Informazioni sui contenuti di sicurezza di macOS Sierra 10.12.2, dell'aggiornamento di sicurezza 2016-003 per El Capitan e dell'aggiornamento di sicurezza 2016-007 per Yosemite

In questo documento vengono descritti i contenuti di sicurezza di macOS Sierra 10.12.2, dell'aggiornamento di sicurezza 2016-003 per El Capitan e dell'aggiornamento di sicurezza 2016-007 per Yosemite.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

macOS Sierra 10.12.2, aggiornamento di sicurezza 2016-003 per El Capitan e aggiornamento di sicurezza 2016-007 per Yosemite

apache_mod_php

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: nelle versioni di PHP precedenti alla 5.6.26 esistevano diversi problemi, che stati risolti con l'aggiornamento a PHP 5.6.26.

CVE-2016-7411

CVE-2016-7412

CVE-2016-7413

CVE-2016-7414

CVE-2016-7416

CVE-2016-7417

CVE-2016-7418

AppleGraphicsPowerManagement

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può causare un'interruzione del servizio.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7609: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro

Risorse

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente malintenzionato locale può modificare le risorse mobili scaricate.

Descrizione: si verificava un problema di autorizzazioni nelle risorse mobili, che è stato risolto attraverso migliori restrizioni di accesso.

CVE-2016-7628: Marcel Bresink di Marcel Bresink Software-Systeme

Audio

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7658: Haohao Kong di Keen Lab (@keen_lab) di Tencent

CVE-2016-7659: Haohao Kong di Keen Lab (@keen_lab) di Tencent

Bluetooth

Disponibile per: macOS Sierra 10.12.1, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa e Marko Laakso di Synopsys Software Integrity Group

Bluetooth

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7605: daybreaker di Minionz

Bluetooth

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7617: Radu Motspan in collaborazione con Zero Day Initiative di Trend Micro, Ian Beer di Google Project Zero

CoreCapture

Disponibile per: macOS Sierra 10.12.1 e OS X El Capitan 10.11.6

Impatto: un utente locale può causare un'interruzione del servizio.

Descrizione: un problema nella dereferenziazione del puntatore null è stato risolto attraverso una migliore gestione dello stato.

CVE-2016-7604: daybreaker di Minionz

CoreFoundation

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di stringhe dannose può causare la chiusura improvvisa di un'applicazione o l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di danneggiamento della memoria nell'elaborazione delle stringhe, che è stato risolto attraverso un migliore controllo dei limiti.

CVE-2016-7663: un ricercatore anonimo

CoreGraphics

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di un file di font dannoso può causare la chiusura improvvisa dell'applicazione.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

Display esterni CoreMedia

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione locale può essere in grado di eseguire codice arbitrario nel contesto di un daemon mediaserver.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7655: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro

CoreMedia Playback

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di un file .mp4 dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7588: dragonltx di Huawei 2012 Laboratories

CoreStorage

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può causare un'interruzione del servizio.

Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7603: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro

CoreText

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificavano diversi problemi di danneggiamento della memoria nella gestione dei file di font, che sono stati risolti attraverso un migliore controllo dei limiti.

CVE-2016-7595: riusksk(泉哥) di Tencent Security Platform Department

CoreText

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di una stringa dannosa può causare una negazione del servizio.

Descrizione: un errore durante il rendering dei range sovrapposti è stato risolto grazie a una migliore convalida.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) di Digital Unit (dgunit.com)

curl

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può essere in grado di divulgare informazioni riservate degli utenti.

Descrizione: diversi problemi presenti in curl, che sono stati risolti con l'aggiornamento di curl alla versione 7.51.0.

CVE-2016-5419

CVE-2016-5420

CVE-2016-5421

CVE-2016-7141

CVE-2016-7167

CVE-2016-8615

CVE-2016-8616

CVE-2016-8617

CVE-2016-8618

CVE-2016-8619

CVE-2016-8620

CVE-2016-8621

CVE-2016-8622

CVE-2016-8623

CVE-2016-8624

CVE-2016-8625

Servizi di directory

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7633: Ian Beer di Google Project Zero

Immagini del disco

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7616: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro

FontParser

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificavano diversi problemi di danneggiamento della memoria nella gestione dei file di font. Questi problemi sono stati risolti attraverso un migliore controllo dei limiti.

CVE-2016-4691: riusksk(泉哥) di Tencent Security Platform Department

Foundation

Disponibile per: macOS Sierra 10.12.1

Impatto: l'apertura di un file .gcx dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7618: riusksk(泉哥) di Tencent Security Platform Department

Grapher

Disponibile per: macOS Sierra 10.12.1

Impatto: l'apertura di un file .gcx dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7622: riusksk(泉哥) di Tencent Security Platform Department

ICU

Disponibile per: macOS Sierra 10.12.1

Impatto: l'elaborazione di contenuti web pericolosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7594: André Bargull

ImageIO

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente malintenzionato remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso il miglioramento del controllo dei limiti.

CVE-2016-7643: Yangkang (@dnpushme) di Qihoo360 Qex Team

Driver Intel Graphics

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7602: daybreaker@Minionz in collaborazione con Zero Day Initiative di Trend Micro

IOFireWireFamily

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente malintenzionato locale può essere in grado di leggere la memoria del kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7608: Brandon Azad

IOAcceleratorFamily

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7624: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro

IOHIDFamily

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione locale con privilegi di sistema può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7591: daybreaker di Minionz

IOKit

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può essere in grado di leggere la memoria del kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7657: Keen Lab in collaborazione con Zero Day Initiative di Trend Micro

IOKit

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7625: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro

IOKit

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7714: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro

IOSurface

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di memoria condivisa è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7620: Qidan He (@flanker_hqd) di KeenLab in collaborazione con Zero Day Initiative di Trend Micro

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2016-7606: @cocoahuke, Chen Qin di Topsec Alpha Team (topsec.com)

CVE-2016-7612: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può essere in grado di leggere la memoria del kernel.

Descrizione: un problema di inizializzazione insufficiente è stato risolto tramite l'inizializzazione corretta della memoria restituita allo spazio utente.

CVE-2016-7607: Brandon Azad

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può causare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7615: National Cyber Security Centre (NCSC) nel Regno Unito

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può riuscire a causare una chiusura improvvisa del sistema o l'esecuzione di codice arbitrario nel kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7621: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7637: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione locale con privilegi di sistema può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-7644: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio

Descrizione: un DoS viene risolto attraverso una migliore gestione della memoria.

CVE-2016-7647: Lufeng Li di Qihoo 360 Vulcan Team

Strumenti kext

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-7629: @cocoahuke

libarchive

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente malintenzionato locale può essere in grado di sovrascrivere i file esistenti.

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Il problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2016-7619: un ricercatore anonimo

LibreSSL

Disponibile per: macOS Sierra 10.12.1 e OS X El Capitan 10.11.6

Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può causare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio nella crescita di OCSP illimitata è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-6304

OpenLDAP

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente malintenzionato può essere in grado di sfruttare le debolezze dell'algoritmo crittografico RC4.

Descrizione: RC4 è stato rimosso come crittografia di default.

CVE-2016-1777: Pepi Zawodsky

OpenPAM

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale senza privilegi può ottenere l'accesso ad applicazioni privilegiate.

Descrizione: l'autenticazione PAM nelle applicazioni sandbox non riusciva in modo non protetto. Il problema è stato risolto attraverso una migliore gestione degli errori.

CVE-2016-7600: Perette Barella di DeviousFish.com

OpenSSL

Disponibile per: macOS Sierra 10.12.1

Impatto: un'applicazione può eseguire codice arbitrario

Descrizione: si verificava un problema di overflow in MDC2_Update(), che è stato risolto attraverso una migliore convalida dell'input.

CVE-2016-6303

OpenSSL

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può causare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio nella crescita di OCSP illimitata è stato risolto attraverso una migliore gestione della memoria.

CVE-2016-6304

Gestione dell'energia

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema nei riferimenti dei nomi mach port è stato risolto attraverso una migliore convalida.

CVE-2016-7661: Ian Beer di Google Project Zero

Sicurezza

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente malintenzionato può essere in grado di sfruttare le debolezze dell'algoritmo di crittografia 3DES.

Descrizione: 3DES è stato rimosso come crittografia di default.

CVE-2016-4693: Gaëtan Leurent e Karthikeyan Bhargavan di INRIA Parigi

Sicurezza

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente malintenzionato con una posizione privilegiata sulla rete può essere in grado di causare un'interruzione del servizio.

Descrizione: si verificava un problema di convalida nella gestione degli URL del responder OCSP. Il problema è stato risolto verificando lo stato della revoca OCSP dopo la convalida della CA e limitando il numero di richieste OCSP per certificato.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Sicurezza

Disponibile per: macOS Sierra 10.12.1

Impatto: i certificati possono essere inaspettatamente valutati come attendibili.

Descrizione: si verificava un problema di valutazione dei certificati nella convalida dei certificati, che è stato risolto attraverso un'ulteriore convalida dei certificati.

CVE-2016-7662: Apple

syslog

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di ottenere privilegi root.

Descrizione: un problema nei riferimenti dei nomi mach port è stato risolto attraverso una migliore convalida.

CVE-2016-7660: Ian Beer di Google Project Zero

Wi-Fi

Disponibile per: macOS Sierra 10.12.1

Impatto: un utente locale può essere in grado di visualizzare informazioni sensibili sulla configurazione di rete.

Descrizione: configurazione di rete globale in modo imprevisto. Il problema è stato risolto spostando la configurazione di rete sensibile nelle impostazioni per utente.

CVE-2016-7761: Peter Loos, Karlsruhe, Germania

xar

Disponibile per: macOS Sierra 10.12.1

Impatto: l'apertura di un archivio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: l'uso di una variabile non inizializzata è stato risolto attraverso una convalida migliorata.

CVE-2016-7742: Gareth Evans di Context Information Security