNO (@mzyy94)
CVE-2015-5877: Camillus Gerard Cai
IOAudioFamily
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: IOAudioFamilyssa oli ongelma, joka aiheutti kernel-muistin sisällön paljastumisen. Ongelma on ratkaistu ottamalla permutaatiot kernel-osoittimista.
CVE-ID
CVE-2015-5864: Luca Todesco
IOGraphics
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Kernelissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5871: IOActiven Ilja van Sprundel
CVE-2015-5872: IOActiven Ilja van Sprundel
CVE-2015-5873: IOActiven Ilja van Sprundel
CVE-2015-5890: IOActiven Ilja van Sprundel
IOGraphics
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: IOGraphicsissa oli ongelma, joka saattoi aiheuttaa kernel-muistin asettelun paljastumisen. Ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5865: Luca Todesco
IOHIDFamily
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOHIDFamilyssa oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5866: Apple
CVE-2015-5867: Trend Micron moony li
IOStorageFamily
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen hyökkääjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Kernelissä oli muistin alustamisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5863: IOActiven Ilja van Sprundel
Kernel
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Kernelissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5868: Alibaba Mobile Security Teamin Cererdlong
CVE-2015-5896: m00nbsd:n Maxime Villard
CVE-2015-5903: CESG
Kernel
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen prosessi pystyi muokkaamaan muita prosesseja ilman oikeustarkistuksia.
Kuvaus: processor_set_tasks-APIa käyttävät root-prosessit pystyivät hakemaan muiden prosessien tehtäväportit. Ongelma on ratkaistu lisäämällä oikeustarkistuksia.
CVE-ID
CVE-2015-5882: Ming-chieh Panin ja Sung-ting Tsain alkuperäistutkimukseen työnsä perustanut Pedro Vilaça sekä Jonathan Levin
Kernel
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen hyökkääjä saattoi hallita pinoevästeiden arvoa.
Kuvaus: Käyttäjätilan pinoevästeiden luomisessa oli useita heikkouksia. Nämä ongelmat on ratkaistu parantamalla pinoevästeiden luomista.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Hyökkääjä saattoi pystyä käynnistämään palvelunestohyökkäyksiä kohdistettuihin TCP-yhteyksiin tietämättä oikeaa järjestysnumeroa.
Kuvaus: xnu:n tavassa validoida TCP-pakettiotsakkeet oli ongelma. Ongelma on ratkaistu parantamalla TCP-pakettiotsakkeiden validointia.
CVE-ID
CVE-2015-5879: Jonathan Looney
Kernel
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallisessa lähiverkkosegmentissä ollut hyökkääjä saattoi poistaa IPv6-reitityksen käytöstä.
Kuvaus: IPv6-reititysmainosten käsittelyssä oli riittämättömän validoinnin ongelma, minkä vuoksi hyökkääjä pystyi asettamaan siirräntävälille mielivaltaisen arvon. Ongelma on ratkaistu ottamalla käyttöön pienimmän sallitun siirräntävälin rajoitus.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Kernel-muistin asettelu saattoi paljastua ongelman vuoksi. Ongelma on ratkaistu parantamalla kernel-muistin rakenteiden alustamista.
CVE-ID
CVE-2015-5842: grayhashin beist
Kernel
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Virheenkorjausliittymissä oli ongelma, joka aiheutti muistisisällön paljastumisen. Ongelma on ratkaistu puhdistamalla virheenkorjausliittymien tuloste.
CVE-ID
CVE-2015-5870: Apple
Kernel
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.
Kuvaus: Virheenkorjaustoiminnallisuudessa oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-ID
CVE-2015-5902: NowSecure Research Teamin Sergi Alvarez (pancake)
libc
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: fflush-toiminnossa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2014-8611: Norse Corporationin Adrian Chadd ja Alfred Perlstein
libpthread
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5899: Qihoo 360 Vulcan Teamin Lufeng Li
libxpc
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Useat SSH-yhteydet saattoivat aiheuttaa palveluneston.
Kuvaus: launchd ei rajoittanut verkkoyhteyden käynnistämien prosessien määrää. Ongelma on ratkaistu rajoittamalla SSH-prosessien määrä 40:een.
CVE-ID
CVE-2015-5881: Apple
Kirjautumisikkuna
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Näytön lukitus ei joskus mennyt päälle määritetyn ajanjakson jälkeen.
Kuvaus: Kaapatussa näytön lukituksessa oli ongelma. Ongelma on ratkaistu parantamalla lukituksen käsittelyä.
CVE-ID
CVE-2015-5833: Carlos Moreira, rainer dorau informationsdesignin Rainer Dorau, Chris Nehren, Kai Takac, Hans Douma, Toni Vaahtera sekä Asynchronyn Jon Hall
lukemftpd
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Etähyökkääjä saattoi luoda FTP-palvelinta koskevan palveluneston.
Kuvaus: tnftpd:ssä oli globin prosessointiongelma. Ongelma on ratkaistu parantamalla globin validointia.
CVE-ID
CVE-2015-5917: cxsecurity.comin Maksymilian Arciemowicz
Mail
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Sähköpostiviestin tulostaminen saattoi aiheuttaa arkaluontoisten käyttäjätietojen paljastumisen.
Kuvaus: Mailissa oli ongelma, jonka vuoksi käyttäjäasetukset ohitettiin tulostettaessa sähköpostiviestiä. Ongelma on ratkaistu parantamalla käyttäjäasetusten toimeenpanoa.
CVE-ID
CVE-2015-5881: Akamai Technologiesin Owen DeLong, Noritaka Kamiya, Saksan Eschenburgista kotoisin oleva Dennis Klein sekä Systim Technology Partnersin Jeff Hammett
Mail
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa Mail Dropin kautta lähetettyjen S/MIME-salattujen sähköpostiviestien liitteitä.
Kuvaus: Mail Dropin kautta lähetettyjen suurten sähköpostin liitetiedostojen salausparametrien käsittelyssä oli ongelma. Ongelma on ratkaistu olemalla tarjoamatta Mail Dropia lähetettäessä salattuja sähköpostiviestejä.
CVE-ID
CVE-2015-5884: Integrated Mapping Ltd:n John McCombs
Multipeer-yhteydet
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen hyökkääjä saattoi pystyä tarkkailemaan suojaamattomia multipeer-tietoja.
Kuvaus: Convenience-alustajan käsittelyssä oli ongelma, jonka vuoksi salattu istunto pystyttiin aktiivisesti heikentämään salaamattomaksi. Ongelma on ratkaistu muuttamalla convenience-alustaja vaatimaan salausta.
CVE-ID
CVE-2015-5851: Data Theoremin Alban Diquet (@nabla_c0d3)
NetworkExtension
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Kernelissä ollut alustamattoman muistin ongelma aiheutti kernel-muistin sisällön paljastumisen. Ongelma on korjattu parantamalla muistin alustamista.
CVE-ID
CVE-2015-5831: m00nbsd:n Maxime Villard
Muistiinpanot
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: Linkkien jäsentämisessä oli ongelma Muistiinpanot-ohjelmassa. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-ID
CVE-2015-5878: Tripwire VERTin Craig Young sekä nimetön tutkija
Muistiinpanot
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: Tekstin jäsentämisessä oli sivustojen välinen komentosarjaongelma Muistiinpanot-ohjelmassa. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-ID
CVE-2015-5875: Tencentin Xuanwu LABin (www.tencent.com) xisigr
OpenSSH
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: OpenSSH:ssa oli useita haavoittuvuuksia.
Kuvaus: OpenSSH 6.9:ää edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä OpenSSH versioon 6.9.
CVE-ID
CVE-2014-2532
OpenSSL
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Useita haavoittuvuuksia OpenSSL:ssä.
Kuvaus: OpenSSL 0.9.8zg:tä edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä OpenSSL versioon 0.9.8zg.
CVE-ID
CVE-2015-0286
CVE-2015-0287
procmail
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: procmailissa oli useita haavoittuvuuksia.
Kuvaus: procmail 3.22:ta edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu poistamalla procmail.
CVE-ID
CVE-2014-3618
remote_cmds
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.
Kuvaus: rsh-binäärin tavassa käyttää ympäristömuuttujia oli ongelma. Ongelma on ratkaistu poistamalla setuid-oikeudet rsh-binääriltä.
CVE-ID
CVE-2015-5889: Philip Pettersson
removefile
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haitallisten tietojen käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.
Kuvaus: checkint-jakolaskurutiineissa oli ylivuotovika. Ongelma on ratkaistu parantamalla jakolaskurutiineja.
CVE-ID
CVE-2015-5840: nimetön tutkija
Ruby
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Rubyssa oli useita haavoittuvuuksia.
Kuvaus: Ruby 2.0.0p645:tä edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä Ruby versioon 2.0.0p645.
CVE-ID
CVE-2014-8080
CVE-2014-8090
CVE-2015-1855
Suojaus
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Avainnipun lukitustila saattoi näkyä käyttäjälle virheellisesti.
Kuvaus: Avainnipun lukitustilan seurantatavassa oli tilanhallintaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-ID
CVE-2015-5915: Minnesotan yliopiston Peter Walz sekä David Ephron, Eric E. Lawrence ja Apple
Suojaus
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Hylkäämistarkistusta vaatimaan määritetty luottamusarviointi saattoi onnistua, vaikka hylkäämistarkistus epäonnistui.
Kuvaus: kSecRevocationRequirePositiveResponse-lippu oli määritetty, mutta sitä ei toimeenpantu. Ongelma on ratkaistu toimeenpanemalla lippu.
CVE-ID
CVE-2015-5894: kWallet GmbH:n Hannes Oud
Suojaus
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Etäpalvelin saattoi pyytää varmennetta ennen tunnistautumistaan.
Kuvaus: Secure Transport hyväksyi CertificateRequest-viestin ennen ServerKeyExchange-viestiä. Ongelma on ratkaistu vaatimalla ServerKeyExchange-viesti ensin.
CVE-ID
CVE-2015-5887: INRIA Paris-Rocquencourtin Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti ja Jean Karim Zinzindohoue, Microsoft Researchin Cedric Fournet ja Markulf Kohlweiss sekä IMDEA Software Instituten Pierre-Yves Strub
SMB
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5891: IOActiven Ilja van Sprundel
SMB
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: SMBClientissa oli ongelma, joka aiheutti kernel-muistin sisällön paljastumisen. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2015-5893: IOActiven Ilja van Sprundel
SQLite
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia.
Kuvaus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä SQLite versioon 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
Puhelinliikenne
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen hyökkääjä saattoi soittaa puheluita käyttäjän tietämättä käytettäessä jatkuvuustoimintoja.
Kuvaus: Puheluiden soittamisen valtuutustarkistuksissa oli ongelma. Ongelma on ratkaistu parantamalla valtuutustarkistuksia.
CVE-ID
CVE-2015-3785: Gotham Digital Sciencen Dan Bastone
Terminal
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haitallinen teksti saattoi johtaa käyttäjän harhaan Päätteessä.
Kuvaus: Pääte ei käsitellyt kaksisuuntaisia ohitusmerkkejä samalla tavalla näytettäessä tekstiä ja valittaessa tekstiä. Ongelma on ratkaistu estämällä kaksisuuntaiset ohitusmerkit Päätteessä.
CVE-ID
CVE-2015-5883: Lukas Schauer (@lukas2511)
tidy
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: tidyssa oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5522: NULLGroup.comin Fernando Muñoz
CVE-2015-5523: NULLGroup.comin Fernando Muñoz
Time Machine
Saatavuus: Mac OS X 10.6.8 tai uudempi.
Vaikutus: Paikallinen hyökkääjä saattoi saada pääsyn avainnippukohteisiin.
Kuvaus: Time Machine -sovelluskehyksen ottamissa varmuuskopioissa oli ongelma. Ongelma on ratkaistu parantamalla Time Machine -varmuuskopioiden kattavuutta.
CVE-ID
CVE-2015-5854: Assured AB:n Jonas Magazinius
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.