Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.
Az OS X El Capitan 10.11.5 és a 2016-003-as biztonsági frissítés
AMD
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1792 : beist és ABH (BoB)
AMD
A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11 és újabb verziók.
Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória elrendezését.
Leírás: Egy hiba miatt felfedhető volt a kernelmemória tartalma. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2016-1791 : daybreaker (Minionz)
apache_mod_php
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A PHP több biztonsági rése
Leírás: Több biztonsági rés állt fenn a PHP 5.5.34-esnél korábbi verzióiban. A PHP 5.5.34-es verzióra való frissítésével hárították el a problémákat.
CVE-azonosító
CVE-2015-8865
CVE-2016-3141
CVE-2016-3142
CVE-2016-4070
CVE-2016-4071
CVE-2016-4072
CVE-2016-4073
AppleGraphicsControl
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-azonosító
CVE-2016-1793 : Ian Beer (Google Project Zero)
CVE-2016-1794 : Ian Beer (Google Project Zero)
AppleGraphicsPowerManagement
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1795 : Moony Li (@Flyic) és Jack Tang (@jacktang310 [Trend Micro])
ATS
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy határértéket túllépő memóriaelérési problémát.
CVE-azonosító
CVE-2016-1796 : lokihardt, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
ATS
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Egy hiba állt fenn a sandbox-házirendben. A FontValidator sandboxba helyezésével hárították el a problémát.
CVE-azonosító
CVE-2016-1797 : lokihardt, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Hang
A következőkhöz érhető el: OS X Yosemite 10.10.5 és OS X El Capitan 10.11 és újabb verziók.
Érintett terület: Az alkalmazások szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-azonosító
CVE-2016-1798 : Juwei Lin (TrendMicro)
Hang
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1799 : Juwei Lin (TrendMicro)
Captive Network Assistant
A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11 és újabb verziók.
Érintett terület: Felhasználói segítséggel a magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy egyedi URL-sémakezelési hibát.
CVE-azonosító
CVE-2016-1800 : Apple
CFNetwork proxyk
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Adatszivárgás lépett fel a HTTP- és HTTPS-kérelmek kezelésekor. Az URL-ek hatékonyabb kezelésével hárították el a problémát.
CVE-azonosító
CVE-2016-1801 : Alex Chapman és Paul Stone (Context Information Security)
CommonCrypto
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Egy hiba lépett fel a visszatérési értékek CCCryptben történő kezelésekor. Hatékonyabb kulcshossz-kezeléssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2016-1802 : Klaus Rodewig
CoreCapture
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-azonosító
CVE-2016-1803 : Ian Beer (Google Project Zero), daybreaker, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CoreStorage
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: További korlátozásokkal elhárítottak egy konfigurációs hibát.
CVE-azonosító
CVE-2016-1805 : Stefan Esser
Crash Reporter
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: További korlátozásokkal elhárítottak egy konfigurációs hibát.
CVE-azonosító
CVE-2016-1806 : lokihardt, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Lemezképek
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: Előfordult, hogy a helyi támadók olvasni tudták a kernelmemóriát.
Leírás: Hatékonyabb zárolás révén elhárítottak egy versenyhelyzeti problémát.
CVE-azonosító
CVE-2016-1807 : Ian Beer (Google Project Zero)
Lemezképek
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Memóriasérülést okozó hiba lépett fel a lemezképek elemzésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2016-1808 : Moony Li (@Flyic) és Jack Tang (@jacktang310 [Trend Micro])
Lemezkezelő
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A Lemezkezelő nem tömörítette és nem titkosította a lemezképeket.
Leírás: Helytelen kulcsokkal ment végbe a lemezképek titkosítása. A titkosítási kulcsok frissítésével hárították el a problémát.
CVE-azonosító
CVE-2016-1809 : Ast A. Moore (@astamoore) és David Foster (TechSmartKids)
Grafikus illesztőprogramok
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-azonosító
CVE-2016-1810 : Moony Li (@Flyic) és Jack Tang (@jacktang310 [Trend Micro])
ImageIO
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-azonosító
CVE-2016-1811 : Lander Brandt (@landaire)
Intel grafikus illesztőprogram
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy puffertúlcsordulást okozó problémát.
CVE-azonosító
CVE-2016-1812 : Juwei Lin (TrendMicro)
Intel grafikus illesztőprogram
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória elrendezését.
Leírás: További korlátozásokkal elhárítottak több hozzáférési hibát.
CVE-azonosító
CVE-2016-1860 : Brandon Azad és Qidan He (@flanker_hqd, KeenLab, Tencent)
CVE-2016-1862 : Marco Grassi (@marcograss, KeenLab [@keen_lab], Tencent)
IOAcceleratorFamily
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: Az alkalmazások szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb zárolással elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-azonosító
CVE-2016-1814 : Juwei Lin (TrendMicro)
IOAcceleratorFamily
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-azonosító
CVE-2016-1815 : Liang Chen, Qidan He (KeenLab), Tencent, a Trend Micro kezdeményezésének közreműködőjeként
CVE-2016-1817 : Moony Li (@Flyic) és Jack Tang (@jacktang310, Trend Micro), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2016-1818: Juwei Lin (TrendMicro), sweetchip@GRAYHASH, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2016-1819 : Ian Beer (Google Project Zero)
Bejegyzés frissítve 2016. december 13-án.
IOAcceleratorFamily
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-azonosító
CVE-2016-1813 : Ian Beer (Google Project Zero)
CVE-2016-1816 : Peter Pi (@heisecode, Trend Micro) és Juwei Lin (Trend Micro)
IOAudioFamily
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltek egy puffertúlcsordulást okozó problémát.
CVE-azonosító
CVE-2016-1820 : Moony Li (@Flyic) és Jack Tang (@jacktang310, Trend Micro), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
IOAudioFamily
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-azonosító
CVE-2016-1821 : Ian Beer (Google Project Zero)
IOFireWireFamily
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1822 : CESG
IOHIDFamily
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1823 : Ian Beer (Google Project Zero)
CVE-2016-1824 : Marco Grassi (@marcograss) (KeenLab [@keen_lab], Tencent)
CVE-2016-4650 : Peter Pi (Trend Micro; a HP Zero Day Initiative kezdeményezésének közreműködőjeként)
IOHIDFamily
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-azonosító
CVE-2016-1825 : Brandon Azad
Kernel
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-azonosító
CVE-2016-1827 : Brandon Azad
CVE-2016-1828 : Brandon Azad
CVE-2016-1829 : CESG
CVE-2016-1830 : Brandon Azad
CVE-2016-1831 : Brandon Azad
Kernel
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás Egészszám-túlcsordulási probléma lépett fel a dtrace esetén. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-azonosító
CVE-2016-1826 : Ben Murphy, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
libc
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A helyi támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1832 : Karl Williamson
libxml2
A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11 és újabb verziók.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-azonosító
CVE-2016-1833 : Mateusz Jurczyk
CVE-2016-1834 : Apple
CVE-2016-1835 : Wei Lei és Liu Yang (Nanyang Technological University)
CVE-2016-1836 : Wei Lei és Liu Yang (Nanyang Technological University)
CVE-2016-1837 : Wei Lei és Liu Yang (Nanyang Technological University)
CVE-2016-1838 : Mateusz Jurczyk
CVE-2016-1839 : Mateusz Jurczyk
CVE-2016-1840 : Kostya Serebryany
libxslt
A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11 és újabb verziók.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1841 : Sebastian Apelt
MapKit
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: A megosztott hivatkozások továbbítása HTTPS helyett HTTP segítségével ment végbe. Azáltal hárították el a problémát, hogy engedélyezték a HTTPS-t a megosztott hivatkozásoknál.
CVE-azonosító
CVE-2016-1842 : Richard Shupak (https://www.linkedin.com/in/rshupak)
Üzenetek
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A rosszindulatú kiszolgálók és felhasználók módosítani tudták más felhasználók kontaktlistáját.
Leírás: Egy érvényesítési hiba lépett fel a névsor módosításakor. A névsorcsoportok hatékonyabb ellenőrzésével hárították el a problémát.
CVE-azonosító
CVE-2016-1844 : Thijs Alkemade (Computest)
Üzenetek
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A távoli támadók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Egy kódolási hiba lépett fel a fájlnevek elemzésekor. Hatékonyabb fájlnévkódolással küszöbölték ki a problémát.
CVE-azonosító
CVE-2016-1843 : Heige (más néven SuperHei; Knownsec 404 Security Team [http://www.knownsec.com])
Multi-Touch
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1804 : Liang Chen, Yubin Fu, Marco Grassi (KeenLab), Tencent, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
NVIDIA grafikus illesztőprogramok
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-azonosító
CVE-2016-1846 : Ian Beer (Google Project Zero)
CVE-2016-1861 : Ian Beer (Google Project Zero)
OpenGL
A következőkhöz érhető el: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 és OS X El Capitan 10.11 és újabb verziók.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-azonosító
CVE-2016-1847 : Tongbo Luo és Bo Qu (Palo Alto Networks)
QuickTime
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok megnyitásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1848 : Francis Provencher (COSIG)
SceneKit
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok megnyitásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-azonosító
CVE-2016-1850 : Tyler Bohan (Cisco Talos)
Kijelzőzár
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A zárolt képernyőről vissza tudtak állítani lejárt jelszavakat azok, akik fizikai hozzáféréssel rendelkeztek egy számítógéphez.
Leírás: Egy hiba lépett fel a jelszóprofilok kezelésekor. A jelszó-visszaállítás hatékonyabb kezelésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2016-1851: anonim kutató
Tcl
A következőkhöz érhető el: OS X El Capitan 10.11 és újabb verziók.
Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Az SSLv2 letiltásával elhárítottak egy protokoll-biztonsági hibát.
CVE-azonosító
CVE-2016-1853 : A Tel Aviv University, a Münster University of Applied Sciences, a Ruhr University Bochum, a University of Pennsylvania, a Hashcat projekt, a University of Michigan, a Two Sigma, a Google és az OpenSSL projekt kutatói: Nimrod Aviram, Sebastian Schinzel, Juraj Somorovsky, Nadia Heninger, Maik Dankel, Jens Steube, Luke Valenta, David Adrian, J. Alex Halderman, Viktor Dukhovni, Emilia Käsper, Shaanan Cohney, Susanne Engels, Christof Paar és Yuval Shavitt
Az OS X El Capitan 10.11.5 magában foglalja a Safari 9.1.1 biztonsági tartalmát.