Om sikkerhedsindholdet i macOS Sierra 10.12.1, sikkerhedsopdatering 2016-002 El Capitan og sikkerhedsopdatering 2016-006 Yosemite

I dette dokument beskrives sikkerhedsindholdet i macOS Sierra 10.12.1, sikkerhedsopdatering 2016-002 El Capitan og sikkerhedsopdatering 2016-006 Yosemite.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

macOS Sierra 10.12.1, sikkerhedsopdatering 2016-002 El Capitan og sikkerhedsopdatering 2016-006 Yosemite

Udgivet 24. oktober 2016

AppleGraphicsControl

Fås til: OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som blev løst ved forbedret kontrol af låsefunktionen.

CVE-2016-4662: Apple

AppleMobileFileIntegrity

Fås til: macOS Sierra 10.12

Effekt: Et signeret eksekverbart arkiv kan udskifte kode med det samme team-id

Beskrivelse: Der var et godkendelsesproblem ved behandlingen af kodesignaturer. Problemet er løst via yderligere godkendelse.

CVE-2016-7584: Mark Mentovai og Boris Vidolov fra Google Inc.

Post tilføjet 27. november 2016

AppleSMC

Fås til: macOS Sierra 10.12

Effekt: En lokal bruger kan muligvis opnå flere rettigheder

Beskrivelse: En reference til en null-pointer blev rettet via forbedret låsning.

CVE-2016-4678: daybreaker@Minionz, som arbejder med Trend Micros Zero Day Initiative

ATS

Fås til: macOS Sierra 10.12

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4667: Simon Huang fra alipay, Thelongestusernameofall@gmail.com, Moony Li fra TrendMicro, @Flyic

Post opdateret 27. oktober 2016

ATS

Fås til: macOS Sierra 10.12

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med yderligere rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4674: Shrek_wzw fra Qihoo 360 Nirvan Team

CFNetwork-proxyservere

Fås til: macOS Sierra 10.12

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Der var et problem med phishing i forbindelse med behandlingen af proxyserverens legitimationsoplysninger. Problemet blev løst ved at fjerne uopfordrede anmodninger om legitimationsoplysninger til proxyserveren.

CVE-2016-7579: Jerry Decime

Core Image

Fås til: OS X El Capitan v10.11.6

Effekt: Visning af et skadeligt JPEG-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-4681: Ke Liu fra Tencents Xuanwu Lab

Post tilføjet 25. oktober 2016

CoreGraphics

Fås til: macOS Sierra 10.12

Effekt: Visning af et skadeligt JPEG-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4673: Marco Grassi (@marcograss) fra KeenLab (@keen_lab), Tencent

FaceTime

Fås til: macOS Sierra 10.12

Effekt: En hacker fra en privilegeret netværksposition kan forårsage, at et omdirigeret opkald fortsat videresender lyd, selvom opkaldet ser ud til at være afsluttet

Beskrivelse: Der var uoverensstemmelser i brugergrænsefladen i forbindelse med behandlingen af viderestillede opkald. Problemerne er løst ved at forbedre protokollogikken.

CVE-2016-7577: Martin Vigo (@martin_vigo) fra salesforce.com

Post tilføjet 27. oktober 2016

FontParser

Fås til: macOS Sierra 10.12

Effekt: Parsing af et skadeligt skriftarkiv kan medføre afsløring af følsomme brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2016-4660: Ke Liu fra Tencent's Xuanwu Lab

FontParser

Fås til: macOS Sierra 10.12

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode 

Beskrivelse: Der var et bufferoverløb ved behandlingen af skriftarkiver. Problemet er løst via forbedret kontrol af grænser.

CVE-2016-4688: Simon Huang fra Alipay company, thelongestusernameofall@gmail.com

Post tilføjet 27. november 2016

IDS – forbindelsesmuligheder

Fås til: macOS Sierra 10.12

Effekt: En hacker i en priviligeret netværksposition kan muligvis narre en bruger i et opkald med flere deltagere til at tro, at vedkommende taler med modparten

Beskrivelse: Der var et problem med efterligning i forbindelse med viderestilling af opkald. Problemet er løst via forbedret håndtering af meddelelser om opkaldsskift.

CVE-2016-4721: Martin Vigo (@martin_vigo) fra salesforce.com

Post tilføjet 27. oktober 2016

ImageIO

Fås til: OS X El Capitan v10.11.6

Effekt: Parsing af en skadelig PDF-fil kan medføre kørsel af vilkårlig kode

Beskrivelse: En out-of-bounds-skrivning blev løst via forbedret kontrol af grænser.

CVE-2016-4671: Ke Liu fra Tencents Xuanwu Lab, Juwei Lin (@fuzzerDOTcn)

ImageIO

Fås til: OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse

Beskrivelse: Der var en out-of-bounds-læsning i parsingen af SGI-billedet. Problemet er løst via forbedret kontrol af grænser.

CVE-2016-4682: Ke Liu fra Tencents Xuanwu Lab

ImageIO

Fås til: OS X El Capitan v10.11.6

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var adskillige out-of-bounds-læse- og skriveproblemer i SGI-parsingen. Problemerne blev løst via forbedret godkendelse af input.

CVE-2016-4683: Ke Liu fra Tencents Xuanwu Lab

Post tilføjet 25. oktober 2016

Kernel

Fås til: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 og macOS Sierra 10.12

Effekt: En lokal bruger kan fremkalde uventet systemlukning eller kørsel af vilkårlig kode i kernen

Beskrivelse: Der var flere problemer med godkendelse af input i MIG-genereret kode. Problemerne er løst via forbedret godkendelse.

CVE-2016-4669: Ian Beer fra Google Project Zero

Post opdateret 2. november 2016

Kernel

Fås til: macOS Sierra 10.12

Effekt: Et lokalt program kan muligvis køre vilkårlig kode med rodrettigheder

Beskrivelse: Der var flere problemer med objekters levetid i forbindelse med skabelse af nye processer. Problemerne blev løst via forbedret godkendelse.

CVE-2016-7613: Ian Beer fra Google Project Zero

Post tilføjet 1. november 2016

libarchive

Fås til: macOS Sierra 10.12

Effekt: Et skadeligt arkiv kan muligvis overskrive vilkårlige filer

Beskrivelse: Der var et problem med stigodkendelseslogikken for symbolske henvisninger. Problemet blev løst via forbedret stirensning.

CVE-2016-4679: Omer Medan fra enSilo Ltd

libxpc

Fås til: macOS Sierra 10.12

Effekt: Et program kan muligvis køre en vilkårlig kode med rodrettigheder

Beskrivelse: Der var et konfigurationsproblem, som blev løst via yderligere begrænsninger.

CVE-2016-4675: Ian Beer fra Google Project Zero

Post opdateret den 30. marts 2017

ntfs

Fås til: macOS Sierra 10.12

Effekt: Et program kan muligvis fremkalde denial of service

Beskrivelse: Der var et problem med parsing af diskbilleder. Problemet er løst ved forbedret godkendelse.

CVE-2016-4661: Recurity Labs på vegne af BSI (det tyske forbundsbureau for informationssikkerhed)

NVIDIA-grafikkortdrivere

Fås til: OS X Yosemite v10.10.5 og OS X El Capitan v10.11.6

Effekt: Et program kan muligvis fremkalde denial of service

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-4663: Apple

Sikkerhed

Fås til: macOS Sierra 10.12

Effekt: En lokal hacker kan se hele adgangskoden til login, når en bruger logger ind

Beskrivelse: Der var et problem med logføring i behandlingen af adgangskoder. Problemet blev løst ved at fjerne logføringen af adgangskodens længde.

CVE-2016-4670: Daniel Jalkut fra Red Sweater Software

Post opdateret 25. oktober 2016

Thunderbolt

Fås til: macOS Sierra 10.12

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input. 

CVE-2016-4780: sweetchip fra Grayhash

Post tilføjet 29. november 2016

macOS Sierra 10.12.1 omfatter sikkerhedsindhold fra Safari 10.0.1.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: