Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Sierra 10.12.2, της Ενημέρωσης ασφάλειας 2016-003 El Capitan και της Ενημέρωσης ασφάλειας 2016-007 Yosemite

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Sierra 10.12.2, της Ενημέρωσης ασφάλειας 2016-003 El Capitan και της Ενημέρωσης ασφάλειας 2016-007 Yosemite.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

macOS Sierra 10.12.2, Ενημέρωση ασφάλειας 2016-003 El Capitan και Ενημέρωση ασφάλειας 2016-007 Yosemite

Κυκλοφόρησε στις 13 Δεκεμβρίου 2016

apache_mod_php

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχαν πολλά προβλήματα στο PHP πριν την έκδοση 5.6.26. Αυτά αντιμετωπίστηκαν με την ενημέρωση του PHP στην έκδοση 5.6.26.

CVE-2016-7411

CVE-2016-7412

CVE-2016-7413

CVE-2016-7414

CVE-2016-7416

CVE-2016-7417

CVE-2016-7418

AppleGraphicsPowerManagement

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας συστήματος

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2016-7609: daybreaker@Minionz σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Πόροι

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να τροποποιήσει πόρους κινητών συσκευών που έχουν ληφθεί

Περιγραφή: Υπήρχε ένα ζήτημα με τα δικαιώματα στους πόρους κινητών συσκευών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2016-7628: Marcel Bresink από Marcel Bresink Software-Systeme

Η καταχώριση ενημερώθηκε στις 15 Δεκεμβρίου 2016

Ήχος

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2016-7658: Haohao Kong του Keen Lab (@keen_lab) της Tencent

CVE-2016-7659: Haohao Kong του Keen Lab (@keen_lab) της Tencent

Bluetooth

Διατίθεται για: macOS Sierra 10.12.1, OS X El Capitan v10.11.6 και OS X Yosemite v10.10.5

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa και Marko Laakso της Synopsys Software Integrity Group

Η καταχώριση ενημερώθηκε στις 14 Δεκεμβρίου 2016

Bluetooth

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2016-7605: daybreaker από Minionz

Bluetooth

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7617: Radu Motspan σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Ian Beer του Google Project Zero

CoreCapture

Διατίθεται για: macOS Sierra 10.12.1 και OS X El Capitan v10.11.6

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας συστήματος

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2016-7604: daybreaker από Minionz

Η καταχώριση ενημερώθηκε στις 14 Δεκεμβρίου 2016

CoreFoundation

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Η επεξεργασία κακόβουλων συμβολοσειρών ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στην επεξεργασία των συμβολοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-7663: ένας ανώνυμος ερευνητής

CoreGraphics

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2016-7627: TRAPMINE Inc. και Meysam Firouzi @R00tkitSMM

Εξωτερικές οθόνες CoreMedia

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Μια τοπική εφαρμογή ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα στο πλαίσιο του daemon διακομιστή μέσων

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7655: Keen Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Αναπαραγωγή CoreMedia

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου .mp4 ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7588: dragonltx των Huawei 2012 Laboratories

CoreStorage

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας συστήματος

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2016-7603: daybreaker@Minionz σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CoreText

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στον χειρισμό αρχείων γραμματοσειρών. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-7595: riusksk(泉哥) του Tencent Security Platform Department

CoreText

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αντιμετωπίστηκε ένα πρόβλημα απόδοσης επικαλυπτόμενων εμβελειών μέσω βελτιωμένης επικύρωσης.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) του Digital Unit (dgunit.com)

Η καταχώριση προστέθηκε στις 15 Δεκεμβρίου 2016

curl

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών

Περιγραφή: Υπήρχαν πολλαπλά προβλήματα στο curl. Αυτά τα προβλήματα αντιμετωπίστηκαν με την ενημέρωση στην έκδοση curl 7.51.0.

CVE-2016-5419

CVE-2016-5420

CVE-2016-5421

CVE-2016-7141

CVE-2016-7167

CVE-2016-8615

CVE-2016-8616

CVE-2016-8617

CVE-2016-8618

CVE-2016-8619

CVE-2016-8620

CVE-2016-8621

CVE-2016-8622

CVE-2016-8623

CVE-2016-8624

CVE-2016-8625

Υπηρεσίες καταλόγου

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2016-7633: Ian Beer του Google Project Zero

Είδωλα δίσκων

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2016-7616: daybreaker@Minionz σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

FontParser

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στον χειρισμό αρχείων γραμματοσειρών. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-4691: riusksk(泉哥) του Tencent Security Platform Department

Υποδομή

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου .gcx μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2016-7618: riusksk(泉哥) του Tencent Security Platform Department

Γραφήματα

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου .gcx μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2016-7622: riusksk(泉哥) του Tencent Security Platform Department

ICU

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7594: André Bargull

ImageIO

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-7643: Yangkang (@dnpushme) της Qihoo360 Qex Team

Πρόγραμμα οδήγησης γραφικών Intel

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2016-7602: daybreaker@Minionz σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

IOFireWireFamily

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορέσει να διαβάσει το περιεχόμενο της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7608: Brandon Azad

IOAcceleratorFamily

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα κοινόχρηστης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7624: Qidan He (@flanker_hqd) από το KeenLab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

IOHIDFamily

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Μια τοπική εφαρμογή με προνόμια συστήματος ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2016-7591: daybreaker από Minionz

IOKit

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2016-7657: Keen Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

IOKit

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα κοινόχρηστης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7625: Qidan He (@flanker_hqd) του KeenLab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

IOKit

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα κοινόχρηστης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7714: Qidan He (@flanker_hqd) του KeenLab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 25 Ιανουαρίου 2017

IOSurface

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα κοινόχρηστης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7620: Qidan He (@flanker_hqd) του KeenLab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επαλήθευσης εισόδου.

CVE-2016-7606: @cocoahuke, Chen Qin της Topsec Alpha Team (topsec.com)

CVE-2016-7612: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανεπαρκούς αρχικοποίησης αντιμετωπίστηκε με τη σωστή αρχικοποίηση της μνήμης που επιστρέφεται στον χώρο χρηστών.

CVE-2016-7607: Brandon Azad

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας συστήματος

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7615: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή αυθαίρετη εκτέλεση κώδικα στον πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2016-7621: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2016-7637: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Μια τοπική εφαρμογή με προνόμια συστήματος ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2016-7644: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7647: Lufeng Li από την ομάδα Qihoo 360 Vulcan

Η καταχώριση προστέθηκε στις 17 Μαΐου 2017

εργαλεία kext

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης δεδομένων εισαγωγής.

CVE-2016-7629: @cocoahuke

libarchive

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να αντικαταστήσει υπάρχοντα αρχεία

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης των symlinks.

CVE-2016-7619: ένας ανώνυμος ερευνητής

LibreSSL

Διατίθεται για: macOS Sierra 10.12.1 και OS X El Capitan v10.11.6

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας σε μη δεσμευμένη ανάπτυξη OCSP αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-6304

Η καταχώριση ενημερώθηκε στις 14 Δεκεμβρίου 2016

OpenLDAP

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του κρυπτογραφικού αλγόριθμου RC4

Περιγραφή: Ο αλγόριθμος RC4 καταργήθηκε ως προεπιλεγμένη κρυπτογράφηση.

CVE-2016-1777: Pepi Zawodsky

OpenPAM

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός χρήστης χωρίς προνόμια ενδέχεται να αποκτήσει πρόσβαση σε προνομιακές εφαρμογές

Περιγραφή: Ο έλεγχος ταυτότητας PAM εντός εφαρμογών sandbox απέτυχε με μη ασφαλή τρόπο. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό σφαλμάτων.

CVE-2016-7600: Perette Barella από DeviousFish.com

OpenSSL

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει δυνατότητα εκτέλεσης αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα ζήτημα υπερχείλισης στο MDC2_Update(). Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2016-6303

OpenSSL

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας σε μη δεσμευμένη ανάπτυξη OCSP αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-6304

Διαχείριση ενέργειας

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα στις αναφορές ονομάτων θυρών mach αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.

CVE-2016-7661: Ian Beer του Google Project Zero

Ασφάλεια

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του κρυπτογραφικού αλγόριθμου 3DES

Περιγραφή: Ο αλγόριθμος 3DES καταργήθηκε ως προεπιλεγμένη κρυπτογράφηση.

CVE-2016-4693: Gaëtan Leurent και Karthikeyan Bhargavan από την INRIA Paris

Ασφάλεια

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στον χειρισμό των διευθύνσεων URL του αποκριτή OCSP. Αυτό το πρόβλημα αντιμετωπίστηκε με την επαλήθευση της κατάστασης ανάκλησης OCSP μετά την επικύρωση CA και τον περιορισμό του αριθμού των αιτημάτων OCSP ανά πιστοποιητικό.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Ασφάλεια

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ενδέχεται να αξιολογηθούν απρόσμενα κάποια πιστοποιητικά ως αξιόπιστα

Περιγραφή: Υπήρχε ένα πρόβλημα αξιολόγησης πιστοποιητικών στην επικύρωση των πιστοποιητικών. Αυτό το πρόβλημα αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης πιστοποιητικών.

CVE-2016-7662: Apple

syslog

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα στις αναφορές ονομάτων θυρών mach αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.

CVE-2016-7660: Ian Beer του Google Project Zero

Wi-Fi

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Ένας κακόβουλος τοπικός χρήστης ενδέχεται να μπορεί να προβάλλει ευαίσθητες πληροφορίες διαμόρφωσης δικτύου

Περιγραφή: Η διαμόρφωση δικτύου ήταν απρόσμενα καθολική. Αυτό το πρόβλημα αντιμετωπίστηκε με τη μετακίνηση της ευαίσθητης διαμόρφωσης δικτύου σε ρυθμίσεις ανά χρήστη.

CVE-2016-7761: Peter Loos, Καρλσρούη, Γερμανία

Η καταχώριση προστέθηκε στις 24 Ιανουαρίου 2017

xar

Διατίθεται για: macOS Sierra 10.12.1

Αποτέλεσμα: Το άνοιγμα μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Η χρήση μιας μη αρχικοποιημένης μεταβλητής αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης.

CVE-2016-7742: Gareth Evans της Context Information Security

Η καταχώριση προστέθηκε στις 10 Ιανουαρίου 2017
Το macOS Sierra 10.12.2, η Ενημέρωση ασφάλειας 2016-003 El Capitan και η Ενημέρωση ασφάλειας 2016-007 Yosemite περιλαμβάνει το περιεχόμενο ασφάλειας του Safari 10.0.2.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: