Informacije o sigurnosnom sadržaju sustava macOS Sierra 10.12.2, sigurnosnom ažuriranju 2016-003 El Capitan i sigurnosnom ažuriranju 2016-007 Yosemite

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Sierra 10.12.2, sigurnosno ažuriranje 2016-003 El Capitan i sigurnosno ažuriranje 2016-007 Yosemite.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

macOS Sierra 10.12.2, sigurnosno ažuriranje 2016-003 El Capitan i sigurnosno ažuriranje 2016-007 Yosemite

Objavljeno 13. prosinca 2016.

apache_mod_php

Dostupno za: macOS Sierra 10.12.1

Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: u protokolu PHP starijem od verzije 5.6.26 otkriveno je nekoliko problema. Riješeni su ažuriranjem protokola PHP na verziju 5.6.26.

CVE-2016-7411

CVE-2016-7412

CVE-2016-7413

CVE-2016-7414

CVE-2016-7416

CVE-2016-7417

CVE-2016-7418

AppleGraphicsPowerManagement

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni korisnici mogli su izazvati odbijanje usluge na razini sustava

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom ulaznom provjerom valjanosti.

CVE-2016-7609: daybreaker@Minionz i inicijativa Zero Day (Trend Micro)

Imovina

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni napadač može izmijeniti preuzeta mobilna sredstva

Opis: u mobilnim sredstvima otkriven je problem s dozvolama. Ovaj problem riješen je povećanjem ograničenja pristupa.

CVE-2016-7628: Marcel Bresink iz tvrtke Marcel Bresink Software

Unos ažuriran 15. prosinca 2016.

Zvuk

Dostupno za: macOS Sierra 10.12.1

Učinak: obradom zlonamjernih datoteka moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7658: Haohao Kong (Keen Lab (@keen_lab), Tencent)

CVE-2016-7659: Haohao Kong (Keen Lab (@keen_lab), Tencent)

Bluetooth

Dostupno za macOS Sierra 10.12.1, OS X El Capitan v10.11.6 i OS X Yosemite v10.10.5

Učinak: uz kernelske ovlasti aplikacija može izvršiti proizvoljni kod 

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa i Marko Laakso iz tvrtke Synopsys Software Integrity Group

Unos je ažuriran 14. prosinca 2016.

Bluetooth

Dostupno za: macOS Sierra 10.12.1

Učinak: neke su aplikacije mogle izazvati odbijanje usluge

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom ulaznom provjerom valjanosti.

CVE-2016-7605: daybreaker (Minionz)

Bluetooth

Dostupno za: macOS Sierra 10.12.1

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7617: Radu Motspan u suradnji s inicijativom Zero Day tvrtke Trend Micro, Ian Beer (Google Project Zero)

CoreCapture

Dostupno za: macOS Sierra 10.12.1 i OS X El Capitan v10.11.6

Učinak: lokalni korisnici mogli su izazvati odbijanje usluge na razini sustava

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanim upravljanjem stanjem.

CVE-2016-7604: daybreaker (Minionz)

Unos je ažuriran 14. prosinca 2016.

CoreFoundation

Dostupno za: macOS Sierra 10.12.1

Učinak: obrada zlonamjernih nizova može dovesti do neočekivanog zatvaranja aplikacije ili izvršavanje proizvoljnog koda

Opis: u obradi nizova otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom ograničenja.

CVE-2016-7663: anonimni istraživač

Jezgrena grafika

Dostupno za: macOS Sierra 10.12.1

Učinak: obrada zlonamjerne datoteke fonta može izazvati neočekivano zatvaranje aplikacije

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom ulaznom provjerom valjanosti.

CVE-2016-7627: TRAPMINE Inc. i Meysam Firouzi @R00tkitSMM

Vanjski zasloni CoreMedia

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalne aplikacije mogu izvršiti proizvoljni kod u kontekstu pozadinskog servisa medijskog poslužitelja

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7655: Keen Lab i inicijativa Zero Day (Trend Micro)

Reprodukcija CoreMedia datoteka

Dostupno za: macOS Sierra 10.12.1

Učinak: obrada zlonamjernih .mp4 datoteka mogla je dovesti do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7588: dragonltx (Huawei 2012 Laboratories)

CoreStorage

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni korisnici mogli su izazvati odbijanje usluge na razini sustava

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom ulaznom provjerom valjanosti.

CVE-2016-7603: daybreaker@Minionz i inicijativa Zero Day (Trend Micro)

Jezgreni tekst

Dostupno za: macOS Sierra 10.12.1

Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

Opis: u načinu rukovanja datotekama fontova otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ograničenja.

CVE-2016-7595: riusksk(泉哥) (Tencentov odjel za sigurnosne platforme)

Jezgreni tekst

Dostupno za: macOS Sierra 10.12.1

Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge

Opis: problem koji se pojavljivao prilikom prikaza preklapajućih raspona riješen je poboljšanom provjerom valjanosti.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there), Digital Unit (dgunit.com)

Unos dodan 15. prosinca 2016.

curl

Dostupno za: macOS Sierra 10.12.1

Učinak: napadač s administratorskim mrežnim ovlastima mogao je otkriti povjerljive korisničke podatke

Opis: otkriveno je više problema u medijateci curl. Ti su problemi riješeni ažuriranjem verzije medijateke curl 7.51.0.

CVE-2016-5419

CVE-2016-5420

CVE-2016-5421

CVE-2016-7141

CVE-2016-7167

CVE-2016-8615

CVE-2016-8616

CVE-2016-8617

CVE-2016-8618

CVE-2016-8619

CVE-2016-8620

CVE-2016-8621

CVE-2016-8622

CVE-2016-8623

CVE-2016-8624

CVE-2016-8625

Usluge direktorija

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni korisnici mogli su dobiti korijenske ovlasti

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2016-7633: Ian Beer (Google Project Zero)

Slike diska

Dostupno za: macOS Sierra 10.12.1

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7616: daybreaker@Minionz i inicijativa Zero Day (Trend Micro)

Parser za font

Dostupno za: macOS Sierra 10.12.1

Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

Opis: u načinu rukovanja datotekama fontova otkriveno je nekoliko problema s oštećenom memorijom. Ti su problemi riješeni poboljšanom provjerom ograničenja.

CVE-2016-4691: riusksk(泉哥) (Tencentov odjel za sigurnosne platforme)

Osnove

Dostupno za: macOS Sierra 10.12.1

Učinak: otvaranje zlonamjerno stvorene .gcx datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7618: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)

Grapher

Dostupno za: macOS Sierra 10.12.1

Učinak: otvaranje zlonamjerno stvorene .gcx datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7622: riusksk (泉哥) (Tencentov odjel za sigurnosne platforme)

ICU

Dostupno za: macOS Sierra 10.12.1

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7594: André Bargull

Ulaz i izlaz slika

Dostupno za: macOS Sierra 10.12.1

Učinak: udaljeni napadač može probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2016-7643: Yangkang (@dnpushme) (Qihoo360 Qex Team)

Intelov grafički upravljački program

Dostupno za: macOS Sierra 10.12.1

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod 

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7602: daybreaker@Minionz i inicijativa Zero Day (Trend Micro)

IOFireWireFamily

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni napadač mogao je čitati kernelsku memoriju

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7608: Brandon Azad

IOAcceleratorFamily

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni korisnik mogao je otkriti raspored elemenata kernelske memorije

Opis: problem s dijeljenom memorijom riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7624: Qidan He (@flanker_hqd), KeenLab u suradnji s inicijativom Zero Day (Trend Micro)

IOHIDFamily

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalna aplikacija sa sistemskim ovlastima mogla je izvršiti proizvoljni kod s kernelskim ovlastima

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2016-7591: daybreaker (Minionz)

IOKit

Dostupno za: macOS Sierra 10.12.1

Učinak: aplikacije su mogle čitati kernelsku memoriju

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7657: Keen Lab i inicijativa Zero Day (Trend Micro)

IOKit

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni korisnik mogao je otkriti raspored elemenata kernelske memorije

Opis: problem s dijeljenom memorijom riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7625: Qidan He (@flanker_hqd), KeenLab u suradnji s inicijativom Zero Day (Trend Micro)

IOKit

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni korisnik mogao je otkriti raspored elemenata kernelske memorije

Opis: problem s dijeljenom memorijom riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7714: Qidan He (@flanker_hqd), KeenLab u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 25. siječnja 2017.

IOSurface

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni korisnik mogao je otkriti raspored elemenata kernelske memorije

Opis: problem s dijeljenom memorijom riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7620: Qidan He (@flanker_hqd), KeenLab u suradnji s inicijativom Zero Day (Trend Micro)

Kernel

Dostupno za: macOS Sierra 10.12.1

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod 

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7606: @cocoahuke, Chen Qin (Topsec Alpha Team (topsec.com))

CVE-2016-7612: Ian Beer (Google Project Zero)

Kernel

Dostupno za: macOS Sierra 10.12.1

Učinak: aplikacije su mogle čitati kernelsku memoriju

Opis: problem s nedostatnom inicijalizacijom riješen je pravilnom inicijalizacijom memorije koja se vraća u korisnički prostor.

CVE-2016-7607: Brandon Azad

Kernel

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni korisnici mogli su izazvati odbijanje usluge na razini sustava

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7615: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)

Kernel

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni korisnik mogao je izazvati neočekivani pad sustava ili izvršavanje proizvoljnog koda u kernelu

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2016-7621: Ian Beer (Google Project Zero)

Kernel

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni korisnici mogli su dobiti korijenske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7637: Ian Beer (Google Project Zero)

Kernel

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalna aplikacija sa sistemskim ovlastima mogla je izvršiti proizvoljni kod s kernelskim ovlastima

Opis: problem je riješen poboljšanim upravljanjem memorijom.

CVE-2016-7644: Ian Beer (Google Project Zero)

Kernel

Dostupno za: macOS Sierra 10.12.1

Učinak: neke su aplikacije mogle izazvati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2016-7647: Lufeng Li (tim Vulcan, Qihoo 360)

Unos dodan 17. svibnja 2017.

kext alati

Dostupno za: macOS Sierra 10.12.1

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod 

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-7629: @cocoahuke

libarchive

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni napadač mogao je prebrisati postojeće datoteke

Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2016-7619: anonimni istraživač

LibreSSL

Dostupno za: macOS Sierra 10.12.1 i OS X El Capitan v10.11.6

Učinak: napadač s mrežnim ovlastima mogao bi prouzročiti odbijanje servisa

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2016-6304

Unos je ažuriran 14. prosinca 2016.

OpenLDAP

Dostupno za: macOS Sierra 10.12.1

Učinak: napadači mogu iskoristiti slabe točke kriptografskog algoritma RC4

Opis: RC4 je uklonjen kao zadana šifra.

CVE-2016-1777: Pepi Zawodsky

OpenPAM

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni neprivilegirani korisnik može dobiti pristup povlaštenim aplikacijama

Opis: Provjera autentičnosti PAM-a u aplikacijama s memorijom za testiranje nesigurno nije uspjela. Taj je problem riješen poboljšanim rukovanjem pogreškom.

CVE-2016-7600: Perette Barella iz tvrtke DeviousFish.com

OpenSSL

Dostupno za: macOS Sierra 10.12.1

Učinak: neke aplikacije mogle su izvršiti proizvoljni kod

Opis: u ažuriranju MDC2_Update() postojao je problem s prekoračenjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-6303

OpenSSL

Dostupno za: macOS Sierra 10.12.1

Učinak: napadač s mrežnim ovlastima mogao bi prouzročiti odbijanje servisa

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2016-6304

Upravljanje napajanjem

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni korisnici mogli su dobiti korijenske ovlasti

Opis: problem s referencama naziva priključaka za Mach riješen je poboljšanom provjerom valjanosti.

CVE-2016-7661: Ian Beer (Google Project Zero)

Sigurnost

Dostupno za: macOS Sierra 10.12.1

Učinak: napadač je mogao iskoristiti slabosti kriptografskog algoritma 3DES

Opis: 3DES je uklonjen kao zadana šifra.

CVE-2016-4693: Gaëtan Leurent i Karthikeyan Bhargavan (INRIA Paris)

Sigurnost

Dostupno za: macOS Sierra 10.12.1

Učinak: napadači s mrežnim ovlastima mogli su izazvati odbijanje usluge

Opis: u rukovanju URL-ovima OCSP respondera otkriven je problem s provjerom valjanosti. Taj je problem riješen potvrdom statusa opoziva OCSP-a nakon provjere valjanosti izdavača certifikata i ograničavanjem broja zahtjeva za OCSP po certifikatu.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Sigurnost

Dostupno za: macOS Sierra 10.12.1

Učinak: moguća je neočekivana procjena certifikata kao pouzdanih

Opis: u provjeri valjanosti certifikata otkriven je problem s procjenom certifikata. Taj je problem riješen dodatnom provjerom valjanosti certifikata.

CVE-2016-7662: Apple

syslog

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni korisnici mogli su dobiti korijenske ovlasti

Opis: problem s referencama naziva priključaka za Mach riješen je poboljšanom provjerom valjanosti.

CVE-2016-7660: Ian Beer (Google Project Zero)

Wi-Fi

Dostupno za: macOS Sierra 10.12.1

Učinak: lokalni korisnik može pregledavati povjerljive korisničke informacije

Opis: konfiguracija mreže bila je neočekivano globalna. Taj je problem riješen premještanjem osjetljive konfiguracije mreže u postavke svakog korisnika.

CVE-2016-7761: Peter Loos, Karlsruhe, Njemačka

Unos dodan 24. siječnja 2017.

xar

Dostupno za: macOS Sierra 10.12.1

Učinak: otvaranje zlonamjerno stvorene arhive može uzrokovati izvršavanje proizvoljnog koda

Opis: upotreba neinicijalizirane varijable riješena je poboljšanom provjerom valjanosti.

CVE-2016-7742: Gareth Evans iz tvrtke Context Information Security

Unos dodan 10. siječnja 2017.

macOS Sierra 10.12.2, sigurnosno ažuriranje 2016-003 El Capitan i sigurnosno ažuriranje 2016-007 Yosemite uključuje sigurnosni sadržaj Safari 10.0.2.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: