Tietoja macOS Sierra 10.12.2:n, suojauspäivitys 2016-003 El Capitanin ja suojauspäivitys 2016-007 Yosemiten turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sierra 10.12.2:n, suojauspäivitys 2016-003 El Capitanin ja suojauspäivitys 2016-007 Yosemiten turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

macOS Sierra 10.12.2, suojauspäivitys 2016-003 El Capitan ja suojauspäivitys 2016-007 Yosemite

Julkaistu 13.12.2016

apache_mod_php

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: PHP:ssä oli useita ongelmia ennen versiota 5.6.26. Ne on ratkaistu päivittämällä PHP versioon 5.6.26.

CVE-2016-7411

CVE-2016-7412

CVE-2016-7413

CVE-2016-7414

CVE-2016-7416

CVE-2016-7417

CVE-2016-7418

AppleGraphicsPowerManagement

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2016-7609: Trend Micron Zero Day Initiativen parissa työskentelevä daybreaker@Minionz

Resurssit

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen hyökkääjä saattoi muokata ladattuja mobiiliresursseja.

Kuvaus: Mobiiliresursseissa oli käyttöoikeusongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2016-7628: Marcel Bresink (Marcel Bresink Software-Systeme)

Kohta päivitetty 15.12.2016

Ääni

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7658: Haohao Kong (Tencentin Keen Lab) (@keen_lab)

CVE-2016-7659: Haohao Kong (Tencentin Keen Lab) (@keen_lab)

Bluetooth

Saatavuus: macOS Sierra 10.12.1, OS X El Capitan 10.11.6 ja OS X Yosemite 10.10.5.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. 

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa ja Marko Laakso (Synopsys Software Integrity Group)

Kohta päivitetty 14.12.2016

Bluetooth

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2016-7605: daybreaker (Minionz)

Bluetooth

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7617: Trend Micron Zero Day Initiativen parissa työskentelevä Radu Motspan, Ian Beer (Google Project Zero)

CoreCapture

Saatavuus: macOS Sierra 10.12.1 ja OS X El Capitan 10.11.6.

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

Kuvaus: Nollaosoittimen epäviittaus ratkaistiin parantamalla tilanhallintaa.

CVE-2016-7604: daybreaker (Minionz)

Kohta päivitetty 14.12.2016

CoreFoundation

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Haitallisten merkkijonojen käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Merkkijonojen käsittelyssä oli muistin vioittumisongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2016-7663: nimetön tutkija

CoreGraphics

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2016-7627: TRAPMINE Inc. ja Meysam Firouzi @R00tkitSMM

CoreMedian ulkoiset näytöt

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen ohjelma saattoi pystyä suorittamaan mielivaltaista koodia mediaserver-daemonin yhteydessä.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7655: Trend Micron Zero Day Initiativen parissa työskentelevä Keen Lab

CoreMedia Playback

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Haitallisen .mp4-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7588: dragonltx (Huawei 2012 Laboratories)

CoreStorage

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2016-7603: Trend Micron Zero Day Initiativen parissa työskentelevä daybreaker@Minionz

CoreText

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Fonttitiedostojen käsittelyssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.

CVE-2016-7595: riusksk(泉哥) (Tencent Security Platform Department)

CoreText

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Haitallisen merkkijonon käsittely saattoi johtaa palvelunestoon.

Kuvaus: Päällekkäisiä alueita näytettäessä ilmenevä ongelma on ratkaistu parantamalla validointia.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) (Digital Unit, dgunit.com)

Kohta lisätty 15.12.2016

curl

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: Curlissa oli useita ongelmia. Ongelmat on ratkaistu päivittämällä curl versioon 7.51.0.

CVE-2016-5419

CVE-2016-5420

CVE-2016-5421

CVE-2016-7141

CVE-2016-7167

CVE-2016-8615

CVE-2016-8616

CVE-2016-8617

CVE-2016-8618

CVE-2016-8619

CVE-2016-8620

CVE-2016-8621

CVE-2016-8622

CVE-2016-8623

CVE-2016-8624

CVE-2016-8625

Hakemistopalvelut

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen käyttäjä saattoi saada pääkäyttöoikeudet.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2016-7633: Ian Beer (Google Project Zero)

Levykuvat

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7616: Trend Micron Zero Day Initiativen parissa työskentelevä daybreaker@Minionz

FontParser

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Fonttitiedostojen käsittelyssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.

CVE-2016-4691: riusksk(泉哥) (Tencent Security Platform Department)

Foundation

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Haitallisen .gcx-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7618: riusksk(泉哥) (Tencent Security Platform Department)

Grapher

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Haitallisen .gcx-tiedoston avaaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7622: riusksk(泉哥) (Tencent Security Platform Department)

ICU

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7594: André Bargull

ImageIO

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2016-7643: Yangkang (@dnpushme) (Qihoo360 Qex Team)

Intelin grafiikkaohjain

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. 

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7602: Trend Micron Zero Day Initiativen parissa työskentelevä daybreaker@Minionz

IOFireWireFamily

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen hyökkääjä saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7608: Brandon Azad

IOAcceleratorFamily

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen käyttäjä voi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Jaetun muistin ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7624: Trend Micron Zero Day Initiativen parissa työskentelevä Qidan He (@flanker_hqd) (KeenLab)

IOHIDFamily

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen ohjelma järjestelmän käyttöoikeuksilla saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2016-7591: daybreaker (Minionz)

IOKit

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Ohjelma saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7657: Trend Micron Zero Day Initiativen parissa työskentelevä Keen Lab

IOKit

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen käyttäjä voi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Jaetun muistin ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7625: Trend Micron Zero Day Initiativen parissa työskentelevä Qidan He (@flanker_hqd) (KeenLab)

IOKit

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen käyttäjä voi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Jaetun muistin ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7714: Trend Micron Zero Day Initiativen parissa työskentelevä Qidan He (@flanker_hqd) (KeenLab)

Kohta lisätty 25.1.2017

IOSurface

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen käyttäjä voi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Jaetun muistin ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7620: Trend Micron Zero Day Initiativen parissa työskentelevä Qidan He (@flanker_hqd) (KeenLab)

Kernel

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. 

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2016-7606: @cocoahuke, Chen Qin (Topsec Alpha Team) (topsec.com)

CVE-2016-7612: Ian Beer (Google Project Zero)

Kernel

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Ohjelma saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Riittämättömän alustuksen ongelma ratkaistiin alustamalla käyttäjätilaan palautettava muisti asianmukaisesti.

CVE-2016-7607: Brandon Azad

Kernel

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7615: Ison-Britannian National Cyber Security Centre (NCSC)

Kernel

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2016-7621: Ian Beer (Google Project Zero)

Kernel

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen käyttäjä saattoi saada pääkäyttöoikeudet.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7637: Ian Beer (Google Project Zero)

Kernel

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen ohjelma järjestelmän käyttöoikeuksilla saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2016-7644: Ian Beer (Google Project Zero)

Kernel

Saatavuus: macOS Sierra 10.12.1

Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7647: Lufeng Li (Qihoo 360 Vulcan Team)

Kohta lisätty 17.5.2017

kext tools

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. 

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2016-7629: @cocoahuke

libarchive

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korvaamaan olemassa olevia tiedostoja.

Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2016-7619: nimetön tutkija

LibreSSL

Saatavuus: macOS Sierra 10.12.1 ja OS X El Capitan 10.11.6.

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Rajattoman OCSP-kasvun palvelunesto-ongelma ratkaistiin parantamalla muistin käsittelyä.

CVE-2016-6304

Kohta päivitetty 14.12.2016

OpenLDAP

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Hyökkääjä saattoi pystyä hyödyntämään RC4-salausalgoritmin heikkouksia.

Kuvaus: RC4 poistettiin käytöstä oletussalauksena.

CVE-2016-1777: Pepi Zawodsky

OpenPAM

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen käyttöoikeudeton käyttäjä saattoi päästä käyttämään oikeuksia edellyttäviä ohjelmia.

Kuvaus: Eristettyjen ohjelmien PAM-varmennus epäonnistui turvattomasti. Ongelma on ratkaistu parantamalla virheiden käsittelyä.

CVE-2016-7600: Perette Barella (DeviousFish.com)

OpenSSL

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: MDC2_Update():ssa esiintyi ylivuoto-ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2016-6303

OpenSSL

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Rajattoman OCSP-kasvun palvelunesto-ongelma ratkaistiin parantamalla muistin käsittelyä.

CVE-2016-6304

Virranhallinta

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen käyttäjä saattoi saada pääkäyttöoikeudet.

Kuvaus: Mach-porttien nimiviittauksien ongelma on ratkaistu parantamalla validointia.

CVE-2016-7661: Ian Beer (Google Project Zero)

Suojaus

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Hyökkääjä saattoi pystyä hyödyntämään 3DES-salausalgoritmin heikkouksia.

Kuvaus: 3DES poistettiin käytöstä oletussalauksena.

CVE-2016-4693: Gaëtan Leurent ja Karthikeyan Bhargavan (INRIA Paris)

Suojaus

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: OCSP-vastaajapalvelun URL-osoitteiden käsittelyssä oli tarkistusongelma. Ongelma ratkaistiin varmistamalla OCSP:n kumoamisen tila CA-validoinnin jälkeen ja rajoittamalla OCSP-pyyntöjä varmennetta kohti.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Suojaus

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Varmenteet saatettiin odottamatta arvioida luotettaviksi.

Kuvaus: Varmenteiden validoinnissa esiintyi varmenteen arviointiin liittyvä ongelma. Ongelma on ratkaistu varmenteiden lisätarkistuksella.

CVE-2016-7662: Apple

syslog

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen käyttäjä saattoi saada pääkäyttöoikeudet.

Kuvaus: Mach-porttien nimiviittauksien ongelma on ratkaistu parantamalla validointia.

CVE-2016-7660: Ian Beer (Google Project Zero)

Wi-Fi

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Paikallinen tunkeilija saattoi pystyä tarkastelemaan arkaluontoisia verkon määritykseen liittyviä tietoja.

Kuvaus: Verkon määritys muuttui odottamatta yleiseksi. Ongelma on ratkaistu siirtämällä arkaluontoiset verkon määritykseen liittyvät tiedot käyttäjäkohtaisiin asetuksiin.

CVE-2016-7761: Peter Loos (Karlsruhe, Saksa)

Kohta lisätty 24.1.2017

xar

Saatavuus: macOS Sierra 10.12.1.

Vaikutus: Haitallisen arkiston avaaminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Alustamattoman muuttujan käyttöön liittyvä ongelma ratkaistiin parantamalla tarkistusta.

CVE-2016-7742: Gareth Evans (Context Information Security)

Kohta lisätty 10.1.2017

macOS Sierra 10.12.2, suojauspäivitys 2016-003 El Capitan ja suojauspäivitys 2016-007 Yosemite sisältävät Safari 10.0.2:n turvallisuussisällön.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: