Tietoja macOS Sierra 10.12.1:n, suojauspäivitys 2016-002 El Capitanin ja suojauspäivitys 2016-006 Yosemiten turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sierra 10.12.1:n, suojauspäivitys 2016-002 El Capitanin ja suojauspäivitys 2016-006 Yosemiten turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

macOS Sierra 10.12.1, suojauspäivitys 2016-002 El Capitan ja suojauspäivitys 2016-006 Yosemite

Julkaistu 24.10.2016

AppleGraphicsControl

Saatavuus: OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.

CVE-2016-4662: Apple

AppleMobileFileIntegrity

Saatavuus: macOS Sierra 10.12.

Vaikutus: Allekirjoitettu suoritettava tiedosto saattoi korvata koodia samalla ryhmätunnuksella.

Kuvaus: Koodiallekirjoitusten käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu lisäämällä tarkistusta.

CVE-2016-7584: Mark Mentovai ja Boris Vidolov (Google Inc.)

Kohta lisätty 27.11.2016

AppleSMC

Saatavuus: macOS Sierra 10.12.

Vaikutus: Paikallinen käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla lukitusta.

CVE-2016-4678: Trend Micron Zero Day Initiativen parissa työskentelevä daybreaker@Minionz

ATS

Saatavuus: macOS Sierra 10.12.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4667: Simon Huang (alipay), Thelongestusernameofall@gmail.com, Moony Li (TrendMicro), @Flyic

Kohta päivitetty 27.10.2016

ATS

Saatavuus: macOS Sierra 10.12.

Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia lisäkäyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4674: Shrek_wzw (Qihoo 360 Nirvan Team)

CFNetwork-välipalvelimet

Saatavuus: macOS Sierra 10.12.

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: Välipalvelimen tunnistetietojen käsittelyssä ilmeni tietojenkalasteluongelma. Ongelma korjattiin poistamalla pyytämättömät välipalvelimen salasanan vahvistuskehotukset.

CVE-2016-7579: Jerry Decime

Core Image

Saatavuus: OS X El Capitan 10.11.6.

Vaikutus: Haitallisen JPEG-tiedoston katsominen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-4681: Ke Liu (Tencentin Xuanwu Lab)

Kohta lisätty 25.10.2016

CoreGraphics

Saatavuus: macOS Sierra 10.12.

Vaikutus: Haitallisen JPEG-tiedoston katsominen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4673: Marco Grassi (@marcograss) (KeenLab) (@keen_lab), Tencent

FaceTime

Saatavuus: macOS Sierra 10.12.

Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi saada välitetyn puhelun jatkamaan äänen lähettämistä, vaikka näytti, että puhelu oli jo päättynyt.

Kuvaus: Välitettyjen puheluiden käsittelyyn liittyi käyttöliittymän ristiriitaisuuksia. Ongelmat on ratkaistu parantamalla protokollalogiikkaa.

CVE-2016-7577: Martin Vigo (@martin_vigo) (salesforce.com)

Kohta lisätty 27.10.2016

FontParser

Saatavuus: macOS Sierra 10.12.

Vaikutus: Haitallisen fontin jäsentäminen saattaa paljastaa arkaluonteisia käyttäjätietoja.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2016-4660: Ke Liu (Tencentin Xuanwu Lab)

FontParser

Saatavuus: macOS Sierra 10.12.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen. 

Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2016-4688: Simon Huang (Alipay), thelongestusernameofall@gmail.com

Kohta lisätty 27.11.2016

IDS – yhdistettävyys

Saatavuus: macOS Sierra 10.12.

Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä hämäämään ryhmäpuhelun osallistujaa luulemaan, että tämä puhuu keskustelukumppanille.

Kuvaus: Puhelunkytkennän käsittelyssä oli tekeytymiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla puhelunkytkennän ilmoitusten käsittelyä.

CVE-2016-4721: Martin Vigo (@martin_vigo) (salesforce.com)

Kohta lisätty 27.10.2016

ImageIO

Saatavuus: OS X El Capitan 10.11.6.

Vaikutus: Haitallisen PDF-tiedoston jäsentäminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen kirjoittaminen käsiteltiin rajojen tarkistuksen parannuksella.

CVE-2016-4671: Ke Liu (Tencentin Xuanwu Lab), Juwei Lin (@fuzzerDOTcn)

ImageIO

Saatavuus: OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6.

Vaikutus: Haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: SGI-kuvan jäsentämisessä ilmeni rajojen ulkopuolisen lukemisen ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2016-4682: Ke Liu (Tencentin Xuanwu Lab)

ImageIO

Saatavuus: OS X El Capitan 10.11.6.

Vaikutus: Etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: SGI-tiedostojen jäsentämisessä ilmeni useita rajojen ulkopuolisen lukemisen ja kirjoittamisen ongelmia. Ongelmat on ratkaistu parantamalla syötön validointia.

CVE-2016-4683: Ke Liu (Tencentin Xuanwu Lab)

Kohta lisätty 25.10.2016

Kernel

Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

Kuvaus: MIG-generoidussa koodissa ilmeni useita syötön vahvistuksen ongelmia. Ongelmat on ratkaistu parantamalla tarkistamista.

CVE-2016-4669: Ian Beer (Google Project Zero)

Kohta päivitetty 2.11.2016

Kernel

Saatavuus: macOS Sierra 10.12.

Vaikutus: Paikallinen ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Uusien prosessien luonnissa esiintyi useita objektien elinkaareen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla tarkistusta.

CVE-2016-7613: Ian Beer (Google Project Zero)

Kohta lisätty 1.11.2016

libarchive

Saatavuus: macOS Sierra 10.12.

Vaikutus: Haitallinen arkisto saattoi pystyä korvaamaan mielivaltaisia tiedostoja.

Kuvaus: Symbolisten linkkien polun validointilogiikassa oli ongelma. Ongelma on ratkaistu parantamalla polkujen siivoamista.

CVE-2016-4679: Omer Medan (enSilo Ltd)

libxpc

Saatavuus: macOS Sierra 10.12.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

Kuvaus: Logiikkaongelma korjattiin lisäämällä rajoituksia.

CVE-2016-4675: Ian Beer (Google Project Zero)

Kohta päivitetty 30.3.2017

ntfs

Saatavuus: macOS Sierra 10.12.

Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.

Kuvaus: Levytiedostojen jäsentämisessä oli ongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2016-4661: Recurity Labs, BSI:n (Saksan tietoturvallisuusvirasto) puolesta

NVIDIA-näytönohjaimet

Saatavuus: OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6.

Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-4663: Apple

Suojaus

Saatavuus: macOS Sierra 10.12.

Vaikutus: Paikallinen hyökkääjä saattoi nähdä kirjautumissalasanan pituuden, kun käyttäjä kirjautui sisään.

Kuvaus: Salasanojen käsittelyssä ilmeni kirjaamisongelma. Ongelma korjattiin poistamalla salasanojen pituuden kirjaaminen.

CVE-2016-4670: Daniel Jalkut (Red Sweater Software)

Kohta päivitetty 25.10.2016

Thunderbolt

Saatavuus: macOS Sierra 10.12.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella. 

CVE-2016-4780: sweetchip (Grayhash)

Kohta lisätty 29.11.2016

macOS Sierra 10.12.1 sisältää Safari 10.0.1:n turvallisuussisällön.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: