Om sikkerhedsindholdet i macOS Sierra 10.12.2, sikkerhedsopdatering 2016-003 El Capitan og sikkerhedsopdatering 2016-007 Yosemite

I dette dokument beskrives sikkerhedsindholdet i macOS Sierra 10.12.2, sikkerhedsopdatering 2016-003 El Capitan og sikkerhedsopdatering 2016-007 Yosemite.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apples sikkerhedsdokumenter henviser til svagheder med et CVE-id, når det er muligt.

macOS Sierra 10.12.2, sikkerhedsopdatering 2016-003 El Capitan og sikkerhedsopdatering 2016-007 Yosemite

Udgivet 13. december 2016

apache_mod_php

Fås til: macOS Sierra 10.12.1

Effekt: En hacker kan forårsage uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var flere problemer i PHP-versioner før 5.6.26. Disse er løst ved opdatering af PHP til version 5.6.26.

CVE-2016-7411

CVE-2016-7412

CVE-2016-7413

CVE-2016-7414

CVE-2016-7416

CVE-2016-7417

CVE-2016-7418

AppleGraphicsPowerManagement

Fås til: macOS Sierra 10.12.1

Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-7609: daybreaker@Minionz, der arbejder med Trend Micros Zero Day Initiative

Aktiver

Fås til: macOS Sierra 10.12.1

Effekt: En lokal hacker kan ændre overførte mobilaktiver

Beskrivelse: Der var et problem med tilladelser i mobilaktiver. Problemet er løst via forbedret adgangsbegrænsning.

CVE-2016-7628: Marcel Bresink fra Marcel Bresink Software-Systeme

Post opdateret 15. december 2016

Lyd

Fås til: macOS Sierra 10.12.1

Effekt: Behandling af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7658: Haohao Kong fra Keen Lab (@keen_lab), Tencent

CVE-2016-7659: Haohao Kong fra Keen Lab (@keen_lab), Tencent

Bluetooth

Fås til: macOS Sierra 10.12.1, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder 

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa og Marko Laakso fra Synopsys Software Integrity Group

Post opdateret 14. december 2016

Bluetooth

Fås til: macOS Sierra 10.12.1

Effekt: Et program kan muligvis fremkalde denial of service

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-7605: daybreaker fra Minionz

Bluetooth

Fås til: macOS Sierra 10.12.1

Effekt: Et program kan muligvis køre en vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med forveksling af typer er løst via forbedret hukommelseshåndtering.

CVE-2016-7617: Radu Motspan, der arbejder med Trend Micros Zero Day Initiative, Ian Beer fra Google Project Zero

CoreCapture

Fås til: macOS Sierra 10.12.1 og OS X El Capitan 10.11.6

Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

Beskrivelse: En reference til en null-pointer er rettet gennem forbedret statusadministration.

CVE-2016-7604: daybreaker fra Minionz

Post opdateret 14. december 2016

CoreFoundation

Fås til: macOS Sierra 10.12.1

Effekt: Behandling af skadelige strenge kan forårsage uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse i håndteringen af strenge. Problemet er løst via forbedret kontrol af grænser.

CVE-2016-7663: En anonym programmør

CoreGraphics

Fås til: macOS Sierra 10.12.1

Effekt: Behandling af et skadeligt skriftarkiv kan medføre uventet programlukning

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

Eksterne CoreMedia-skærme

Fås til: macOS Sierra 10.12.1

Effekt: Et lokalt program kan køre vilkårlig kode i mediaserverdaemon

Beskrivelse: Et problem med forveksling af typer er løst via forbedret hukommelseshåndtering.

CVE-2016-7655: Keen Lab, som arbejder med Trend Micros Zero Day Initiative

Afspilning af CoreMedia

Fås til: macOS Sierra 10.12.1

Effekt: Behandling af et skadeligt .mp4-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-7588: dragonltx fra Huawei 2012 Laboratories

CoreStorage

Fås til: macOS Sierra 10.12.1

Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-7603: daybreaker@Minionz, der arbejder med Trend Micros Zero Day Initiative

CoreText

Fås til: macOS Sierra 10.12.1

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var flere problemer med beskadiget hukommelse i håndteringen af skriftarkiver. Problemerne er løst ved forbedret kontrol af grænser.

CVE-2016-7595: riusksk(泉哥) fra Tencent Security Platform Department

CoreText

Fås til: macOS Sierra 10.12.1

Effekt: Behandling af en skadelig streng kan medføre et denial of service-angreb

Beskrivelse: Et problem med gengivelse af overlappende områder er løst via forbedret godkendelse.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) fra Digital Unit (dgunit.com)

Post tilføjet 15. december 2016

curl

Fås til: macOS Sierra 10.12.1

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Der var flere problemer i curl. Problemerne blev løst ved at opdatere curl til version 7.51.0.

CVE-2016-5419

CVE-2016-5420

CVE-2016-5421

CVE-2016-7141

CVE-2016-7167

CVE-2016-8615

CVE-2016-8616

CVE-2016-8617

CVE-2016-8618

CVE-2016-8619

CVE-2016-8620

CVE-2016-8621

CVE-2016-8622

CVE-2016-8623

CVE-2016-8624

CVE-2016-8625

Bibliotekstjenester

Fås til: macOS Sierra 10.12.1

Effekt: En lokal bruger kan opnå rodrettigheder

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2016-7633: Ian Beer fra Google Project Zero

Diskbilleder

Fås til: macOS Sierra 10.12.1

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7616: daybreaker@Minionz, der arbejder med Trend Micros Zero Day Initiative

FontParser

Fås til: macOS Sierra 10.12.1

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var flere problemer med beskadiget hukommelse i håndteringen af skriftarkiver. Problemerne er løst ved forbedret kontrol af grænser.

CVE-2016-4691: riusksk(泉哥) fra Tencent Security Platform Department

Foundation

Fås til: macOS Sierra 10.12.1

Effekt: Åbning af et skadeligt .gcx-arkiv kan medføre uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7618: riusksk(泉哥) fra Tencent Security Platform Department

Grapher

Fås til: macOS Sierra 10.12.1

Effekt: Åbning af et skadeligt .gcx-arkiv kan medføre uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7622: riusksk(泉哥) fra Tencent Security Platform Department

ICU

Fås til: macOS Sierra 10.12.1

Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-7594: André Bargull

ImageIO

Fås til: macOS Sierra 10.12.1

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2016-7643: Yangkang (@dnpushme) fra Qihoo360 Qex Team

Intel Graphics Driver

Fås til: macOS Sierra 10.12.1

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder 

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7602: daybreaker@Minionz, der arbejder med Trend Micros Zero Day Initiative

IOFireWireFamily

Fås til: macOS Sierra 10.12.1

Effekt: En lokal hacker kan læse kernehukommelsen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-7608: Brandon Azad

IOAcceleratorFamily

Fås til: macOS Sierra 10.12.1

Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

Beskrivelse: Et problem med delt hukommelse er løst ved forbedret hukommelseshåndtering.

CVE-2016-7624: Qidan He (@flanker_hqd) fra KeenLab, der arbejder med Trend Micros Zero Day Initiative

IOHIDFamily

Fås til: macOS Sierra 10.12.1

Effekt: Et lokalt program med systemrettigheder kan køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2016-7591: daybreaker fra Minionz

IOKit

Fås til: macOS Sierra 10.12.1

Effekt: Et program kan muligvis læse kernehukommelsen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7657: Keen Lab, der arbejder med Trend Micros Zero Day Initiative

IOKit

Fås til: macOS Sierra 10.12.1

Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

Beskrivelse: Et problem med delt hukommelse er løst ved forbedret hukommelseshåndtering.

CVE-2016-7625: Qidan He (@flanker_hqd) fra KeenLab, der arbejder med Trend Micros Zero Day Initiative

IOKit

Fås til: macOS Sierra 10.12.1

Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

Beskrivelse: Et problem med delt hukommelse er løst ved forbedret hukommelseshåndtering.

CVE-2016-7714: Qidan He (@flanker_hqd) fra KeenLab, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 25. januar 2017

IOSurface

Fås til: macOS Sierra 10.12.1

Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

Beskrivelse: Et problem med delt hukommelse er løst ved forbedret hukommelseshåndtering.

CVE-2016-7620: Qidan He (@flanker_hqd) fra KeenLab, der arbejder med Trend Micros Zero Day Initiative

Kernel

Fås til: macOS Sierra 10.12.1

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder 

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7606: @cocoahuke, Chen Qin fra Topsec Alpha Team (topsec.com)

CVE-2016-7612: Ian Beer fra Google Project Zero

Kernel

Fås til: macOS Sierra 10.12.1

Effekt: Et program kan muligvis læse kernehukommelsen

Beskrivelse: Et problem med utilstrækkelig initialisering er løst ved at initialisere hukommelse, der returneres til brugerområdet, korrekt.

CVE-2016-7607: Brandon Azad

Kernel

Fås til: macOS Sierra 10.12.1

Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

Beskrivelse: Et DoS-problem er løst ved forbedret hukommelsesbehandling.

CVE-2016-7615: National Cyber Security Centre (NCSC) i Storbritannien

Kernel

Fås til: macOS Sierra 10.12.1

Effekt: En lokal bruger kan fremkalde uventet systemlukning eller kørsel af vilkårlig kode i kernen

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2016-7621: Ian Beer fra Google Project Zero

Kernel

Fås til: macOS Sierra 10.12.1

Effekt: En lokal bruger kan opnå rodrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7637: Ian Beer fra Google Project Zero

Kernel

Fås til: macOS Sierra 10.12.1

Effekt: Et lokalt program med systemrettigheder kan køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2016-7644: Ian Beer fra Google Project Zero

Kernel

Fås til: macOS Sierra 10.12.1

Effekt: Et program kan muligvis fremkalde denial of service

Beskrivelse: Et DoS-problem er løst ved forbedret hukommelsesbehandling.

CVE-2016-7647: Lufeng Li fra Qihoo 360 Vulcan Team

Post tilføjet 17. maj 2017

kext-værktøjer

Fås til: macOS Sierra 10.12.1

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder 

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7629: @cocoahuke

libarchive

Fås til: macOS Sierra 10.12.1

Effekt: En lokal hacker kan muligvis overskrive eksisterende arkiver

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2016-7619: En anonym programmør

LibreSSL

Fås til: macOS Sierra 10.12.1 og OS X El Capitan 10.11.6

Effekt: En hacker med en privilegeret netværksposition kan muligvis fremkalde denial of service

Beskrivelse: Et denial of service-problem med ubegrænset OCSP-vækst er løst ved forbedret hukommelseshåndtering.

CVE-2016-6304

Post opdateret 14. december 2016

OpenLDAP

Fås til: macOS Sierra 10.12.1

Effekt: En hacker kan udnytte svagheder i RC4-kryptografialgoritmen

Beskrivelse: RC4 er fjernet som standardchifferen.

CVE-2016-1777: Pepi Zawodsky

OpenPAM

Fås til: macOS Sierra 10.12.1

Effekt: En lokal bruger uden rettigheder kan få adgang til beskyttede programmer

Beskrivelse: PAM-godkendelse i sandboxprogrammer mislykkedes på grund af usikkerhed. Problemet er løst ved forbedret håndtering af fejl.

CVE-2016-7600: Perette Barella fra DeviousFish.com

OpenSSL

Fås til: macOS Sierra 10.12.1

Effekt: Et program kan køre vilkårlig kode

Beskrivelse: Der var et overløbsproblem i MDC2_Update(). Problemet er løst ved forbedret godkendelse af input.

CVE-2016-6303

OpenSSL

Fås til: macOS Sierra 10.12.1

Effekt: En hacker med en privilegeret netværksposition kan muligvis fremkalde denial of service

Beskrivelse: Et denial of service-problem med ubegrænset OCSP-vækst er løst ved forbedret hukommelseshåndtering.

CVE-2016-6304

Strømstyring

Fås til: macOS Sierra 10.12.1

Effekt: En lokal bruger kan opnå rodrettigheder

Beskrivelse: Et problem med mach_port-navnehenvisninger er løst via forbedret godkendelse.

CVE-2016-7661: Ian Beer fra Google Project Zero

Sikkerhed

Fås til: macOS Sierra 10.12.1

Effekt: En hacker kan udnytte svagheder i 3DES-kryptografialgoritmen

Beskrivelse: 3DES er fjernet som standardchifferen.

CVE-2016-4693: Gaëtan Leurent og Karthikeyan Bhargavan fra INRIA Paris

Sikkerhed

Fås til: macOS Sierra 10.12.1

Effekt: En hacker med en privilegeret netværksposition kan muligvis fremkalde et denial of service-angreb

Beskrivelse: Der var et godkendelsesproblem i håndteringen af URL-svaradresser til OCSP. Problemet er løst ved kontrol af OCSP-tilbagekaldelsesstatus efter CA-godkendelse og begrænsning af antallet af OCSP-anmodninger pr. certifikat.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Sikkerhed

Fås til: macOS Sierra 10.12.1

Effekt: Certifikater kan uventet behandles som pålidelige

Beskrivelse: Der var et problem med certifikatbehandlingen under certifikatgodkendelsen. Problemet er løst ved yderligere godkendelse af certifikater.

CVE-2016-7662: Apple

syslog

Fås til: macOS Sierra 10.12.1

Effekt: En lokal bruger kan opnå rodrettigheder

Beskrivelse: Et problem med mach_port-navnehenvisninger er løst via forbedret godkendelse.

CVE-2016-7660: Ian Beer fra Google Project Zero

Wi-Fi

Fås til: macOS Sierra 10.12.1

Effekt: En lokal ondsindet bruger kan muligvis få adgang til følsomme oplysninger om netværkskonfiguration

Beskrivelse: Netværkskonfigurationen var uventet global. Problemet er løst ved at flytte følsomme netværkskonfigurationer til brugerdefinerede indstillinger.

CVE-2016-7761: Peter Loos, Karlsruhe, Tyskland

Post tilføjet 24. januar 2017

xar

Fås til: macOS Sierra 10.12.1

Effekt: Åbning af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Brug af en ikke-initialiseret variabel er løst via forbedret godkendelse.

CVE-2016-7742: Gareth Evans fra Context Information Security

Post tilføjet 10. januar 2017

macOS Sierra 10.12.2, sikkerhedsopdatering 2016-003 El Capitan og sikkerhedsopdatering 2016-007 Yosemite inkluderer sikkerhedsindholdet i Safari 10.0.2.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: