Om sikkerhetsinnholdet i OS X El Capitan v10.11.4 og Sikkerhetsoppdatering 2016-002

Dette dokumentet beskriver sikkerhetsinnholdet i OS X El Capitan v10.11.4 og Sikkerhetsoppdatering 2016-002.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Finn ut mer om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Finn ut mer om andre sikkerhetsoppdateringer på Sikkerhetsoppdateringer fra Apple.

OS X El Capitan 10.11.4 og Sikkerhetsoppdatering 2016-002

 • apache_mod_php

  Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 til v10.11.3

  Virkning: Behandling av en skadelig .png-fil kan føre til kjøring av vilkårlig kode

  Beskrivelse: Det var flere sårbarheter i libpng-versjonene før 1.6.20. Disse ble rettet ved å oppdatere libpng til versjon 1.6.20.

  CVE-ID

  CVE-2015-8126: Adam Mariš

  CVE-2015-8472: Adam Mariš

 • AppleRAID

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

  Beskrivelse: Et problem med skadet minne ble løst ved forbedret inndatavalidering.

  CVE-ID

  CVE-2016-1733: Proteas fra Qihoo 360 Nirvan Team

 • AppleRAID

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: En lokal bruker kan bli i stand til å bestemme oppsett av kjerneminne

  Beskrivelse: Det var et problem med lesing utenfor området som førte til avdekking av kjerneminne. Dette ble løst gjennom forbedret inndatavalidering.

  CVE-ID

  CVE-2016-1732: Proteas fra Qihoo 360 Nirvan Team

 • AppleUSBNetworking

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: En USB-enhet kan forårsake en tjenestenekt

  Beskrivelse: Et feilbehandlingsproblem eksisterte i pakkevalideringen. Problemet ble løst gjennom forbedret feilhåndtering.

  CVE-ID

  CVE-2016-1734: Andrea Barisani og Andrej Rosano fra Inverse Path

 • Bluetooth

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

  Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

  CVE-ID

  CVE-2016-1735: Jeonghoon Shin@A.D.D

  CVE-2016-1736: beist og ABH fra BoB

 • Carbon

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Behandling av en skadelig .dfont-fil kan føre til kjøring av vilkårlig kode

  Beskrivelse: Det var flere problemer med skadet minne under håndtering av fontfiler. Problemene ble løst gjennom forbedret grensekontroll.

  CVE-ID

  CVE-2016-1737 : HappilyCoded (ant4g0nist &r3dsm0k3)

 • dyld

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: En angriper kan manipulere kodesignerte programmer for å kjøre vilkårlig kode i programmets kontekst

  Beskrivelse: Det var et problem med bekreftelse av kodesignering i dyld. Problemet ble løst gjennom forbedret validering.

  CVE-ID

  CVE-2016-1738: beist og ABH fra BoB

 • FontParser

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

  Beskrivelse: Et problem med skadet minne ble håndtert ved forbedret minnehåndtering.

  CVE-ID

  CVE-2016-1740: HappilyCoded (ant4g0nist and r3dsm0k3) arbeider med Trend Micros Zero Day Initiative (ZDI)

 • HTTPProtocol

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: En ekstern angriper kan være i stand til å kjøre vilkårlig kode

  Beskrivelse: Det var flere svakheter i nghttp2-versjoner før 1.6.0. Den alvorligste av dem kunne medføre ekstern kjøring av kode. Disse problemene ble løst ved å oppdatere nghttp2 til versjon 1.6.0.

  CVE-ID

  CVE-2015-8659

 • Intel Graphics-driver

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

  Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

  CVE-ID

  CVE-2016-1743: Piotr Bania fra Cisco Talos

  CVE-2016-1744: Ian Beer fra Google Project Zero

 • IOFireWireFamily

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt

  Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering.

  CVE-ID

  CVE-2016-1745: sweetchip of Grayhash

 • IOGraphics

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

  Beskrivelse: Et problem med skadet minne ble løst ved forbedret inndatavalidering.

  CVE-ID

  CVE-2016-1746: Peter Pi fra Trend Micro arbeider med Trend Micros Zero Day Initiative (ZDI)

  CVE-2016-1747: Juwei Lin fra Trend Micro arbeider med Trend Micros Zero Day Initiative (ZDI)

 • IOHIDFamily

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan være i stand til å fastslå layouten til kjerneminne

  Beskrivelse: Et problem med skadet minne ble håndtert ved forbedret minnehåndtering.

  CVE-ID

  CVE-2016-1748: Brandon Azad

 • IOUSBFamily

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

  Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

  CVE-ID

  CVE-2016-1749: Ian Beer fra Google Project Zero og Juwei Lin fra Trend Micro arbeider med Trend Micros Zero Day Initiative (ZDI)

 • Kjerne

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

  Beskrivelse: Et problem med fortsatt bruk etter utløpt gratisversjon ble løst gjennom forbedret minnehåndtering.

  CVE-ID

  CVE-2016-1750: CESG

 • Kjerne

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

  Beskrivelse: En kappløpssituasjon eksisterte under opprettelsen av nye prosesser. Dette ble løst gjennom forbedret tilstandshåndtering.

  CVE-ID

  CVE-2016-1757: Ian Beer fra Google Project Zero og Pedro Vilaça

 • Kjerne

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

  Beskrivelse: En dereferanse for en nullpeker ble løst ved at inndatavalideringen ble forbedret.

  CVE-ID

  CVE-2016-1756: Lufeng Li fra Qihoo 360 Vulcan Team

 • Kjerne

  Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

  Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

  CVE-ID

  CVE-2016-1754: Lufeng Li fra Qihoo 360 Vulcan Team

  CVE-2016-1755: Ian Beer fra Google Project Zero

  CVE-2016-1759: lokihardt

 • Kjerne

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan være i stand til å fastslå layouten til kjerneminne

  Beskrivelse: Det var et problem med lesing utenfor området som førte til avdekking av kjerneminne. Dette ble løst gjennom forbedret inndatavalidering.

  CVE-ID

  CVE-2016-1758: Brandon Azad

 • Kjerne

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

  Beskrivelse: Flere heltallsoverflyter ble løst gjennom forbedret inndatavalidering.

  CVE-ID

  CVE-2016-1753: Juwei Lin Trend Micro arbeider sammen med Trend Micros Zero Day Initiative (ZDI)

 • Kjerne

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan forårsake nekting av tjeneste

  Beskrivelse: Et problem med nekting av tjeneste ble løst gjennom forbedret validering.

  CVE-ID

  CVE-2016-1752: CESG

 • libxml2

  Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 til v10.11.3

  Virkning: Behandling av skadelig XML kan føre til uventet avslutning av et program eller kjøring av vilkårlig kode

  Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

  CVE-ID

  CVE-2015-1819

  CVE-2015-5312: David Drysdale fra Google

  CVE-2015-7499

  CVE-2015-7500: Kostya Serebryany fra Google

  CVE-2015-7942: Kostya Serebryany fra Google

  CVE-2015-8035: gustavo.grieco

  CVE-2015-8242: Hugh Davenport

  CVE-2016-1761: wol0xff arbeider med Trend Micros Zero Day Initiative (ZDI)

  CVE-2016-1762

 • Meldinger

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Klikking på en JavaScript-kobling kan avsløre sensitiv brukerinformasjon

  Beskrivelse: Det var et problem under behandlingen av JavaScript-koblinger. Dette problemet ble løst gjennom forbedrede kontroller av policyen for innholdssikkerhet.

  CVE-ID

  CVE-2016-1764 : Matthew Bryant fra the Uber Security Team (tidligere fra Bishop Fox), Joe DeMesy og Shubham Shah fra Bishop Fox

 • Meldinger

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: En angriper som klarer å koble seg forbi Apples sertifikatfesting, fange opp TLS-tilkoblinger, sette inn meldinger og registrere krypterte meldinger av vedleggstypen, kan kanskje lese vedlegg

  Beskrivelse: Et kryptografisk problem ble løst ved å avvise dupliserte meldinger på klienten.

  CVE-ID

  CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers og Michael Rushanan fra Johns Hopkins University

 • NVIDIA-grafikkdrivere

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

  Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

  CVE-ID

  CVE-2016-1741: Ian Beer fra Google Project Zero

 • OpenSSH

  Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 til v10.11.3

  Virkning: Tilkobling til en server kan forårsake lekkasje av sensitiv brukerinformasjon, for eksempel de private nøklene til en klient

  Beskrivelse: Roaming, som var aktivert som standard i OpenSSH-klienten, forårsaket en informasjonslekkasje og bufferoverflyt. Disse problemene ble løst ved å deaktivere roaming i klienten.

  CVE-ID

  CVE-2016-0777: Qualys

  CVE-2016-0778: Qualys

 • OpenSSH

  Tilgjengelig for: OS X Mavericks v10.9.5 og OS X Yosemite v10.10.5

  Virkning: Flere sårbarheter i LibreSSL

  Beskrivelse: Det var flere sårbarheter i LibreSSL-versjonene før 2.1.8. Disse ble rettet ved å oppdatere LibreSSL til versjon 2.1.8.

  CVE-ID

  CVE-2015-5333: Qualys

  CVE-2015-5334: Qualys

 • OpenSSL

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: En ekstern angriper kan forårsake nekting av tjeneste

  Beskrivelse: Det var en minnelekkasje i OpenSSL-versjoner før 0.9.8zh. Problemet ble løst ved å oppdatere OpenSSL til versjon 0.9.8zh.

  CVE-ID

  CVE-2015-3195

 • Python

  Tilgjengelig for: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 og OS X El Capitan v10.11 til v10.11.3

  Virkning: Behandling av en skadelig .png-fil kan føre til kjøring av vilkårlig kode

  Beskrivelse: Det var flere sårbarheter i libpng-versjonene før 1.6.20. Disse ble rettet ved å oppdatere libpng til versjon 1.6.20.

  CVE-ID

  CVE-2014-9495

  CVE-2015-0973

  CVE-2015-8126: Adam Mariš

  CVE-2015-8472: Adam Mariš

 • QuickTime

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Behandling av et skadelig FlashPix-punktgrafikkbilde kan føre til at et program uventet avsluttes eller at vilkårlig kode kjøres

  Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

  CVE-ID

  CVE-2016-1767: Francis Provencher fra COSIG

  CVE-2016-1768: Francis Provencher fra COSIG

 • QuickTime

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Behandling av et skadelig Photoshop-dokument kan føre til at et program uventet avsluttes eller at vilkårlig kode kjøres

  Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

  CVE-ID

  CVE-2016-1769: Francis Provencher fra COSIG

 • Påminnelser

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Klikking på en telefonkobling kan starte et anrop uten at brukeren blir spurt

  Beskrivelse: En bruker ble ikke spurt før et anrop ble startet. Problemet ble løst gjennom forbedrede rettighetskontroller.

  CVE-ID

  CVE-2016-1770: Guillaume Ross fra Rapid7 og Laurent Chouinard fra Laurent.ca

 • Ruby

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: En lokal angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

  Beskrivelse: Det var et sikkerhetsproblem med bruk av usikre, smittede strenger i versjoner før 2.0.0-p648. Problemet ble løst ved å oppdatere til versjon 2.0.0-p648.

  CVE-ID

  CVE-2015-7551

 • Sikkerhet

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: En lokal bruker kan sjekke om vilkårlige filer finnes

  Beskrivelse: Det var et tillatelsesproblem i kodesigneringsverktøy. Problemet ble løst gjennom ytterligere kontroller av eierskap.

  CVE-ID

  CVE-2016-1773: Mark Mentovai fra Google Inc.

 • Sikkerhet

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Behandling av et skadelig sertifikat kan føre til kjøring av vilkårlig kode

  Beskrivelse: Det var et problem med skadet minne i ASN.1-dekoderen. Problemet ble løst gjennom forbedret inndatavalidering.

  CVE-ID

  CVE-2016-1950: Francis Gabriel fra Quarkslab

 • Tcl

  Tilgjengelig for: OS X Yosemite v10.10.5 og OS X El Capitan v10.11 til v10.11.3

  Virkning: Behandling av en skadelig .png-fil kan føre til kjøring av vilkårlig kode

  Beskrivelse: Det var flere sårbarheter i libpng-versjonene før 1.6.20. Disse ble rettet ved å fjerne libpng.

  CVE-ID

  CVE-2015-8126

 • TrueTypeScaler

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

  Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret inndatavalidering.

  CVE-ID

  CVE-2016-1775: 0x1byte arbeider med Trend Micros Zero Day Initiative (ZDI)

 • Wi-Fi

  Tilgjengelig for: OS X El Capitan v10.11 til v10.11.3

  Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å utføre vilkårlig kode

  Beskrivelse: Det var et problem med rammevalidering og skadet minne for en gitt ethertype. Problemet ble løst gjennom ytterligere ethertype-validering og forbedret minnehåndtering.

  CVE-ID

  CVE-2016-0801: En anonym forsker

  CVE-2016-0802: En anonym forsker

OS X El Capitan 10.11.4 inkluderer sikkerhetsinnholdet i Safari 9.1.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: