Informazioni sui contenuti di sicurezza di macOS Sierra 10.12.2, dell'aggiornamento di sicurezza 2016-003 per El Capitan e dell'aggiornamento di sicurezza 2016-007 per Yosemite
In questo documento vengono descritti i contenuti di sicurezza di macOS Sierra 10.12.2, dell'aggiornamento di sicurezza 2016-003 per El Capitan e dell'aggiornamento di sicurezza 2016-007 per Yosemite.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.
Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
macOS Sierra 10.12.2, aggiornamento di sicurezza 2016-003 per El Capitan e aggiornamento di sicurezza 2016-007 per Yosemite
apache_mod_php
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: nelle versioni di PHP precedenti alla 5.6.26 esistevano diversi problemi, che stati risolti con l'aggiornamento a PHP 5.6.26.
CVE-2016-7411
CVE-2016-7412
CVE-2016-7413
CVE-2016-7414
CVE-2016-7416
CVE-2016-7417
CVE-2016-7418
AppleGraphicsPowerManagement
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale può causare un'interruzione del servizio.
Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-7609: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro
Risorse
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente malintenzionato locale può modificare le risorse mobili scaricate.
Descrizione: si verificava un problema di autorizzazioni nelle risorse mobili, che è stato risolto attraverso migliori restrizioni di accesso.
CVE-2016-7628: Marcel Bresink di Marcel Bresink Software-Systeme
Audio
Disponibile per: macOS Sierra 10.12.1
Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-7658: Haohao Kong di Keen Lab (@keen_lab) di Tencent
CVE-2016-7659: Haohao Kong di Keen Lab (@keen_lab) di Tencent
Bluetooth
Disponibile per: macOS Sierra 10.12.1, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa e Marko Laakso di Synopsys Software Integrity Group
Bluetooth
Disponibile per: macOS Sierra 10.12.1
Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio.
Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-7605: daybreaker di Minionz
Bluetooth
Disponibile per: macOS Sierra 10.12.1
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7617: Radu Motspan in collaborazione con Zero Day Initiative di Trend Micro, Ian Beer di Google Project Zero
CoreCapture
Disponibile per: macOS Sierra 10.12.1 e OS X El Capitan 10.11.6
Impatto: un utente locale può causare un'interruzione del servizio.
Descrizione: un problema nella dereferenziazione del puntatore null è stato risolto attraverso una migliore gestione dello stato.
CVE-2016-7604: daybreaker di Minionz
CoreFoundation
Disponibile per: macOS Sierra 10.12.1
Impatto: l'elaborazione di stringhe dannose può causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di danneggiamento della memoria nell'elaborazione delle stringhe, che è stato risolto attraverso un migliore controllo dei limiti.
CVE-2016-7663: un ricercatore anonimo
CoreGraphics
Disponibile per: macOS Sierra 10.12.1
Impatto: l'elaborazione di un file di font dannoso può causare la chiusura improvvisa dell'applicazione.
Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM
Display esterni CoreMedia
Disponibile per: macOS Sierra 10.12.1
Impatto: un'applicazione locale può essere in grado di eseguire codice arbitrario nel contesto di un daemon mediaserver.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7655: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro
CoreMedia Playback
Disponibile per: macOS Sierra 10.12.1
Impatto: l'elaborazione di un file .mp4 dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7588: dragonltx di Huawei 2012 Laboratories
CoreStorage
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale può causare un'interruzione del servizio.
Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-7603: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro
CoreText
Disponibile per: macOS Sierra 10.12.1
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificavano diversi problemi di danneggiamento della memoria nella gestione dei file di font, che sono stati risolti attraverso un migliore controllo dei limiti.
CVE-2016-7595: riusksk(泉哥) di Tencent Security Platform Department
CoreText
Disponibile per: macOS Sierra 10.12.1
Impatto: l'elaborazione di una stringa dannosa può causare una negazione del servizio.
Descrizione: un errore durante il rendering dei range sovrapposti è stato risolto grazie a una migliore convalida.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) di Digital Unit (dgunit.com)
curl
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: diversi problemi presenti in curl, che sono stati risolti con l'aggiornamento di curl alla versione 7.51.0.
CVE-2016-5419
CVE-2016-5420
CVE-2016-5421
CVE-2016-7141
CVE-2016-7167
CVE-2016-8615
CVE-2016-8616
CVE-2016-8617
CVE-2016-8618
CVE-2016-8619
CVE-2016-8620
CVE-2016-8621
CVE-2016-8622
CVE-2016-8623
CVE-2016-8624
CVE-2016-8625
Servizi di directory
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale può essere in grado di ottenere privilegi root.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7633: Ian Beer di Google Project Zero
Immagini del disco
Disponibile per: macOS Sierra 10.12.1
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-7616: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro
FontParser
Disponibile per: macOS Sierra 10.12.1
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificavano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi sono stati risolti attraverso un migliore controllo dei limiti.
CVE-2016-4691: riusksk(泉哥) di Tencent Security Platform Department
Foundation
Disponibile per: macOS Sierra 10.12.1
Impatto: l'apertura di un file .gcx dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-7618: riusksk(泉哥) di Tencent Security Platform Department
Grapher
Disponibile per: macOS Sierra 10.12.1
Impatto: l'apertura di un file .gcx dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-7622: riusksk(泉哥) di Tencent Security Platform Department
ICU
Disponibile per: macOS Sierra 10.12.1
Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7594: André Bargull
ImageIO
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente malintenzionato remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso il miglioramento del controllo dei limiti.
CVE-2016-7643: Yangkang (@dnpushme) di Qihoo360 Qex Team
Driver Intel Graphics
Disponibile per: macOS Sierra 10.12.1
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-7602: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro
IOFireWireFamily
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente malintenzionato locale può essere in grado di leggere la memoria del kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7608: Brandon Azad
IOAcceleratorFamily
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7624: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro
IOHIDFamily
Disponibile per: macOS Sierra 10.12.1
Impatto: un'applicazione locale con privilegi di sistema può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7591: daybreaker di Minionz
IOKit
Disponibile per: macOS Sierra 10.12.1
Impatto: un'applicazione può essere in grado di leggere la memoria del kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-7657: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro
IOKit
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7625: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro
IOKit
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7714: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro
IOSurface
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7620: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro
Kernel
Disponibile per: macOS Sierra 10.12.1
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2016-7606: @cocoahuke, Chen Qin di Topsec Alpha Team (topsec.com)
CVE-2016-7612: Ian Beer di Google Project Zero
Kernel
Disponibile per: macOS Sierra 10.12.1
Impatto: un'applicazione può essere in grado di leggere la memoria del kernel.
Descrizione: un problema di inizializzazione insufficiente è stato risolto tramite l'inizializzazione corretta della memoria restituita allo spazio utente.
CVE-2016-7607: Brandon Azad
Kernel
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale può causare un'interruzione del servizio.
Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7615: National Cyber Security Centre (NCSC) nel Regno Unito
Kernel
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale può riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7621: Ian Beer di Google Project Zero
Kernel
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale può essere in grado di ottenere privilegi root.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-7637: Ian Beer di Google Project Zero
Kernel
Disponibile per: macOS Sierra 10.12.1
Impatto: un'applicazione locale con privilegi di sistema può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-7644: Ian Beer di Google Project Zero
Kernel
Disponibile per: macOS Sierra 10.12.1
Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio
Descrizione: un DoS viene risolto attraverso una migliore gestione della memoria.
CVE-2016-7647: Lufeng Li di Qihoo 360 Vulcan Team
Strumenti kext
Disponibile per: macOS Sierra 10.12.1
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-7629: @cocoahuke
libarchive
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente malintenzionato locale può essere in grado di sovrascrivere i file esistenti.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Il problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2016-7619: un ricercatore anonimo
LibreSSL
Disponibile per: macOS Sierra 10.12.1 e OS X El Capitan 10.11.6
Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può causare un'interruzione del servizio.
Descrizione: un problema di interruzione del servizio nella crescita di OCSP illimitata è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-6304
OpenLDAP
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente malintenzionato può essere in grado di sfruttare le debolezze dell'algoritmo crittografico RC4.
Descrizione: RC4 è stato rimosso come crittografia di default.
CVE-2016-1777: Pepi Zawodsky
OpenPAM
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale senza privilegi può ottenere l'accesso ad applicazioni privilegiate.
Descrizione: l'autenticazione PAM nelle applicazioni sandbox non riusciva in modo non protetto. Il problema è stato risolto attraverso una migliore gestione degli errori.
CVE-2016-7600: Perette Barella di DeviousFish.com
OpenSSL
Disponibile per: macOS Sierra 10.12.1
Impatto: un'applicazione può eseguire codice arbitrario
Descrizione: si verificava un problema di overflow in MDC2_Update(), che è stato risolto attraverso una migliore convalida dell'input.
CVE-2016-6303
OpenSSL
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può causare un'interruzione del servizio.
Descrizione: un problema di interruzione del servizio nella crescita di OCSP illimitata è stato risolto attraverso una migliore gestione della memoria.
CVE-2016-6304
Gestione dell'energia
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale può essere in grado di ottenere privilegi root.
Descrizione: un problema nei riferimenti dei nomi mach port è stato risolto attraverso una migliore convalida.
CVE-2016-7661: Ian Beer di Google Project Zero
Sicurezza
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente malintenzionato può essere in grado di sfruttare le debolezze dell'algoritmo di crittografia 3DES.
Descrizione: 3DES è stato rimosso come crittografia di default.
CVE-2016-4693: Gaëtan Leurent e Karthikeyan Bhargavan di INRIA Parigi
Sicurezza
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può essere in grado di causare un'interruzione del servizio.
Descrizione: si verificava un problema di convalida nella gestione degli URL del responder OCSP. Il problema è stato risolto verificando lo stato della revoca OCSP dopo la convalida della CA e limitando il numero di richieste OCSP per certificato.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Sicurezza
Disponibile per: macOS Sierra 10.12.1
Impatto: i certificati possono essere inaspettatamente valutati come attendibili.
Descrizione: si verificava un problema di valutazione dei certificati nella convalida dei certificati, che è stato risolto attraverso un'ulteriore convalida dei certificati.
CVE-2016-7662: Apple
syslog
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale può essere in grado di ottenere privilegi root.
Descrizione: un problema nei riferimenti dei nomi mach port è stato risolto attraverso una migliore convalida.
CVE-2016-7660: Ian Beer di Google Project Zero
Wi-Fi
Disponibile per: macOS Sierra 10.12.1
Impatto: un utente locale può essere in grado di visualizzare informazioni sensibili sulla configurazione di rete.
Descrizione: configurazione di rete globale in modo imprevisto. Il problema è stato risolto spostando la configurazione di rete sensibile nelle impostazioni per utente.
CVE-2016-7761: Peter Loos, Karlsruhe, Germania
xar
Disponibile per: macOS Sierra 10.12.1
Impatto: l'apertura di un archivio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: l'uso di una variabile non inizializzata è stato risolto attraverso una convalida migliorata.
CVE-2016-7742: Gareth Evans di Context Information Security
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.