Om sikkerhedsindholdet i OS X El Capitan v10.11.4 og Sikkerhedsopdatering 2016-002

Dette dokument beskriver sikkerhedsindholdet i OS X El Capitan v10.11.4 og Sikkerhedsopdatering 2016-002.

Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

OS X El Capitan v10.11.4 og Sikkerhedsopdatering 2016-002

  • apache_mod_php

    Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 til v10.11.3

    Effekt: Bearbejdningen af et skadelig .png-arkiv kan lede til kørsel af vilkårlig kørsel

    Beskrivelse: Der var flere sårbarheder i versioner før 1.6.20. Disse blev rettet ved opdateringen af libpng til version 1.6.20.

    CVE-id

    CVE-2015-8126: Adam Mariš

    CVE-2015-8472: Adam Mariš

  • AppleRAID

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst ved forbedret inputvalidering.

    CVE-id

    CVE-2016-1733: Proteas fra Qihoo 360 Nirvan Team

  • AppleRAID

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

    Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernel-hukommelse. Dette blev rettet gennem forbedret inputvalidering.

    CVE-id

    CVE-2016-1732: Proteas fra Qihoo 360 Nirvan Team

  • AppleUSBNetworking

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: En USB-enhed kan muligvis fremkalde DoS-angreb

    Beskrivelse: Der var et problem med at håndtere problemer under pakkevalidering. Problemet er løst ved forbedret håndteringen af fejl.

    CVE-id

    CVE-2016-1734: Andrea Barisani og Andrej Rosano fra Inverse Path

  • Bluetooth

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Problemer med beskadigelse af flere hukommelser blev rettet gennem bedre hukommelseshåndtering.

    CVE-id

    CVE-2016-1735: Jeonghoon Shin@A.D.D

    CVE-2016-1736: beist og ABH fra BoB

  • Carbon

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Bearbejdningen af et skadelig .dfont-arkiv kan lede til kørsel af vilkårlig kode

    Beskrivelse: Der var flere problemer med beskadiget hukommelse ved behandling af skriftarkiver. Disse problemer er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2016-1737: HappilyCoded (ant4g0nist &r3dsm0k3)

  • dyld

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: En hacker kan potentielt manipulere med kodesignerede programmer for at køre kode i applikationens kontekst

    Beskrivelse: Der var et problem med verificering af kodesignering i dyld. Dette problem blev rettet gennem forbedret validering.

    CVE-id

    CVE-2016-1738: beist og ABH fra BoB

  • FontParser

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst ved forbedret hukommelsesbehandling.

    CVE-id

    CVE-2016-1740: HappilyCoded (ant4g0nist and r3dsm0k3), som arbejder med Trend Micros Zero Day Initiative (ZDI)

  • HTTPProtocol

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var flere sårbarheder i nghttp2-versioner før 1.6.0. Den mest seriøse af disse kan potentielt have muliggjort fjernkørsel af kode. Disse blev rettet ved at opdatere nghttp2 til version 1.6.0.

    CVE-id

    CVE-2015-8659

  • Intel Graphics Driver

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Problemer med beskadigelse af flere hukommelser blev rettet gennem bedre hukommelseshåndtering.

    CVE-id

    CVE-2016-1743: Piotr Bania fra Cisco Talos

    CVE-2016-1744: Ian Beer fra Google Project Zero

  • IOFireWireFamily

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: En lokal bruger kan potentielt forårsage afvisning af service

    Beskrivelse: En reference til en null-pointer blev rettet gennem forbedret validering.

    CVE-id

    CVE-2016-1745: sweetchip fra Grayhash

  • IOGraphics

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst ved forbedret inputvalidering.

    CVE-id

    CVE-2016-1746: Peter Pi fra Trend Micro, som arbejder med Trend Micros Zero Day Initiative (ZDI)

    CVE-2016-1747: Juwei Lin fra Trend Micro, som arbejder med Trend Micros Zero Day Initiative (ZDI)

  • IOHIDFamily

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis konstatere hukommelseslayoutet af kernel

    Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst ved forbedret hukommelsesbehandling.

    CVE-id

    CVE-2016-1748: Brandon Azad

  • IOUSBFamily

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Problemer med beskadigelse af flere hukommelser blev rettet gennem bedre hukommelseshåndtering.

    CVE-id

    CVE-2016-1749: Ian Beer fra Google Project Zero og Juwei Lin fra Trend Micro, som arbejder med Trend Micros Zero Day Initiative (ZDI)

  • Kernel

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Et use-after-free-problem blev rettet gennem forbedret hukommelseshåndtering.

    CVE-id

    CVE-2016-1750: CESG

  • Kernel

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Der var et problem med "race-condition" ved oprettelsen af nye processer. Dette blev rettet gennem forbedret "state handling".

    CVE-id

    CVE-2016-1757: Ian Beer fra Google Project Zero og Pedro Vilaça

  • Kernel

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: En reference til en null-pointer blev rettet gennem forbedret inputvalidering.

    CVE-id

    CVE-2016-1756: Lufeng Li fra Qihoo 360 Vulcan Team

  • Kernel

    Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Problemer med beskadigelse af flere hukommelser blev rettet gennem bedre hukommelseshåndtering.

    CVE-id

    CVE-2016-1754: Lufeng Li fra Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer fra Google Project Zero

    CVE-2016-1759: lokihardt

  • Kernel

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis konstatere hukommelseslayoutet af kernel

    Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernel-hukommelse. Dette blev rettet gennem forbedret inputvalidering.

    CVE-id

    CVE-2016-1758: Brandon Azad

  • Kernel

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Et problem med flere heltalsoverløb blev rettet gennem forbedret inputvalidering.

    CVE-id

    CVE-2016-1753: Juwei Lin Trend Micro, som arbejder med Trend Micros Zero Day Initiative (ZDI)

  • Kernel

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis forårsage afvisning af service

    Beskrivelse: Et problem med afvisning af service blev rettet gennem forbedret validering.

    CVE-id

    CVE-2016-1752: CESG

  • libxml2

    Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 til v10.11.3

    Effekt: Behandlingen af skadeligt XML-indhold kan forårsage uventet programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Problemer med beskadigelse af flere hukommelser blev rettet gennem bedre hukommelseshåndtering.

    CVE-id

    CVE-2015-1819

    CVE-2015-5312: David Drysdale fra Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany fra Google

    CVE-2015-7942: Kostya Serebryany fra Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff, som arbejder med Trend Micros Zero Day Initiative (ZDI)

    CVE-2016-1762

  • Beskeder

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Der kan afsløres følsomme brugeroplysninger ved at klikke på en henvisning til JavaScript

    Beskrivelse: Der var et problem med behandling af henvisninger til JavaScript. Dette blev rettet gennem forbedrede tjek af det sikkerhedspolitiske indhold.

    CVE-id

    CVE-2016-1764 : Matthew Bryant fra Uber Security Team (tidligere Bishop Fox), Joe DeMesy og Shubham Shah fra Bishop Fox

  • Beskeder

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: En hacker, som kan omgå fastgørelse af Apple-certifikater, opfange TLS-forbindelser, injicere beskeder og optage krypterede meddelelser med vedhæftede filer, kan muligvis læse vedhæftede filer

    Beskrivelse: Et kryptografisk problem blev rettet ved at afvise dublerede meddelelser hos klienten.

    CVE-id

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers og Michael Rushanan fra Johns Hopkins University

  • NVIDIA-grafikkortdrivere

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Et program kan muligvis køre en vilkårlig kode med kernel-rettigheder

    Beskrivelse: Problemer med beskadigelse af flere hukommelser blev rettet gennem bedre hukommelseshåndtering.

    CVE-id

    CVE-2016-1741: Ian Beer fra Google Project Zero

  • OpenSSH

    Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 til v10.11.3

    Effekt: Tilslutning til en server kan potentielt lække følsomme brugeroplysninger såsom klientens private nøgler

    Beskrivelse: Roaming, som var slået til som standardindstilling i OpenSSH, afslørede en oplysningslækage og et bufferoverløb. Disse problemer blev rettet ved at slå roaming fra.

    CVE-id

    CVE-2016-0777: Qualys

    CVE-2016-0778: Qualys

  • OpenSSH

    Fås til: OS X Mavericks v10.9.5 og OS X Yosemite v10.10.5

    Effekt: Flere sikkerhedsproblemer i LibreSSL

    Beskrivelse: Der var flere sikkerhedsproblemer i LibreSSL-versionerne før 2.1.8. Problemerne er løst ved at opdatere LibreSSL til version 2.1.8.

    CVE-id

    CVE-2015-5333: Qualys

    CVE-2015-5334: Qualys

  • OpenSSL

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: En ekstern hacker kan muligvis fremkalde denial of service

    Beskrivelse: Der var en hukommelseslækage i OpenSSL-versioner før 0.9.8zh. Dette problem blev rettet ved opdatering af OpenSSL til version 0.9.8zh.

    CVE-id

    CVE-2015-3195

  • Python

    Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 til v10.11.3

    Effekt: Bearbejdningen af en skadelig .png fil kan lede til kørsel af vilkårlig kørsel

    Beskrivelse: Der var flere sårbarheder i versioner før 1.6.20. Disse blev rettet ved opdateringen af libpng til version 1.6.20.

    CVE-id

    CVE-2014-9495

    CVE-2015-0973

    CVE-2015-8126: Adam Mariš

    CVE-2015-8472: Adam Mariš

  • QuickTime

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Behandlingen af et skadeligt FlashPix Bitmap-billede kan potentielt lede til uventet programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Problemer med beskadigelse af flere hukommelser blev rettet gennem bedre hukommelseshåndtering.

    CVE-id

    CVE-2016-1767: Francis Provencher fra COSIG

    CVE-2016-1768: Francis Provencher fra COSIG

  • QuickTime

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Behandlingen af et skadeligt Photoshop-dokument kan potentielt lede til uventet programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Problemer med beskadigelse af flere hukommelser blev rettet gennem bedre hukommelseshåndtering.

    CVE-id

    CVE-2016-1769: Francis Provencher fra COSIG

  • Påmindelser

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Ved at klikke på tel-henvisninger kan der oprettes opkald uden at advare brugeren

    Beskrivelse: En bruger blev ikke advaret før et opkald blev foretaget. Dette blev rettet gennem forbedrede berettigelsestjek.

    CVE-id

    CVE-2016-1770 : Guillaume Ross fra Rapid7 og Laurent Chouinard fra Laurent.ca

  • Ruby

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: En lokal hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode

    Beskrivelse: Der var et sikkerhedsproblem ved brug af usikker "tainted string" i versioner før 2.0.0-p648. Dette problem blev rettet ved opdatering til version 2.0.0-p648.

    CVE-id

    CVE-2015-7551

  • Sikkerhed

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: En lokal bruger kan muligvis tjekke, om der findes arbitrære filer

    Beskrivelse: Der var et problem med tilladelser i værktøjerne til kodesignering. Dette blev rettet gennem yderligere tjek af ejerskab.

    CVE-id

    CVE-2016-1773: Mark Mentovai fra Google Inc.

  • Sikkerhed

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Behandling af et skadeligt certifikatarkiv kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadigelse af hukommelse i ASN.1-afkoderen. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2016-1950: Francis Gabriel fra Quarkslab

  • Tcl

    Fås til: OS X Yosemite v10.10.5 og OS X El Capitan v10.11 til v10.11.3

    Effekt: Bearbejdningen af et skadelig .png-arkiv kan lede til kørsel af vilkårlig kørsel

    Beskrivelse: Der var flere sårbarheder i versioner før 1.6.20. Disse blev rettet ved at fjerne libpng.

    CVE-id

    CVE-2015-8126

  • TrueTypeScaler

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadigelse af hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2016-1775: 0x1byte, som arbejder med Trend Micros Zero Day Initiative (ZDI)

  • Wi-Fi

    Fås til: OS X El Capitan v10.11 til v10.11.3

    Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadigelse af rammevalidering og hukommelse for en given ether-type. Dette problem blev rettet gennem ekstra validering af ether-type og forbedret hukommelseshåndtering.

    CVE-id

    CVE-2016-0801: En anonym forsker

    CVE-2016-0802: En anonym forsker

OS X El Capitan 10.11.4 inkluderer sikkerhedsindholdet afSafari 9.1.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: