Over de beveiligingsinhoud van macOS Sierra 10.12
In dit document wordt de beveiligingsinhoud van macOS Sierra 10.12 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van zijn klanten onthult, bespreekt of bevestigt Apple geen beveiligingsproblemen totdat een onderzoek heeft plaatsgevonden en er patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
macOS Sierra 10.12
apache
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een externe aanvaller kan verkeer via een willekeurige proxyserver routeren
Beschrijving: er was een probleem bij de verwerking van de HTTP_PROXY-omgevingsvariabele. Dit probleem is verholpen door de HTTP_PROXY-omgevingsvariabele van CGI niet in te stellen.
CVE-2016-4694: Dominic Scheirlinck en Scott Geary van Vend
apache_mod_php
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: er zijn meerdere problemen in PHP, waarvan de belangrijkste kunnen leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
Beschrijving: meerdere problemen in PHP zijn verholpen door PHP bij te werken naar versie 5.6.24.
CVE-2016-5768
CVE-2016-5769
CVE-2016-5770
CVE-2016-5771
CVE-2016-5772
CVE-2016-5773
CVE-2016-6174
CVE-2016-6288
CVE-2016-6289
CVE-2016-6290
CVE-2016-6291
CVE-2016-6292
CVE-2016-6294
CVE-2016-6295
CVE-2016-6296
CVE-2016-6297
Apple HSSPI Support
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2016-4697: Qidan He (@flanker_hqd) van KeenLab in samenwerking met het Zero Day Initiative van Trend Micro
AppleEFIRuntime
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een null pointer-dereferentieprobleem is verholpen door verbeterde invoervalidatie.
CVE-2016-4696: Shrek_wzw van Qihoo 360 Nirvan Team
AppleMobileFileIntegrity
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een lokaal programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een validatieprobleem in het taakpoortovernamebeleid. Dit probleem is verholpen door een verbeterde validatie van de procesbevoegdheid en Team ID.
CVE-2016-4698: Pedro Vilaça
AppleUUC
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.
CVE-2016-4699: Jack Tang (@jacktang310) en Moony Li van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro
CVE-2016-4700: Jack Tang (@jacktang310) en Moony Li van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro
Programma-firewall
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een lokale gebruiker kan een denial of service veroorzaken
Beschrijving: er was een validatieprobleem bij de verwerking van firewallprompts. Dit probleem is verholpen door een verbeterde validatie van SO_EXECPATH.
CVE-2016-4701: Meder Kydyraliev Google Security Team
ATS
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2016-4779: riusksk van Tencent Security Platform Department
Audio
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een externe aanvaller kan willekeurige code uitvoeren
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park en Taekyoung Kwon van Information Security Lab, Yonsei University.
Bluetooth
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2016-4703: Juwei Lin (@fuzzerDOTcn) van Trend Micro
cd9660
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een lokale gebruiker kan zorgen voor denial of service van het systeem
Beschrijving: een probleem met invoervalidatie is verholpen door een verbeterde geheugenverwerking.
CVE-2016-4706: Recurity Labs in naam van BSI (German Federal Office for Information Security)
CFNetwork
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een lokale gebruiker kan door een gebruiker bezochte websites ontdekken
Beschrijving: er was een probleem met de verwijdering van lokale opslag. Dit probleem is verholpen door een verbeterde opschoning van de lokale opslag.
CVE-2016-4707: een anonieme onderzoeker
CFNetwork
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gebruikersgegevens in gevaar brengen
Beschrijving: er was een probleem met de invoervalidatie bij het parseren van de Set-Cookie-header. Dit probleem is verholpen door een verbeterde controle van de validatie.
CVE-2016-4708: Dawid Czagan van Silesia Security Lab
CommonCrypto
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma dat CCrypt gebruikt, kan vertrouwelijke platte tekst vrijgeven als de uitvoer- en invoerbuffer hetzelfde zijn
Beschrijving: er was een probleem met de invoervalidatie in corecrypto. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2016-4711: Max Lohrmann
CoreCrypto
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan willekeurige code uitvoeren
Beschrijving: een out-of-bounds schrijfprobleem is verholpen door de kwetsbare code te verwijderen.
CVE-2016-4712: Gergo Koteles
CoreDisplay
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een gebruiker met toegang tot schermdeling kan het scherm van een andere gebruiker bekijken
Beschrijving: er was een probleem met sessiebeheer bij de verwerking van schermdelingsessies. Dit probleem is verholpen door verbeterde sessietracking.
CVE-2016-4713: Ruggero Alberti
curl
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: meerdere problemen in curl
Beschrijving: er waren meerdere beveiligingsproblemen in curl lager dan versie 7.49.1. Deze problemen zijn verholpen door curl bij te werken naar versie 7.49.1.
CVE-2016-0755: Isaac Boukris
Voorkeurenpaneel 'Datum en tijd'
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een schadelijk programma kan de huidige locatie van een gebruiker bepalen
Beschrijving: er was een probleem bij de verwerking van het .GlobalPreferences-bestand. Dit is verholpen door een verbeterde validatie.
CVE-2016-4715: Taiki (@Taiki__San) van ESIEA (Paris)
DiskArbitration
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met toegang in diskutil. Dit probleem is verholpen door een verbeterde controle van de bevoegdheden.
CVE-2016-4716: Alexander Allen van The North Carolina School of Science and Mathematics
Bestandsbladwijzer
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een lokaal programma kan een denial of service veroorzaken
Beschrijving: er was een probleem met bronbeheer bij de verwerking van bij apps horende bladwijzers. Dit probleem is verholpen door een verbeterde verwerking van de bestandsbeschrijving.
CVE-2016-4717: Tom Bradley van 71Squared Ltd
FontParser
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-2016-4718: Apple
IDS - Connectiviteit
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan een denial of service veroorzaken
Beschrijving: er was een probleem met vervalsing bij de verwerking van 'Bel via doorgifte'. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2016-4722: Martin Vigo (@martin_vigo) van salesforce.com
ImageIO
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een kwaadwillig vervaardigde afbeelding kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: er was een probleem met het lezen buiten het bereik bij parseren van SGI-afbeeldingen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-2016-4682: Ke Liu van het Xuanwu Lab van Tencent
Intel Graphics Driver
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2016-4723: daybreaker van Minionz
Intel Graphics Driver
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er is een use-after-free-probleem verholpen door een verbeterd geheugenbeheer.
CVE-2016-7582: Liang Chen van Tencent KeenLab
IOAcceleratorFamily
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een null pointer-dereferentieprobleem is verholpen door verbeterde invoervalidatie.
CVE-2016-4724: Cererdlong, Eakerqiu van Team OverSky
IOAcceleratorFamily
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2016-4725: Rodger Combs van Plex, Inc
IOAcceleratorFamily
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2016-4726: een anonieme onderzoeker
IOThunderboltFamily
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2016-4727: wmin in samenwerking met het Zero Day Initiative van Trend Micro
Kerberos v5 PAM-module
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een externe aanvaller kan het bestaan van gebruikersaccounts bepalen
Beschrijving: een timingzijkanaal stond een aanvaller toe om het bestaan van gebruikersaccounts op een systeem te bepalen. Dit probleem is verholpen door de introductie van constante tijdscontroles.
CVE-2016-4745: een anonieme onderzoeker
Kernel
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een lokaal programma kan mogelijk toegang verkrijgen tot beperkte bestanden
Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.
CVE-2016-4771: Balazs Bucsay, Research Director van MRG Effitas
Kernel
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een externe aanvaller kan mogelijk zorgen voor denial of service
Beschrijving: een probleem met de verwerking van de vergrendeling is verholpen door een verbeterde verwerking van de vergrendeling.
CVE-2016-4772: Marc Heuse van mh-sec
Kernel
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan de indeling van het kernelgeheugen bepalen
Beschrijving: er waren meerdere problemen met het lezen buiten het bereik die leidden tot de vrijgave van het kernelgeheugen. Deze zijn verholpen door een verbeterde invoervalidatie.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Kernel
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2016-4775: Brandon Azad
Kernel
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een niet-vertrouwde pointer-dereferentie is verholpen door de aangetaste code te verwijderen.
CVE-2016-4777: Lufeng Li van Qihoo 360 Vulcan Team
Kernel
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2016-4778: CESG
libarchive
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: er zijn meerdere problemen in libarchive
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in libarchive. Deze problemen zijn verholpen door een verbeterde invoervalidatie.
CVE-2016-4736: Proteas van Qihoo 360 Nirvan Team
libxml2
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: er zijn meerdere problemen in libxml2, waarvan de belangrijkste kunnen leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code.
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxpc
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan mogelijk ontsnappen uit zijn sandbox
Beschrijving: er waren meerdere kwetsbaarheden bij het lanceren van nieuwe processen met launchctl. Deze problemen zijn verholpen door verbeterde handhaving van beleid.
CVE-2016-4617: Gregor Kopf van Recurity Labs namens BSI (German Federal Office for Information Security)
libxslt
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van een willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2016-4738: Nick Wellnhofer
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een schadelijke website kan mogelijk denial of service veroorzaken
Beschrijving: een probleem met denial of service is verholpen door een verbeterde verwerking van URL's.
CVE-2016-7580: Sabri Haddouche (@pwnsdx)
mDNSResponder
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een externe aanvaller kan vertrouwelijke informatie bekijken
Beschrijving: door programma's die VMnet.framework gebruiken, kon een DNS-proxy luisteren naar activiteit van alle netwerkinterfaces. Dit probleem is verholpen door reacties op DNS-verzoeken te beperken tot lokale interfaces.
CVE-2016-4739: Magnus Skjegstad, David Scott en Anil Madhavapeddy van Docker, Inc.
NSSecureTextField
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een schadelijk programma kan de inloggegevens van een gebruiker vrijgeven
Beschrijving: er was een probleem met het statusbeheer in NSSecureTextField, waardoor de veilige invoer niet kon worden ingeschakeld. Dit probleem is verholpen door een verbeterd vensterbeheer.
CVE-2016-4742: Rick Fillion van AgileBits, Daniel Jalkut van Red Sweater Software
Perl
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een lokale gebruiker kan het taint-beveiligingsmechanisme omzeilen
Beschrijving: er was een probleem bij het parseren van omgevingsvariabelen. Dit probleem is verholpen door een verbeterde validatie van omgevingsvariabelen.
CVE-2016-4748: Stephane Chazelas
S2 Camera
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2016-4750: Jack Tang (@jacktang310) en Moony Li van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro
Beveiliging
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een programma dat SecKeyDeriveFromPassword gebruikt, kan geheugen vrijgeven
Beschrijving: er was een probleem met het bronbeheer bij de verwerking van de sleutelafleiding. Dit probleem is verholpen door CF_RETURNS_RETAINED toe te voegen aan SecKeyDeriveFromPassword.
CVE-2016-4752: Mark Rogers van PowerMapper Software
Beveiliging
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een validatieprobleem bij ondertekende schijfkopieën. Dit probleem is verholpen door een verbeterde validatie van de grootte.
CVE-2016-4753: Mark Mentovai van Google Inc.
Terminal
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: er was een probleem met de bevoegdheden in .bash_history en .bash_session. Dit probleem is verholpen door middel van verbeterde toegangsbeperkingen.
CVE-2016-4755: Axel Luttgens
WindowServer
Beschikbaar voor: OS X Lion v10.7.5 en hoger
Impact: een lokale gebruiker kan mogelijk rootbevoegdheden verkrijgen
Beschrijving: een probleem met verwarring van het type is verholpen door een verbeterde verwerking van het geheugen.
CVE-2016-4709: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro
CVE-2016-4710: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.