Over de beveiligingsinhoud van macOS Sierra 10.12

In dit document wordt de beveiligingsinhoud van macOS Sierra 10.12 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van zijn klanten onthult, bespreekt of bevestigt Apple geen beveiligingsproblemen totdat een onderzoek heeft plaatsgevonden en er patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

macOS Sierra 10.12

Uitgebracht op 20 september 2016

apache

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een externe aanvaller kan verkeer via een willekeurige proxyserver routeren

Beschrijving: er was een probleem bij de verwerking van de HTTP_PROXY-omgevingsvariabele. Dit probleem is verholpen door de HTTP_PROXY-omgevingsvariabele van CGI niet in te stellen.

CVE-2016-4694: Dominic Scheirlinck en Scott Geary van Vend

apache_mod_php

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: er zijn meerdere problemen in PHP, waarvan de belangrijkste kunnen leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: meerdere problemen in PHP zijn verholpen door PHP bij te werken naar versie 5.6.24.

CVE-2016-5768

CVE-2016-5769

CVE-2016-5770

CVE-2016-5771

CVE-2016-5772

CVE-2016-5773

CVE-2016-6174

CVE-2016-6288

CVE-2016-6289

CVE-2016-6290

CVE-2016-6291

CVE-2016-6292

CVE-2016-6294

CVE-2016-6295

CVE-2016-6296

CVE-2016-6297

Apple HSSPI Support

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4697: Qidan He (@flanker_hqd) van KeenLab in samenwerking met het Zero Day Initiative van Trend Micro

AppleEFIRuntime

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een null pointer-dereferentieprobleem is verholpen door verbeterde invoervalidatie.

CVE-2016-4696: Shrek_wzw van Qihoo 360 Nirvan Team

AppleMobileFileIntegrity

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een lokaal programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: er was een validatieprobleem in het taakpoortovernamebeleid. Dit probleem is verholpen door een verbeterde validatie van de procesbevoegdheid en Team ID.

CVE-2016-4698: Pedro Vilaça

AppleUUC

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.

CVE-2016-4699: Jack Tang (@jacktang310) en Moony Li van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2016-4700: Jack Tang (@jacktang310) en Moony Li van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Programma-firewall

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een lokale gebruiker kan een denial of service veroorzaken

Beschrijving: er was een validatieprobleem bij de verwerking van firewallprompts. Dit probleem is verholpen door een verbeterde validatie van SO_EXECPATH.

CVE-2016-4701: Meder Kydyraliev Google Security Team

ATS

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4779: riusksk van Tencent Security Platform Department

Audio

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een externe aanvaller kan willekeurige code uitvoeren

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park en Taekyoung Kwon van Information Security Lab, Yonsei University.

Bluetooth

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2016-4703: Juwei Lin (@fuzzerDOTcn) van Trend Micro

cd9660

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een lokale gebruiker kan zorgen voor denial of service van het systeem

Beschrijving: een probleem met invoervalidatie is verholpen door een verbeterde geheugenverwerking.

CVE-2016-4706: Recurity Labs in naam van BSI (German Federal Office for Information Security)

CFNetwork

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een lokale gebruiker kan door een gebruiker bezochte websites ontdekken

Beschrijving: er was een probleem met de verwijdering van lokale opslag. Dit probleem is verholpen door een verbeterde opschoning van de lokale opslag.

CVE-2016-4707: een anonieme onderzoeker

CFNetwork

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gebruikersgegevens in gevaar brengen

Beschrijving: er was een probleem met de invoervalidatie bij het parseren van de Set-Cookie-header. Dit probleem is verholpen door een verbeterde controle van de validatie.

CVE-2016-4708: Dawid Czagan van Silesia Security Lab

CommonCrypto

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma dat CCrypt gebruikt, kan vertrouwelijke platte tekst vrijgeven als de uitvoer- en invoerbuffer hetzelfde zijn

Beschrijving: er was een probleem met de invoervalidatie in corecrypto. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2016-4711: Max Lohrmann

CoreCrypto

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan willekeurige code uitvoeren

Beschrijving: een out-of-bounds schrijfprobleem is verholpen door de kwetsbare code te verwijderen.

CVE-2016-4712: Gergo Koteles

CoreDisplay

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een gebruiker met toegang tot schermdeling kan het scherm van een andere gebruiker bekijken

Beschrijving: er was een probleem met sessiebeheer bij de verwerking van schermdelingsessies. Dit probleem is verholpen door verbeterde sessietracking.

CVE-2016-4713: Ruggero Alberti

curl

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: meerdere problemen in curl

Beschrijving: er waren meerdere beveiligingsproblemen in curl lager dan versie 7.49.1. Deze problemen zijn verholpen door curl bij te werken naar versie 7.49.1.

CVE-2016-0755: Isaac Boukris

Voorkeurenpaneel 'Datum en tijd'

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een schadelijk programma kan de huidige locatie van een gebruiker bepalen

Beschrijving: er was een probleem bij de verwerking van het .GlobalPreferences-bestand. Dit is verholpen door een verbeterde validatie.

CVE-2016-4715: Taiki (@Taiki__San) van ESIEA (Paris)

DiskArbitration

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: er was een probleem met toegang in diskutil. Dit probleem is verholpen door een verbeterde controle van de bevoegdheden.

CVE-2016-4716: Alexander Allen van The North Carolina School of Science and Mathematics

Bestandsbladwijzer

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een lokaal programma kan een denial of service veroorzaken

Beschrijving: er was een probleem met bronbeheer bij de verwerking van bij apps horende bladwijzers. Dit probleem is verholpen door een verbeterde verwerking van de bestandsbeschrijving.

CVE-2016-4717: Tom Bradley van 71Squared Ltd

FontParser

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-2016-4718: Apple

IDS - Connectiviteit

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een denial of service veroorzaken

Beschrijving: er was een probleem met vervalsing bij de verwerking van 'Bel via doorgifte'. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2016-4722: Martin Vigo (@martin_vigo) van salesforce.com

ImageIO

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een kwaadwillig vervaardigde afbeelding kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: er was een probleem met het lezen buiten het bereik bij parseren van SGI-afbeeldingen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-2016-4682: Ke Liu van het Xuanwu Lab van Tencent

Toegevoegd op 24 oktober 2016

Intel Graphics Driver

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4723: daybreaker van Minionz

Intel Graphics Driver

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: er is een use-after-free-probleem verholpen door een verbeterd geheugenbeheer.

CVE-2016-7582: Liang Chen van Tencent KeenLab

Toegevoegd op 14 november 2016

IOAcceleratorFamily

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een null pointer-dereferentieprobleem is verholpen door verbeterde invoervalidatie.

CVE-2016-4724: Cererdlong, Eakerqiu van Team OverSky

IOAcceleratorFamily

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2016-4725: Rodger Combs van Plex, Inc

IOAcceleratorFamily

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4726: een anonieme onderzoeker

IOThunderboltFamily

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4727: wmin in samenwerking met het Zero Day Initiative van Trend Micro

Kerberos v5 PAM-module

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een externe aanvaller kan het bestaan van gebruikersaccounts bepalen

Beschrijving: een timingzijkanaal stond een aanvaller toe om het bestaan van gebruikersaccounts op een systeem te bepalen. Dit probleem is verholpen door de introductie van constante tijdscontroles.

CVE-2016-4745: een anonieme onderzoeker

Kernel

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een lokaal programma kan mogelijk toegang verkrijgen tot beperkte bestanden

Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.

CVE-2016-4771: Balazs Bucsay, Research Director van MRG Effitas

Kernel

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een externe aanvaller kan mogelijk zorgen voor denial of service

Beschrijving: een probleem met de verwerking van de vergrendeling is verholpen door een verbeterde verwerking van de vergrendeling.

CVE-2016-4772: Marc Heuse van mh-sec

Kernel

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan de indeling van het kernelgeheugen bepalen

Beschrijving: er waren meerdere problemen met het lezen buiten het bereik die leidden tot de vrijgave van het kernelgeheugen. Deze zijn verholpen door een verbeterde invoervalidatie.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Kernel

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4775: Brandon Azad

Kernel

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een niet-vertrouwde pointer-dereferentie is verholpen door de aangetaste code te verwijderen.

CVE-2016-4777: Lufeng Li van Qihoo 360 Vulcan Team

Kernel

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4778: CESG

libarchive

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: er zijn meerdere problemen in libarchive

Beschrijving: er waren meerdere problemen met geheugenbeschadiging in libarchive. Deze problemen zijn verholpen door een verbeterde invoervalidatie.

CVE-2016-4736: Proteas van Qihoo 360 Nirvan Team

libxml2

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: er zijn meerdere problemen in libxml2, waarvan de belangrijkste kunnen leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

libxpc

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan mogelijk ontsnappen uit zijn sandbox

Beschrijving: er waren meerdere kwetsbaarheden bij het lanceren van nieuwe processen met launchctl. Deze problemen zijn verholpen door verbeterde handhaving van beleid.

CVE-2016-4617: Gregor Kopf van Recurity Labs namens BSI (German Federal Office for Information Security)

Toegevoegd op 24 oktober 2016

libxslt

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4738: Nick Wellnhofer

Mail

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een schadelijke website kan mogelijk denial of service veroorzaken

Beschrijving: een probleem met denial of service is verholpen door een verbeterde verwerking van URL's.

CVE-2016-7580: Sabri Haddouche (@pwnsdx)

Toegevoegd op 1 december 2016

mDNSResponder

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een externe aanvaller kan vertrouwelijke informatie bekijken

Beschrijving: door programma's die VMnet.framework gebruiken, kon een DNS-proxy luisteren naar activiteit van alle netwerkinterfaces. Dit probleem is verholpen door reacties op DNS-verzoeken te beperken tot lokale interfaces.

CVE-2016-4739: Magnus Skjegstad, David Scott en Anil Madhavapeddy van Docker, Inc.

NSSecureTextField

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een schadelijk programma kan de inloggegevens van een gebruiker vrijgeven

Beschrijving: er was een probleem met het statusbeheer in NSSecureTextField, waardoor de veilige invoer niet kon worden ingeschakeld. Dit probleem is verholpen door een verbeterd vensterbeheer.

CVE-2016-4742: Rick Fillion van AgileBits, Daniel Jalkut van Red Sweater Software

Perl

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een lokale gebruiker kan het taint-beveiligingsmechanisme omzeilen

Beschrijving: er was een probleem bij het parseren van omgevingsvariabelen. Dit probleem is verholpen door een verbeterde validatie van omgevingsvariabelen.

CVE-2016-4748: Stephane Chazelas

S2 Camera

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4750: Jack Tang (@jacktang310) en Moony Li van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Beveiliging

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een programma dat SecKeyDeriveFromPassword gebruikt, kan geheugen vrijgeven

Beschrijving: er was een probleem met het bronbeheer bij de verwerking van de sleutelafleiding. Dit probleem is verholpen door CF_RETURNS_RETAINED toe te voegen aan SecKeyDeriveFromPassword.

CVE-2016-4752: Mark Rogers van PowerMapper Software

Beveiliging

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: er was een validatieprobleem bij ondertekende schijfkopieën. Dit probleem is verholpen door een verbeterde validatie van de grootte.

CVE-2016-4753: Mark Mentovai van Google Inc.

Terminal

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie vrijgeven

Beschrijving: er was een probleem met de bevoegdheden in .bash_history en .bash_session. Dit probleem is verholpen door middel van verbeterde toegangsbeperkingen.

CVE-2016-4755: Axel Luttgens

WindowServer

Beschikbaar voor: OS X Lion v10.7.5 en hoger

Impact: een lokale gebruiker kan mogelijk rootbevoegdheden verkrijgen

Beschrijving: een probleem met verwarring van het type is verholpen door een verbeterde verwerking van het geheugen.

CVE-2016-4709: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2016-4710: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

Bijgewerkt op 15 november 2016

macOS Sierra 10.12 bevat de beveiligingsinhoud van Safari 10.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: