Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Sierra 10.12.2, της Ενημέρωσης ασφάλειας 2016-003 El Capitan και της Ενημέρωσης ασφάλειας 2016-007 Yosemite
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Sierra 10.12.2, της Ενημέρωσης ασφάλειας 2016-003 El Capitan και της Ενημέρωσης ασφάλειας 2016-007 Yosemite.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
macOS Sierra 10.12.2, Ενημέρωση ασφάλειας 2016-003 El Capitan και Ενημέρωση ασφάλειας 2016-007 Yosemite
apache_mod_php
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχαν πολλά προβλήματα στο PHP πριν την έκδοση 5.6.26. Αυτά αντιμετωπίστηκαν με την ενημέρωση του PHP στην έκδοση 5.6.26.
CVE-2016-7411
CVE-2016-7412
CVE-2016-7413
CVE-2016-7414
CVE-2016-7416
CVE-2016-7417
CVE-2016-7418
AppleGraphicsPowerManagement
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας συστήματος
Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2016-7609: daybreaker@Minionz σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Πόροι
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να τροποποιήσει πόρους κινητών συσκευών που έχουν ληφθεί
Περιγραφή: Υπήρχε ένα ζήτημα με τα δικαιώματα στους πόρους κινητών συσκευών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.
CVE-2016-7628: Marcel Bresink από Marcel Bresink Software-Systeme
Ήχος
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.
CVE-2016-7658: Haohao Kong του Keen Lab (@keen_lab) της Tencent
CVE-2016-7659: Haohao Kong του Keen Lab (@keen_lab) της Tencent
Bluetooth
Διατίθεται για: macOS Sierra 10.12.1, OS X El Capitan v10.11.6 και OS X Yosemite v10.10.5
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa και Marko Laakso της Synopsys Software Integrity Group
Bluetooth
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2016-7605: daybreaker από Minionz
Bluetooth
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-7617: Radu Motspan σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Ian Beer του Google Project Zero
CoreCapture
Διατίθεται για: macOS Sierra 10.12.1 και OS X El Capitan v10.11.6
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας συστήματος
Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2016-7604: daybreaker από Minionz
CoreFoundation
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Η επεξεργασία κακόβουλων συμβολοσειρών ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στην επεξεργασία των συμβολοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
CVE-2016-7663: ένας ανώνυμος ερευνητής
CoreGraphics
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής
Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2016-7627: TRAPMINE Inc. και Meysam Firouzi @R00tkitSMM
Εξωτερικές οθόνες CoreMedia
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Μια τοπική εφαρμογή ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα στο πλαίσιο του daemon διακομιστή μέσων
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-7655: Keen Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Αναπαραγωγή CoreMedia
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου .mp4 ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-7588: dragonltx των Huawei 2012 Laboratories
CoreStorage
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας συστήματος
Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2016-7603: daybreaker@Minionz σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CoreText
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στον χειρισμό αρχείων γραμματοσειρών. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου ελέγχου ορίων.
CVE-2016-7595: riusksk(泉哥) του Tencent Security Platform Department
CoreText
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα απόδοσης επικαλυπτόμενων εμβελειών μέσω βελτιωμένης επικύρωσης.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) του Digital Unit (dgunit.com)
curl
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών
Περιγραφή: Υπήρχαν πολλαπλά προβλήματα στο curl. Αυτά τα προβλήματα αντιμετωπίστηκαν με την ενημέρωση στην έκδοση curl 7.51.0.
CVE-2016-5419
CVE-2016-5420
CVE-2016-5421
CVE-2016-7141
CVE-2016-7167
CVE-2016-8615
CVE-2016-8616
CVE-2016-8617
CVE-2016-8618
CVE-2016-8619
CVE-2016-8620
CVE-2016-8621
CVE-2016-8622
CVE-2016-8623
CVE-2016-8624
CVE-2016-8625
Υπηρεσίες καταλόγου
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.
CVE-2016-7633: Ian Beer του Google Project Zero
Είδωλα δίσκων
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.
CVE-2016-7616: daybreaker@Minionz σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
FontParser
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στον χειρισμό αρχείων γραμματοσειρών. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου ελέγχου ορίων.
CVE-2016-4691: riusksk(泉哥) του Tencent Security Platform Department
Υποδομή
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου .gcx μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.
CVE-2016-7618: riusksk(泉哥) του Tencent Security Platform Department
Γραφήματα
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου .gcx μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.
CVE-2016-7622: riusksk(泉哥) του Tencent Security Platform Department
ICU
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-7594: André Bargull
ImageIO
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
CVE-2016-7643: Yangkang (@dnpushme) της Qihoo360 Qex Team
Πρόγραμμα οδήγησης γραφικών Intel
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.
CVE-2016-7602: daybreaker@Minionz σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
IOFireWireFamily
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορέσει να διαβάσει το περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-7608: Brandon Azad
IOAcceleratorFamily
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα κοινόχρηστης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-7624: Qidan He (@flanker_hqd) από το KeenLab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
IOHIDFamily
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Μια τοπική εφαρμογή με προνόμια συστήματος ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.
CVE-2016-7591: daybreaker από Minionz
IOKit
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.
CVE-2016-7657: Keen Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
IOKit
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα κοινόχρηστης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-7625: Qidan He (@flanker_hqd) του KeenLab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
IOKit
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα κοινόχρηστης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-7714: Qidan He (@flanker_hqd) του KeenLab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
IOSurface
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα κοινόχρηστης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-7620: Qidan He (@flanker_hqd) του KeenLab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επαλήθευσης εισόδου.
CVE-2016-7606: @cocoahuke, Chen Qin της Topsec Alpha Team (topsec.com)
CVE-2016-7612: Ian Beer του Google Project Zero
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα ανεπαρκούς αρχικοποίησης αντιμετωπίστηκε με τη σωστή αρχικοποίηση της μνήμης που επιστρέφεται στον χώρο χρηστών.
CVE-2016-7607: Brandon Azad
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας συστήματος
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-7615: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή αυθαίρετη εκτέλεση κώδικα στον πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.
CVE-2016-7621: Ian Beer του Google Project Zero
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.
CVE-2016-7637: Ian Beer του Google Project Zero
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Μια τοπική εφαρμογή με προνόμια συστήματος ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.
CVE-2016-7644: Ian Beer του Google Project Zero
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-7647: Lufeng Li από την ομάδα Qihoo 360 Vulcan
εργαλεία kext
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.
CVE-2016-7629: @cocoahuke
libarchive
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να αντικαταστήσει υπάρχοντα αρχεία
Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης των symlinks.
CVE-2016-7619: ένας ανώνυμος ερευνητής
LibreSSL
Διατίθεται για: macOS Sierra 10.12.1 και OS X El Capitan v10.11.6
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας σε μη δεσμευμένη ανάπτυξη OCSP αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-6304
OpenLDAP
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του κρυπτογραφικού αλγόριθμου RC4
Περιγραφή: Ο αλγόριθμος RC4 καταργήθηκε ως προεπιλεγμένη κρυπτογράφηση.
CVE-2016-1777: Pepi Zawodsky
OpenPAM
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός χρήστης χωρίς προνόμια ενδέχεται να αποκτήσει πρόσβαση σε προνομιακές εφαρμογές
Περιγραφή: Ο έλεγχος ταυτότητας PAM εντός εφαρμογών sandbox απέτυχε με μη ασφαλή τρόπο. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό σφαλμάτων.
CVE-2016-7600: Perette Barella από DeviousFish.com
OpenSSL
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει δυνατότητα εκτέλεσης αυθαίρετου κώδικα
Περιγραφή: Υπήρχε ένα ζήτημα υπερχείλισης στο MDC2_Update(). Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2016-6303
OpenSSL
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας σε μη δεσμευμένη ανάπτυξη OCSP αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-6304
Διαχείριση ενέργειας
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα στις αναφορές ονομάτων θυρών mach αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.
CVE-2016-7661: Ian Beer του Google Project Zero
Ασφάλεια
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του κρυπτογραφικού αλγόριθμου 3DES
Περιγραφή: Ο αλγόριθμος 3DES καταργήθηκε ως προεπιλεγμένη κρυπτογράφηση.
CVE-2016-4693: Gaëtan Leurent και Karthikeyan Bhargavan από την INRIA Paris
Ασφάλεια
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στον χειρισμό των διευθύνσεων URL του αποκριτή OCSP. Αυτό το πρόβλημα αντιμετωπίστηκε με την επαλήθευση της κατάστασης ανάκλησης OCSP μετά την επικύρωση CA και τον περιορισμό του αριθμού των αιτημάτων OCSP ανά πιστοποιητικό.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Ασφάλεια
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ενδέχεται να αξιολογηθούν απρόσμενα κάποια πιστοποιητικά ως αξιόπιστα
Περιγραφή: Υπήρχε ένα πρόβλημα αξιολόγησης πιστοποιητικών στην επικύρωση των πιστοποιητικών. Αυτό το πρόβλημα αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης πιστοποιητικών.
CVE-2016-7662: Apple
syslog
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα στις αναφορές ονομάτων θυρών mach αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.
CVE-2016-7660: Ian Beer του Google Project Zero
Wi-Fi
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Ένας κακόβουλος τοπικός χρήστης ενδέχεται να μπορεί να προβάλλει ευαίσθητες πληροφορίες διαμόρφωσης δικτύου
Περιγραφή: Η διαμόρφωση δικτύου ήταν απρόσμενα καθολική. Αυτό το πρόβλημα αντιμετωπίστηκε με τη μετακίνηση της ευαίσθητης διαμόρφωσης δικτύου σε ρυθμίσεις ανά χρήστη.
CVE-2016-7761: Peter Loos, Καρλσρούη, Γερμανία
xar
Διατίθεται για: macOS Sierra 10.12.1
Αποτέλεσμα: Το άνοιγμα μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Η χρήση μιας μη αρχικοποιημένης μεταβλητής αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης.
CVE-2016-7742: Gareth Evans της Context Information Security
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.