Tietoja macOS Sierra 10.12:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Sierra 10.12:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
macOS Sierra 10.12
apache
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Etähyökkääjä saattoi pystyä välittämään liikennettä mielivaltaisen palvelimen kautta.
Kuvaus: HTTP_PROXY-ympäristömuuttujan käsittelyssä oli ongelma. Ongelma on ratkaistu niin, että HTTP_PROXY-ympäristömuuttujaa ei aseteta CGI:stä.
CVE-2016-4694: Dominic Scheirlinck ja Scott Geary (Vend)
apache_mod_php
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: PHP:ssä useita ongelmia, joista merkittävin saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: PHP:ssä olleet useat ongelmat on ratkaistu päivittämällä PHP versioon 5.6.24.
CVE-2016-5768
CVE-2016-5769
CVE-2016-5770
CVE-2016-5771
CVE-2016-5772
CVE-2016-5773
CVE-2016-6174
CVE-2016-6288
CVE-2016-6289
CVE-2016-6290
CVE-2016-6291
CVE-2016-6292
CVE-2016-6294
CVE-2016-6295
CVE-2016-6296
CVE-2016-6297
Applen HSSPI-tuki
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4697: Trend Micron Zero Day Initiativen parissa työskentelevä Qidan He (@flanker_hqd) (KeenLab)
AppleEFIRuntime
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.
CVE-2016-4696: Shrek_wzw (Qihoo 360 Nirvan Team)
AppleMobileFileIntegrity
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Paikallinen ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Tehtäväportin periytymiskäytännössä oli tarkistusongelma. Ongelma on ratkaistu parantamalla prosessin valtuutuksen ja ryhmätunnuksen tarkistusta.
CVE-2016-4698: Pedro Vilaça
AppleUUC
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2016-4699: Trend Micron Zero Day Initiativen parissa työskentelevä Jack Tang (@jacktang310) ja Moony Li (Trend Micro)
CVE-2016-4700: Trend Micron Zero Day Initiativen parissa työskentelevä Jack Tang (@jacktang310) ja Moony Li (Trend Micro)
Ohjelmapalomuuri
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Paikallinen käyttäjä saattoi kyetä aiheuttamaan palveluneston.
Kuvaus: Palomuurikehotteiden käsittelyssä oli tarkistusongelma. Ongelma korjattiin parantamalla SO_EXECPATH-ympäristömuuttujan tarkistusta.
CVE-2016-4701: Meder Kydyraliev (Google Security Team)
ATS
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4779: riusksk (Tencent Security Platform Department)
Ääni
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park ja Taekyoung Kwon (Information Security Lab, Yonsei University).
Bluetooth
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla muistin tarkistusta.
CVE-2016-4703: Juwei Lin (@fuzzerDOTcn) (Trend Micro)
cd9660
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla muistin käsittelyä.
CVE-2016-4706: Recurity Labs, BSI:n (Saksan tietoturvallisuusvirasto) puolesta
CFNetwork
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Paikallinen käyttäjä saattoi löytää verkkosivustot, joilla käyttäjä oli vieraillut.
Kuvaus: Paikallisen tallennustilan poistamisessa oli ongelma. Ongelma on ratkaistu parantamalla paikallisen tallennuksen puhdistusta.
CVE-2016-4707: nimetön tutkija
CFNetwork
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi vaarantaa käyttäjätiedot.
Kuvaus: Set-cookie-otsakkeen jäsennyksen aikana esiintyi annettujen tietojen tarkistusongelma. Ongelma on ratkaistu parantamalla varmennuksen tarkistamista.
CVE-2016-4708: Dawid Czagan (Silesia Security Lab)
CommonCrypto
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: CCryptiä käyttävä ohjelma saattoi paljastaa arkaluonteista salaamatonta tietoa, jos lähetys- ja vastaanottopuskuri olivat samat.
Kuvaus: Corecryptossa oli annettujen tietojen tarkistusongelma. Ongelma on ratkaistu parantamalla annettujen tietojen tarkistusta.
CVE-2016-4711: Max Lohrmann
CoreCrypto
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu poistamalla haavoittuva koodi.
CVE-2016-4712: Gergo Koteles
CoreDisplay
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Käyttäjä, jolla oli oikeudet näytön jakoon, saattoi pystyä näkemään toisen käyttäjän näytön.
Kuvaus: Tavassa käsitellä näytönjakoistuntoja oli istunnon hallintaongelma. Ongelma on ratkaistu parantamalla istunnon seurantaa.
CVE-2016-4713: Ruggero Alberti
curl
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Curlissa oli useita ongelmia.
Kuvaus: Curlissa oli useita tietoturvaongelmia ennen versiota 7.49.1. Nämä ongelmat on ratkaistu päivittämällä curl versioon 7.49.1.
CVE-2016-0755: Isaac Boukris
Päivämäärä ja aika -asetuspaneeli
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Haittaohjelma saattoi pystyä määrittämään käyttäjän nykyisen sijainnin.
Kuvaus: .GlobalPreferences-tiedoston käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla tarkistamista.
CVE-2016-4715: Taiki (@Taiki__San) (ESIEA [Pariisi])
DiskArbitration
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Diskutilissa oli käyttöongelma. Ongelma on ratkaistu parantamalla oikeuksien tarkistamista.
CVE-2016-4716: Alexander Allen (The North Carolina School of Science and Mathematics)
Tiedostokirjanmerkki
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Paikallinen ohjelma saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Määritettyjen kirjanmerkkien käsittelyssä oli resurssien hallintaongelma. Ongelma korjattiin parantamalla tiedostokuvaajien käsittelyä.
CVE-2016-4717: Tom Bradley (71Squared Ltd)
FontParser
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-2016-4718: Apple
IDS – yhdistettävyys
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Kutsunvälityksen käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen tarkistusta.
CVE-2016-4722: Martin Vigo (@martin_vigo) (salesforce.com)
ImageIO
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Haitallisen kuvan käsittely saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: SGI-kuvan jäsentämisessä ilmeni rajojen ulkopuolisen lukemisen ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-2016-4682: Ke Liu (Tencentin Xuanwu Lab)
Intelin grafiikkaohjain
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Useita muistin vioittumisongelmia ratkaistiin parantamalla muistin käsittelyä.
CVE-2016-4723: daybreaker (Minionz)
Intelin grafiikkaohjain
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2016-7582: Liang Chen (Tencent KeenLab)
IOAcceleratorFamily
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.
CVE-2016-4724: Cererdlong, Eakerqiu (Team OverSky)
IOAcceleratorFamily
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla muistin tarkistusta.
CVE-2016-4725: Rodger Combs (Plex, Inc)
IOAcceleratorFamily
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4726: nimetön tutkija
IOThunderboltFamily
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4727: Trend Micron Zero Day Initiativen parissa työskentelevä wmin
Kerberos v5 PAM -moduuli
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Etähyökkääjä saattoi pystyä määrittämään käyttäjätilien olemassaolon.
Kuvaus: Hyökkääjä pystyi ajanottoon perustuvan sivukanavahyökkäyksen avulla määrittämään järjestelmän sisältämien käyttäjätilien olemassaolon. Ongelma ratkaistiin ottamalla käyttöön kiinteäaikaiset tarkistukset.
CVE-2016-4745: nimetön tutkija
Kernel
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Paikallinen ohjelma saattoi pystyä käyttämään rajoitettuja tiedostoja.
Kuvaus: Hakemistopolkujen käsittelyn jäsentämisongelma on ratkaistu parantamalla polkujen tarkistusta.
CVE-2016-4771: Balazs Bucsay, tutkimusjohtaja, MRG Effitas
Kernel
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palvelun eston.
Kuvaus: Lukituksen käsittelyn ongelma on ratkaistu parantamalla lukituksen käsittelyä.
CVE-2016-4772: Marc Heuse (mh-sec)
Kernel
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Useat rajojen ulkopuolisen lukemisen ongelmat saattoivat johtaa kernel-muistin paljastumiseen. Ongelmat on ratkaistu parantamalla annettujen tietojen tarkistamista.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Kernel
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4775: Brandon Azad
Kernel
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Ei-luotetun osoittimen epäviittaus ratkaistiin poistamalla kyseinen koodi.
CVE-2016-4777: Lufeng Li (Qihoo 360 Vulcan Team)
Kernel
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Useita muistin vioittumisongelmia ratkaistiin parantamalla muistin käsittelyä.
CVE-2016-4778: CESG
libarchive
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Libarchivessa oli useita ongelmia.
Kuvaus: Libarchivessa oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla annettujen tietojen tarkistamista.
CVE-2016-4736: Proteas (Qihoo 360 Nirvan Team)
libxml2
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Libxml2:ssa oli useita ongelmia, joista merkittävin saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Useita muistin vioittumisongelmia ratkaistiin parantamalla muistin käsittelyä.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxpc
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä poistumaan eristyksestään.
Kuvaus: Uusien prosessien luomisessa launchctl:n avulla esiintyi useita heikkouksia. Ongelmat on ratkaistu parantamalla käytännön toimeenpanoa.
CVE-2016-4617: Gregor Kopf, Recurity Labs, BSI:n (Saksan tietoturvallisuusvirasto) puolesta
libxslt
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4738: Nick Wellnhofer
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Haitallinen verkkosivusto saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.
CVE-2016-7580: Sabri Haddouche (@pwnsdx)
mDNSResponder
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Etähyökkääjä saattoi pystyä näkemään arkaluonteisia tietoja.
Kuvaus: VMnet.frameworkia käyttävät ohjelmat ottivat käyttöön DNS-välipalvelimen kuuntelun kaikissa verkkoliitännöissä. Ongelma ratkaistiin rajoittamalla DNS-kyselyjen vastaukset paikallisiin liitäntöihin.
CVE-2016-4739: Magnus Skjegstad, David Scott ja Anil Madhavapeddy (Docker, Inc.)
NSSecureTextField
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Haittaohjelma saattoi pystyä vuotamaan käyttäjän kirjautumistiedot.
Kuvaus: NSSecureTextFieldissä oli tilanhallintaongelma, jonka johdosta turvallista syöttötilaa ei otettu käyttöön. Ongelma on korjattu parantamalla ikkunoiden hallintaa.
CVE-2016-4742: Rick Fillion (AgileBits), Daniel Jalkut (Red Sweater Software)
Perl
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Paikallinen käyttäjä saattoi ohittaa vikasuojausmekanismin.
Kuvaus: Ympäristömuuttujien jäsennyksessä oli ongelma. Ongelma korjattiin parantamalla ympäristömuuttujien tarkistusta.
CVE-2016-4748: Stephane Chazelas
S2-kamera
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4750: Trend Micron Zero Day Initiativen parissa työskentelevä Jack Tang (@jacktang310) ja Moony Li (Trend Micro)
Suojaus
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: SecKeyDeriveFromPasswordia käyttävässä ohjelmassa saattoi tapahtua muistivuoto.
Kuvaus: Avaimen johtamisen käsittelyssä oli resurssien hallintaongelma. Tämä ongelma ratkaistiin lisäämällä CF_RETURNS_RETAINED SecKeyDeriveFromPasswordiin.
CVE-2016-4752: Mark Rogers (PowerMapper Software)
Suojaus
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Allekirjoitetuissa levytiedostoissa esiintyi tarkistusongelma. Ongelma on ratkaistu parantamalla koon tarkistusta.
CVE-2016-4753: Mark Mentovai (Google Inc.)
Terminal
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: .bash_history- ja .bash_session-tiedostoissa oli käyttöoikeusongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.
CVE-2016-4755: Axel Luttgens
WindowServer
Saatavuus: OS X Lion 10.7.5 ja uudemmat versiot.
Vaikutus: Paikallinen käyttäjä saattoi saada pääkäyttöoikeudet.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4709: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija
CVE-2016-4710: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.