Om sikkerhedsindholdet i macOS Sierra 10.12

I dette dokument beskrives sikkerhedsindholdet i macOS Sierra 10.12.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

macOS Sierra 10.12

apache

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et fjernangreb kan medføre trafik via en vilkårlig server

Beskrivelse: Der var et problem med behandlingen af miljøvariablen HTTP_PROXY. Problemet er løst ved ikke at indstille miljøvariablen HTTP_PROXY fra CGI.

CVE-2016-4694: Dominic Scheirlinck og Scott Geary fra Vend

apache_mod_php

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Flere problemer i PHP, hvoraf de mest alvorlige kan medføre pludselig programlukning eller kørsel af vilkårlig kode.

Beskrivelse: Flere problemer i PHP er løst ved at opdatere PHP til version 5.6.24.

CVE-2016-5768

CVE-2016-5769

CVE-2016-5770

CVE-2016-5771

CVE-2016-5772

CVE-2016-5773

CVE-2016-6174

CVE-2016-6288

CVE-2016-6289

CVE-2016-6290

CVE-2016-6291

CVE-2016-6292

CVE-2016-6294

CVE-2016-6295

CVE-2016-6296

CVE-2016-6297

Apples HSSPI-support

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.

CVE-2016-4697: Qidan He (@flanker_hqd) fra KeenLab, der arbejder med Trend Micros Zero Day Initiative

AppleEFIRuntime

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En reference til en null-pointer er rettet gennem forbedret inputvalidering.

CVE-2016-4696: Shrek_wzw fra Qihoo 360 Nirvan Team

AppleMobileFileIntegrity

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et lokalt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Der var et godkendelsesproblem i politikken til overdragelse af opgaveporte. Problemet er løst via forbedret godkendelse af procesrettigheder og gruppe-id.

CVE-2016-4698: Pedro Vilaça

AppleUUC

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2016-4699: Jack Tang (@jacktang310) og Moony Li fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

CVE-2016-4700: Jack Tang (@jacktang310) og Moony Li fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Programfirewall

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: En lokal bruger kan muligvis forårsage denial of service

Beskrivelse: Der var et godkendelsesproblem ved behandlingen af firewallprompter. Problemet er løst via forbedret godkendelse af SO_EXECPATH.

CVE-2016-4701: Meder Kydyraliev fra Google Security Team

ATS

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.

CVE-2016-4779: riusksk fra Tencent Security Platform Department

Lyd

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park og Taekyoung Kwon fra Information Security Lab, Yonsei University.

Bluetooth

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med korruption af hukommelsen, som er løst via forbedret godkendelse af input.

CVE-2016-4703: Juwei Lin (@fuzzerDOTcn) fra Trend Micro

cd9660

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: En lokal bruger kan muligvis forårsage denial of service

Beskrivelse: Et problem med godkendelse af input er løst via forbedret hukommelsesbehandling.

CVE-2016-4706: Recurity Labs på vegne af BSI (det tyske forbundsbureau for informationssikkerhed)

CFNetwork

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: En lokal bruger kan muligvis finde websteder, som en anden bruger har besøgt

Beskrivelse: Der var et problem med sletning i Local Storage. Problemet er løst via forbedret oprydning i Local Storage.

CVE-2016-4707: En anonym programmør

CFNetwork

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Behandling af skadeligt webindhold kan udgøre en risiko for brugeroplysninger

Beskrivelse: Der var et problem med godkendelse af input ved parsing af set-cookie-headeren. Problemet er løst via forbedret godkendelseskontrol.

CVE-2016-4708: Dawid Czagan fra Silesia Security Lab

CommonCrypto

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program, der bruger CCrypt, kan vise følsom klartekst, hvis output- og inputbufferen er den samme

Beskrivelse: Der var et problem med godkendelse af input i CoreCrypto. Problemet er løst via forbedret godkendelse af input.

CVE-2016-4711: Max Lohrmann

CoreCrypto

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan køre vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem er løst ved at fjerne den sårbare kode.

CVE-2016-4712: Gergo Koteles

CoreDisplay

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: En bruger med skærmdelingsadgang kan muligvis se en anden brugers skærm

Beskrivelse: Der var et sessionsadministrationsproblem ved behandlingen af skærmdelingssessioner. Problemet er løst ved forbedret sessionssporing.

CVE-2016-4713: Ruggero Alberti

curl

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Flere sikkerhedsproblemer i curl

Beskrivelse: Der var flere sikkerhedsproblemer i curl før version 7.49.1. Disse problemer er løst ved at opdatere curl til version 7.49.1.

CVE-2016-0755: Isaac Boukris

Indstillingsvinduet for dato og tid

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et skadeligt program kan muligvis registrere en brugers aktuelle placering

Beskrivelse: Der var et problem med behandlingen af .GlobalPreferences-arkivet. Dette er løst via forbedret godkendelse.

CVE-2016-4715: Taiki (@Taiki__San) fra ESIEA (Paris)

DiskArbitration

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Der var et adgangsproblem i diskutil. Problemet er løst via forbedret kontrol af tilladelser.

CVE-2016-4716: Alexander Allen fra The North Carolina School of Science and Mathematics

Arkivbogmærke

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et lokalt program kan muligvis fremkalde denial of service

Beskrivelse: Der var et problem med ressourceadministrationen i forbindelse med bogmærker. Problemet er løst via forbedret behandling af arkivbeskrivelse.

CVE-2016-4717: Tom Bradley fra 71Squared Ltd

FontParser

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Der var et bufferoverløb ved håndteringen af skriftarkiver. Problemet er løst ved forbedret kontrol af grænser.

CVE-2016-4718: Apple

IDS – forbindelsesmuligheder

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: En hacker med en privilegeret netværksposition kan muligvis fremkalde denial of service

Beskrivelse: Der var et problem med efterligning i behandlingen af Call Relay. Problemet er løst via forbedret godkendelse af input.

CVE-2016-4722: Martin Vigo (@martin_vigo) fra salesforce.com

ImageIO

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse

Beskrivelse: Der var en out-of-bounds-læsning i parsingen af SGI-billedet. Problemet er løst ved forbedret kontrol af grænser.

CVE-2016-4682: Ke Liu fra Tencents Xuanwu Lab

Intel Graphics Driver

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.

CVE-2016-4723: daybreaker fra Minionz

Intel Graphics Driver

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet gennem forbedret hukommelseshåndtering.

CVE-2016-7582: Liang Chen fra Tencent KeenLab

IOAcceleratorFamily

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En reference til en null-pointer er rettet gennem forbedret inputvalidering.

CVE-2016-4724: Cererdlong, Eakerqiu fra Team OverSky

IOAcceleratorFamily

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse

Beskrivelse: Der var et problem med korruption af hukommelsen, som er løst via forbedret godkendelse af input.

CVE-2016-4725: Rodger Combs fra Plex, Inc

IOAcceleratorFamily

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.

CVE-2016-4726: En anonym programmør

IOThunderboltFamily

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.

CVE-2016-4727: wmin, der arbejder med Trend Micros Zero Day Initiative

Kerberos v5 PAM-modul

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: En hacker kan via fjernangreb muligvis tjekke, om der findes brugerkonti

Beskrivelse: En tidsrelateret sidekanal gav tilladelse til, at en hacker kunne tjekke, om der fandtes brugerkonti i et system. Problemet er løst ved at introducere gentagne tidstjek.

CVE-2016-4745: En anonym programmør

Kernel

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et lokalt program kan muligvis få adgang til begrænsede arkiver

Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier er løst via forbedret stigodkendelse.

CVE-2016-4771: Balazs Bucsay, forskningsdirektør hos MRG Effitas

Kernel

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: En ekstern hacker kan muligvis fremkalde denial of service

Beskrivelse: Et problem med behandling af låsen er løst via forbedret behandling af låsen.

CVE-2016-4772: Marc Heuse fra mh-sec

Kernel

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis konstatere hukommelseslayoutet af kerne

Beskrivelse: Der var flere out-of-bounds-læseproblemer, som medførte offentliggørelsen af kernehukommelsen. Problemerne er løst via forbedret godkendelse af input.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Kernel

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.

CVE-2016-4775: Brandon Azad

Kernel

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En ikke-godkendt pointerreference blev rettet ved at fjerne den berørte kode.

CVE-2016-4777: Lufeng Li fra Qihoo 360 Vulcan Team

Kernel

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.

CVE-2016-4778: CESG

libarchive

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Flere problemer i libarchive

Beskrivelse: Der var flere problemer med korruption af hukommelsen i libarchive. Problemerne er løst ved forbedret godkendelse af input.

CVE-2016-4736: Proteas fra Qihoo 360 Nirvan Team

libxml2

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Flere problemer i libxml2, hvoraf de mest alvorlige kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

libxpc

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Der var flere svagheder med nye processer til spawn, der anvender launchctl. Disse problemer er løst via forbedret håndhævelse af politikken.

CVE-2016-4617: Gregor Kopf fra Recurity Labs på vegne af BSI (det tyske forbundsbureau for informationssikkerhed)

libxslt

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Behandling af webindhold med ondsindet kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.

CVE-2016-4738: Nick Wellnhofer

Mail

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et skadeligt websted kan muligvis fremkalde denial of service

Beskrivelse: Der var et problem med denial of service, som er løst ved forbedret håndtering af URL-adresser.

CVE-2016-7580: Sabri Haddouche (@pwnsdx)

mDNSResponder

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: En hacker kan muligvis se følsomme oplysninger

Beskrivelse: Programmer, der bruger VMnet.framework, aktiverede en DNS-proxyliste på alle netværksgrænseflader. Problemet er løst ved at begrænse DNS-forespørgselssvar til lokale grænseflader.

CVE-2016-4739: Magnus Skjegstad, David Scott og Anil Madhavapeddy fra Docker, Inc.

NSSecureTextField

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et skadeligt program kan muligvis afsløre en brugers loginoplysninger

Beskrivelse: Der var et problem med statusadministrationen i NSSecureTextField, så sikker indtastning kunne ikke aktiveres. Problemet er løst via forbedret vinduesadministrationen.

CVE-2016-4742: Rick Fillion fra AgileBits, Daniel Jalkut fra Red Sweater Software

Perl

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: En lokal bruger kan muligvis omgå taint-beskyttelsesmekanismen

Beskrivelse: Der var et problem i parsingen af miljøvariabler. Problemet er løst via forbedret godkendelse af miljøvariabler.

CVE-2016-4748: Stephane Chazelas

S2 Camera

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst ved forbedret hukommelsesbehandling.

CVE-2016-4750: Jack Tang (@jacktang310) og Moony Li fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Sikkerhed

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et program, der bruger SecKeyDeriveFromPassword, kan afsløre hukommelsen

Beskrivelse: Der var et problem med ressourceadministrationen i forbindelse med nøgleafledning. Problemet er løst ved at føje CF_RETURNS_RETAINED til SecKeyDeriveFromPassword.

CVE-2016-4752: Mark Rogers fra PowerMapper Software

Sikkerhed

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Der var et godkendelsesproblem i signerede diskbilleder. Problemet er løst via forbedret godkendelse af størrelse.

CVE-2016-4753: Mark Mentovai fra Google Inc.

Terminal

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger

Beskrivelse: Der var et problem med tilladelser i .bash_history og .bash_session. Problemet er løst via forbedret adgangsbegrænsning.

CVE-2016-4755: Axel Luttgens

WindowServer

Fås til: OS X Lion v10.7.5 og nyere versioner

Effekt: En lokal bruger kan opnå rodrettigheder

Beskrivelse: Et problem med forveksling af typer er løst via forbedret hukommelseshåndtering.

CVE-2016-4709: En anonym programmør, som arbejder med Trend Micros Zero Day Initiative

CVE-2016-4710: En anonym programmør, som arbejder med Trend Micros Zero Day Initiative