Om sikkerhedsindholdet i OS X El Capitan v10.11.6 og Sikkerhedsopdatering 2016-004

Dette dokument beskriver sikkerhedsindholdet i OS X El Capitan v10.11.6 og Sikkerhedsopdatering 2016-004.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

OS X El Capitan v10.11.6 og Sikkerhedsopdatering 2016-004

Udgivet 18. juli 2016

apache_mod_php

Fås til: OS X Yosemite v10.10.5 og OS X El Capitan v10.11 og nyere

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var flere sikkerhedshuller i PHP-versionerne før 5.5.36. Problemerne er løst ved at opdatere PHP til version 5.5.36.

CVE-2016-5093

CVE-2016-5094

CVE-2016-5096

CVE-2013-7456

Lyd

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-4649: Juwei Lin(@fuzzerDOTcn) fra Trend Micro

Lyd

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4647: Juwei Lin(@fuzzerDOTcn) fra Trend Micro

Lyd

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2016-4648: Juwei Lin(@fuzzerDOTcn) fra Trend Micro, Jack Tang og Moony Li fra Trend Micro, som arbejder med Trend Micro's Zero Day Initiative

Lyd

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Parsing af et skadeligt lydarkiv kan muligvis medføre afsløring af brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2016-4646: Steven Seeley fra Source Incite, som arbejder sammen med Trend Micro's Zero Day Initiative

bsdiff

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En lokal hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der opstod et heltalsoverløb i bspatch. Problemet er løst via forbedret kontrol af grænser.

CVE-2014-9862: En anonym anmelder

CFNetwork

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En lokal bruger kan muligvis få adgang til følsomme brugeroplysninger

Beskrivelse: Der var problemer med tilladelser i forbindelse med håndteringen af cookies i browsere. Problemet er løst ved hjælp af forbedrede begrænsninger.

CVE-2016-4645: Abhinav Bansal fra Zscaler Inc.

Legitimationsoplysninger for CFNetwork

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Der var et nedgraderingsproblem i forbindelse med adgangsoplysninger til HTTP-godkendelse, der gemmes i Nøglering. Problemet er løst ved at lagre godkendelsestyperne sammen med loginoplysningerne.

CVE-2016-4644: Jerry Decime koordineret via CERT

CFNetwork-proxyservere

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Der var et godkendelsesproblem ved parsing af 407-svar. Problemet er løst ved forbedret svargodkendelse.

CVE-2016-4643: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University; Jerry Decime koordineret via CERT

CFNetwork-proxyservere

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Et program kan muligvis utilsigtet sende en ikke-krypteret adgangskode via netværket

Beskrivelse: Proxygodkendelse rapporterede fejlagtigt, at HTTP-proxyservere modtog loginoplysninger sikkert. Problemet er løst ved forbedrede advarsler.

CVE-2016-4642: Jerry Decime koordineret via CERT

CoreGraphics

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En lokal bruger kan muligvis opnå flere rettigheder

Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernehukommelse. Dette blev rettet gennem forbedret inputvalidering.

CVE-2016-4652: Yubin Fu fra Tencent KeenLab, der arbejder sammen med Trend Micro's Zero Day Initiative

CoreGraphics

Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 og nyere

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4637: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)

FaceTime

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En hacker fra en privilegeret netværksposition kan forårsage, at et omdirigeret opkald fortsat videresender lyd, selvom opkaldet ser ud til at være afsluttet

Beskrivelse: Der var uoverensstemmelser i brugergrænsefladen i forbindelse med håndteringen af viderestillede opkald. Problemerne er løst ved at forbedre visningslogikken for FaceTime.

CVE-2016-4635: Martin Vigo

Grafikdrivere

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-4634: Stefan Esser fra SektionEins

ImageIO

Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 og nyere

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4629: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)

CVE-2016-4630: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En ekstern hacker kan muligvis fremkalde denial of service

Beskrivelse: Der var et problem med hukommelsesforbrug, som er løst ved forbedret hukommelseshåndtering.

CVE-2016-4632: Evgeny Sidorov fra Yandex

ImageIO

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4631: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-7705: Craig Young fra Tripwire VERT

Post tilføjet 30. november 2017

Intel Graphics Driver

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4633: Marco Grassi (@marcograss) fra KeenLab (@keen_lab), Tencent

IOHIDFamily

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-4626: Stefan Esser fra SektionEins

IOSurface

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet gennem forbedret hukommelseshåndtering.

CVE-2016-4625: Ian Beer fra Google Project Zero

Kernel

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-1863: Ian Beer fra Google Project Zero

CVE-2016-4653: Ju Zhu fra Trend Micro

CVE-2016-4582: Shrek_wzw og Proteas fra Qihoo 360 Nirvan Team

Kernel

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-1865: Marco Grassi (@marcograss) fra KeenLab (@keen_lab), Tencent, CESG

Libc

Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 og nyere

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Der var et bufferoverløb i funktionen "link_ntoa()" i linkaddr.c. Problemet blev løst ved hjælp af yderligere kontrol af grænser.

CVE-2016-6559: Apple

Post tilføjet 10. januar 2017

libc++abi

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Et program kan muligvis køre en vilkårlig kode med rodrettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4621: En anonym anmelder

libexpat

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Behandlingen af skadeligt XML-indhold kan forårsage uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-0718: Gustavo Grieco

LibreSSL

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var flere problemer i LibreSSL-versioner før 2.2.7. Disse er løst ved opdatering af LibreSSL til version 2.2.7.

CVE-2016-2108: Huzaifa Sidhpurwala (Red Hat), Hanno Böck, David Benjamin (Google), Mark Brand og Ian Beer fra Google Project Zero

CVE-2016-2109: Brian Carpenter

libxml2

Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 og nyere

Effekt: Flere sikkerhedsrisici i libxml2

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Wei Lei og Liu Yang fra Nanyang Technological University

CVE-2016-4447: Wei Lei og Liu Yang fra Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

Post opdateret 5. juni 2017

libxml2

Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 og nyere

Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Der var et adgangsproblem i forbindelse med parsing af skadelige XML-arkiver. Problemet er løst ved forbedret godkendelse af input.

CVE-2016-4449: Kostya Serebryany

libxslt

Fås til: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 og nyere

Effekt: Flere sikkerhedsrisici i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Post opdateret 11. april 2017

Log ind-vindue

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: Et problem med forveksling af typer er løst via forbedret hukommelseshåndtering.

CVE-2016-4638: Yubin Fu fra Tencent KeenLab, der arbejder sammen med TrendMicro's Zero Day Initiative

Log ind-vindue

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode, hvilket kan medføre afsløring af brugeroplysninger

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-4640: en anonym researcher, der arbejder med Trend Micros Zero Day Initiative

Post opdateret 16. november 2016

Log ind-vindue

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode, hvilket kan medføre afsløring af brugeroplysninger

Beskrivelse: Et problem med forveksling af typer er løst via forbedret hukommelseshåndtering.

CVE-2016-4641: Yubin Fu fra Tencent KeenLab, der arbejder sammen med Trend Micro's Zero Day Initiative

Log ind-vindue

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En lokal bruger kan muligvis forårsage denial of service

Beskrivelse: Der var et problem med hukommelsesinitialisering, som er løst ved forbedret hukommelseshåndtering.

CVE-2016-4639: Yubin Fu fra Tencent KeenLab, der arbejder sammen med Trend Micro's Zero Day Initiative

OpenSSL

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var flere problemer i OpenSSL. Disse problemer er løst ved at introducere løsningerne i OpenSSL 1.0.2h/1.0.1 til OpenSSL 0.9.8.

CVE-2016-2105: Guido Vranken

CVE-2016-2106: Guido Vranken

CVE-2016-2107: Juraj Somorovsky

CVE-2016-2108: Huzaifa Sidhpurwala (Red Hat), Hanno Böck, David Benjamin (Google), Mark Brand og Ian Beer fra Google Project Zero

CVE-2016-2109: Brian Carpenter

CVE-2016-2176: Guido Vranken

QuickTime

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Behandling af et skadeligt SGI-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-4601: Ke Liu fra Tencent's Xuanwu Lab

QuickTime

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Behandlingen af et skadeligt Photoshop-dokument kan potentielt lede til uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-4599: Ke Liu fra Tencent's Xuanwu Lab

QuickTime

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Behandlingen af et skadeligt FlashPix Bitmap-billede kan potentielt lede til uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4596: Ke Liu fra Tencent's Xuanwu Lab

CVE-2016-4597: Ke Liu fra Tencent's Xuanwu Lab

CVE-2016-4600: Ke Liu fra Tencent's Xuanwu Lab

CVE-2016-4602: Ke Liu fra Tencent's Xuanwu Lab

QuickTime

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-4598: Ke Liu fra Tencent's Xuanwu Lab

Fejl i forbindelse med automatisk udfyldning af adgangskoder, når der logges ind i Safari

Fås til: OS X El Capitan v10.11 og nyere

Effekt: En brugers adgangskode kan muligvis være synlig på skærmen

Beskrivelse: Der var et problem med autoudfyldningen af adgangskoder i Safari. Problemet er løst ved forbedret match af formularfelter.

CVE-2016-4595: Jonathan Lewis fra DeARX Services (PTY) LTD

Sandbox-profiler

Fås til: OS X El Capitan v10.11 og nyere

Effekt: Et lokalt program kan muligvis få adgang til proceslisten

Beskrivelse: Der var et adgangsproblem med privilegerede API-kald. Problemet er løst ved at indføre yderligere begrænsninger.

CVE-2016-4594: Stefan Esser fra SektionEins

OS X El Capitan v10.11.6 omfatter sikkerhedsindholdet i Safari 9.1.2.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: