Om sikkerhedsindholdet i macOS Sierra 10.12
I dette dokument beskrives sikkerhedsindholdet i macOS Sierra 10.12.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
macOS Sierra 10.12
apache
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et fjernangreb kan medføre trafik via en vilkårlig server
Beskrivelse: Der var et problem med behandlingen af miljøvariablen HTTP_PROXY. Problemet er løst ved ikke at indstille miljøvariablen HTTP_PROXY fra CGI.
CVE-2016-4694: Dominic Scheirlinck og Scott Geary fra Vend
apache_mod_php
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Flere problemer i PHP, hvoraf de mest alvorlige kan medføre pludselig programlukning eller kørsel af vilkårlig kode.
Beskrivelse: Flere problemer i PHP er løst ved at opdatere PHP til version 5.6.24.
CVE-2016-5768
CVE-2016-5769
CVE-2016-5770
CVE-2016-5771
CVE-2016-5772
CVE-2016-5773
CVE-2016-6174
CVE-2016-6288
CVE-2016-6289
CVE-2016-6290
CVE-2016-6291
CVE-2016-6292
CVE-2016-6294
CVE-2016-6295
CVE-2016-6296
CVE-2016-6297
Apples HSSPI-support
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.
CVE-2016-4697: Qidan He (@flanker_hqd) fra KeenLab, der arbejder med Trend Micros Zero Day Initiative
AppleEFIRuntime
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: En reference til en null-pointer er rettet gennem forbedret inputvalidering.
CVE-2016-4696: Shrek_wzw fra Qihoo 360 Nirvan Team
AppleMobileFileIntegrity
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et lokalt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et godkendelsesproblem i politikken til overdragelse af opgaveporte. Problemet er løst via forbedret godkendelse af procesrettigheder og gruppe-id.
CVE-2016-4698: Pedro Vilaça
AppleUUC
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.
CVE-2016-4699: Jack Tang (@jacktang310) og Moony Li fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
CVE-2016-4700: Jack Tang (@jacktang310) og Moony Li fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
Programfirewall
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: En lokal bruger kan muligvis forårsage denial of service
Beskrivelse: Der var et godkendelsesproblem ved behandlingen af firewallprompter. Problemet er løst via forbedret godkendelse af SO_EXECPATH.
CVE-2016-4701: Meder Kydyraliev fra Google Security Team
ATS
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.
CVE-2016-4779: riusksk fra Tencent Security Platform Department
Lyd
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park og Taekyoung Kwon fra Information Security Lab, Yonsei University.
Bluetooth
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med korruption af hukommelsen, som er løst via forbedret godkendelse af input.
CVE-2016-4703: Juwei Lin (@fuzzerDOTcn) fra Trend Micro
cd9660
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: En lokal bruger kan muligvis forårsage denial of service
Beskrivelse: Et problem med godkendelse af input er løst via forbedret hukommelsesbehandling.
CVE-2016-4706: Recurity Labs på vegne af BSI (det tyske forbundsbureau for informationssikkerhed)
CFNetwork
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: En lokal bruger kan muligvis finde websteder, som en anden bruger har besøgt
Beskrivelse: Der var et problem med sletning i Local Storage. Problemet er løst via forbedret oprydning i Local Storage.
CVE-2016-4707: En anonym programmør
CFNetwork
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Behandling af skadeligt webindhold kan udgøre en risiko for brugeroplysninger
Beskrivelse: Der var et problem med godkendelse af input ved parsing af set-cookie-headeren. Problemet er løst via forbedret godkendelseskontrol.
CVE-2016-4708: Dawid Czagan fra Silesia Security Lab
CommonCrypto
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program, der bruger CCrypt, kan vise følsom klartekst, hvis output- og inputbufferen er den samme
Beskrivelse: Der var et problem med godkendelse af input i CoreCrypto. Problemet er løst via forbedret godkendelse af input.
CVE-2016-4711: Max Lohrmann
CoreCrypto
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan køre vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem er løst ved at fjerne den sårbare kode.
CVE-2016-4712: Gergo Koteles
CoreDisplay
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: En bruger med skærmdelingsadgang kan muligvis se en anden brugers skærm
Beskrivelse: Der var et sessionsadministrationsproblem ved behandlingen af skærmdelingssessioner. Problemet er løst ved forbedret sessionssporing.
CVE-2016-4713: Ruggero Alberti
curl
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Flere sikkerhedsproblemer i curl
Beskrivelse: Der var flere sikkerhedsproblemer i curl før version 7.49.1. Disse problemer er løst ved at opdatere curl til version 7.49.1.
CVE-2016-0755: Isaac Boukris
Indstillingsvinduet for dato og tid
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et skadeligt program kan muligvis registrere en brugers aktuelle placering
Beskrivelse: Der var et problem med behandlingen af .GlobalPreferences-arkivet. Dette er løst via forbedret godkendelse.
CVE-2016-4715: Taiki (@Taiki__San) fra ESIEA (Paris)
DiskArbitration
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et adgangsproblem i diskutil. Problemet er løst via forbedret kontrol af tilladelser.
CVE-2016-4716: Alexander Allen fra The North Carolina School of Science and Mathematics
Arkivbogmærke
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et lokalt program kan muligvis fremkalde denial of service
Beskrivelse: Der var et problem med ressourceadministrationen i forbindelse med bogmærker. Problemet er løst via forbedret behandling af arkivbeskrivelse.
CVE-2016-4717: Tom Bradley fra 71Squared Ltd
FontParser
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et bufferoverløb ved håndteringen af skriftarkiver. Problemet er løst ved forbedret kontrol af grænser.
CVE-2016-4718: Apple
IDS – forbindelsesmuligheder
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: En hacker med en privilegeret netværksposition kan muligvis fremkalde denial of service
Beskrivelse: Der var et problem med efterligning i behandlingen af Call Relay. Problemet er løst via forbedret godkendelse af input.
CVE-2016-4722: Martin Vigo (@martin_vigo) fra salesforce.com
ImageIO
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse
Beskrivelse: Der var en out-of-bounds-læsning i parsingen af SGI-billedet. Problemet er løst ved forbedret kontrol af grænser.
CVE-2016-4682: Ke Liu fra Tencents Xuanwu Lab
Intel Graphics Driver
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Flere problemer med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.
CVE-2016-4723: daybreaker fra Minionz
Intel Graphics Driver
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev rettet gennem forbedret hukommelseshåndtering.
CVE-2016-7582: Liang Chen fra Tencent KeenLab
IOAcceleratorFamily
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: En reference til en null-pointer er rettet gennem forbedret inputvalidering.
CVE-2016-4724: Cererdlong, Eakerqiu fra Team OverSky
IOAcceleratorFamily
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse
Beskrivelse: Der var et problem med korruption af hukommelsen, som er løst via forbedret godkendelse af input.
CVE-2016-4725: Rodger Combs fra Plex, Inc
IOAcceleratorFamily
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.
CVE-2016-4726: En anonym programmør
IOThunderboltFamily
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.
CVE-2016-4727: wmin, der arbejder med Trend Micros Zero Day Initiative
Kerberos v5 PAM-modul
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: En hacker kan via fjernangreb muligvis tjekke, om der findes brugerkonti
Beskrivelse: En tidsrelateret sidekanal gav tilladelse til, at en hacker kunne tjekke, om der fandtes brugerkonti i et system. Problemet er løst ved at introducere gentagne tidstjek.
CVE-2016-4745: En anonym programmør
Kernel
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et lokalt program kan muligvis få adgang til begrænsede arkiver
Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier er løst via forbedret stigodkendelse.
CVE-2016-4771: Balazs Bucsay, forskningsdirektør hos MRG Effitas
Kernel
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: En ekstern hacker kan muligvis fremkalde denial of service
Beskrivelse: Et problem med behandling af låsen er løst via forbedret behandling af låsen.
CVE-2016-4772: Marc Heuse fra mh-sec
Kernel
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis konstatere hukommelseslayoutet af kerne
Beskrivelse: Der var flere out-of-bounds-læseproblemer, som medførte offentliggørelsen af kernehukommelsen. Problemerne er løst via forbedret godkendelse af input.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Kernel
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.
CVE-2016-4775: Brandon Azad
Kernel
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: En ikke-godkendt pointerreference blev rettet ved at fjerne den berørte kode.
CVE-2016-4777: Lufeng Li fra Qihoo 360 Vulcan Team
Kernel
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Flere problemer med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.
CVE-2016-4778: CESG
libarchive
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Flere problemer i libarchive
Beskrivelse: Der var flere problemer med korruption af hukommelsen i libarchive. Problemerne er løst ved forbedret godkendelse af input.
CVE-2016-4736: Proteas fra Qihoo 360 Nirvan Team
libxml2
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Flere problemer i libxml2, hvoraf de mest alvorlige kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxpc
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Der var flere svagheder med nye processer til spawn, der anvender launchctl. Disse problemer er løst via forbedret håndhævelse af politikken.
CVE-2016-4617: Gregor Kopf fra Recurity Labs på vegne af BSI (det tyske forbundsbureau for informationssikkerhed)
libxslt
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Behandling af webindhold med ondsindet kode kan føre til vilkårlig kørsel af kode
Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.
CVE-2016-4738: Nick Wellnhofer
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et skadeligt websted kan muligvis fremkalde denial of service
Beskrivelse: Der var et problem med denial of service, som er løst ved forbedret håndtering af URL-adresser.
CVE-2016-7580: Sabri Haddouche (@pwnsdx)
mDNSResponder
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: En hacker kan muligvis se følsomme oplysninger
Beskrivelse: Programmer, der bruger VMnet.framework, aktiverede en DNS-proxyliste på alle netværksgrænseflader. Problemet er løst ved at begrænse DNS-forespørgselssvar til lokale grænseflader.
CVE-2016-4739: Magnus Skjegstad, David Scott og Anil Madhavapeddy fra Docker, Inc.
NSSecureTextField
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et skadeligt program kan muligvis afsløre en brugers loginoplysninger
Beskrivelse: Der var et problem med statusadministrationen i NSSecureTextField, så sikker indtastning kunne ikke aktiveres. Problemet er løst via forbedret vinduesadministrationen.
CVE-2016-4742: Rick Fillion fra AgileBits, Daniel Jalkut fra Red Sweater Software
Perl
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: En lokal bruger kan muligvis omgå taint-beskyttelsesmekanismen
Beskrivelse: Der var et problem i parsingen af miljøvariabler. Problemet er løst via forbedret godkendelse af miljøvariabler.
CVE-2016-4748: Stephane Chazelas
S2 Camera
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.
CVE-2016-4750: Jack Tang (@jacktang310) og Moony Li fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative
Sikkerhed
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et program, der bruger SecKeyDeriveFromPassword, kan afsløre hukommelsen
Beskrivelse: Der var et problem med ressourceadministrationen i forbindelse med nøgleafledning. Problemet er løst ved at føje CF_RETURNS_RETAINED til SecKeyDeriveFromPassword.
CVE-2016-4752: Mark Rogers fra PowerMapper Software
Sikkerhed
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et godkendelsesproblem i signerede diskbilleder. Problemet er løst via forbedret godkendelse af størrelse.
CVE-2016-4753: Mark Mentovai fra Google Inc.
Terminal
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger
Beskrivelse: Der var et problem med tilladelser i .bash_history og .bash_session. Problemet er løst via forbedret adgangsbegrænsning.
CVE-2016-4755: Axel Luttgens
WindowServer
Fås til: OS X Lion v10.7.5 og nyere versioner
Effekt: En lokal bruger kan opnå rodrettigheder
Beskrivelse: Et problem med forveksling af typer er løst via forbedret hukommelseshåndtering.
CVE-2016-4709: En anonym programmør, som arbejder med Trend Micros Zero Day Initiative
CVE-2016-4710: En anonym programmør, som arbejder med Trend Micros Zero Day Initiative
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.