Om sikkerhetsinnholdet i macOS Sierra 10.12
Dette dokumentet beskriver sikkerhetsinnholdet i macOS Sierra 10.12.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
For mer informasjon om sikkerhet kan du gå til siden for Apple Produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple Produktsikkerhet.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
macOS Sierra 10.12
apache
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En angriper utenfra kan være i stand til å kjøre trafikk gjennom en vilkårlig tjener
Beskrivelse: Det var et problem i håndteringen av HTTP_PROXY-miljøvariabelen. Problemet ble løst ved å ikke angi HTTP_PROXY-miljøvariabelen fra CGI.
CVE-2016-4694: Dominic Scheirlinck og Scott Geary fra Vend
apache_mod_php
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Det var flere problemer i PHP, der de største problemene kan føre til uventet lukking av programmer eller vilkårlig kjøring av kode.
Beskrivelse: Flere i problemer i PHP ble løst gjennom oppdatering av PHP til versjon 5.6.24.
CVE-2016-5768
CVE-2016-5769
CVE-2016-5770
CVE-2016-5771
CVE-2016-5772
CVE-2016-5773
CVE-2016-6174
CVE-2016-6288
CVE-2016-6289
CVE-2016-6290
CVE-2016-6291
CVE-2016-6292
CVE-2016-6294
CVE-2016-6295
CVE-2016-6296
CVE-2016-6297
Apple HSSPI-kundestøtte
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4697: Qidan He (@flanker_hqd) fra KeenLab arbeider med Trend Micros Zero Day Initiative
AppleEFIRuntime
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering av inndata.
CVE-2016-4696: Shrek_wzw fra Qihoo 360 Nirvan Team
AppleMobileFileIntegrity
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et lokalt program kan kanskje kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med valideringen i arvepolicy for oppgaver. Problemet ble løst gjennom forbedret validering av prosessrettigheten og team-ID-en.
CVE-2016-4698: Pedro Vilaça
AppleUUC
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2016-4699: Jack Tang (@jacktang310) og Moony Li fra Trend Micro arbeider med Trend Micros Zero Day Initiative
CVE-2016-4700: Jack Tang (@jacktang310) og Moony Li fra Trend Micro arbeider med Trend Micros Zero Day Initiative
Programspesifikk brannmur
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt
Beskrivelse: Det var et valideringsproblem i håndteringen av brannmurforespørsler. Problemet ble løst gjennom forbedret validering av SO_EXECPATH.
CVE-2016-4701: Meder Kydyraliev Google Security Team
ATS
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4779: riusksk fra Tencent Security Platform Department
Lyd
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En angriper utenfra kan være i stand til å kjøre tilfeldig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park og Taekyoung Kwon fra Information Security Lab, Yonsei University.
Bluetooth
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2016-4703: Juwei Lin (@fuzzerDOTcn) fra Trend Micro
cd9660
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt i systemet
Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret minnehåndtering.
CVE-2016-4706: Recurity Labs på vegne av BSI (German Federal Office for Information Security)
CFNetwork
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En lokal bruker kan være i stand til å finne nettsteder som en annen bruker har besøkt
Beskrivelse: Det var et problem med sletting av lokal lagringsplass. Problemet ble løst gjennom forbedret rydding av lokal lagringsplass.
CVE-2016-4707: En anonym forsker
CFNetwork
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Behandling av skadelig nettinnhold kan påvirke brukerinformasjon
Beskrivelse: Det var et problem med validering i analysen av «set-cookie»-overskriften. Problemet ble løst gjennom forbedret kontroll av validering.
CVE-2016-4708: Dawid Czagan fra Silesia Security Lab
CommonCrypto
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program som bruker CCrypt, kan kanskje avsløre sensitiv ren tekst hvis bufferen for inn- og utdata er den samme
Beskrivelse: Det var et problem med validering av inndata i corecrypto. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2016-4711: Max Lohrmann
CoreCrypto
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode
Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom fjerning av den utsatte koden.
CVE-2016-4712: Gergo Koteles
CoreDisplay
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En bruker med skjermdelingstilgang kan være i stand til å se en annen brukers skjerm
Beskrivelse: Det var et problem med øktadministrasjon i håndteringen av skjermdelingsøkter. Problemet ble løst gjennom forbedret sporing av økter.
CVE-2016-4713: Ruggero Alberti
curl
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Flere problemer i curl
Beskrivelse: Det var flere sikkerhetsproblemer i curl-versjoner eldre enn 7.49.1. Problemene ble løst gjennom oppdatering av curl til versjon 7.49.1.
CVE-2016-0755: Isaac Boukris
Valgruten for dato og tid
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et skadelig program kan være i stand til å fastslå en brukers nåværende posisjon
Beskrivelse: Det var et problem med håndteringen av .GlobalPreferences-filen. Problemet ble løst gjennom forbedret validering.
CVE-2016-4715: Taiki (@Taiki__San) fra ESIEA (Paris)
DiskArbitration
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem i diskutil. Problemet ble løst gjennom forbedret kontroll av tillatelser.
CVE-2016-4716: Alexander Allen fra The North Carolina School of Science and Mathematics
Filbokmerke
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et lokalt program kan forårsake tjenestenekt
Beskrivelse: Det var et problem med administrering av ressurser i behandlingen av appbaserte bokmerker. Problemet ble løst gjennom forbedret håndtering av fildeskriptorer.
CVE-2016-4717: Tom Bradley fra 71Squared Ltd
FontParser
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Det var en bufferoverflyt i håndteringen av fontfiler. Problemet ble løst gjennom forbedret grensekontroll.
CVE-2016-4718: Apple
IDS – Konnektivitet
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å forårsake tjenestenekt
Beskrivelse: Det var et problem med forfalskning i håndteringen av viderekobling av anrop. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2016-4722: Martin Vigo (@martin_vigo) fra salesforce.com
ImageIO
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres
Beskrivelse: Det var et problem med lesing utenfor området i SGI-bildeparsingen. Problemet ble løst gjennom forbedret grensekontroll.
CVE-2016-4682: Ke Liu fra Tencents Xuanwu Lab
Intel Graphics-driver
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4723: daybreaker fra Minionz
Intel Graphics-driver
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter utløpt gratisversjon ble løst gjennom forbedret minnehåndtering.
CVE-2016-7582: Liang Chen fra Tencent KeenLab
IOAcceleratorFamily
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering av inndata.
CVE-2016-4724: Cererdlong, Eakerqiu fra Team OverSky
IOAcceleratorFamily
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2016-4725: Rodger Combs fra Plex, Inc
IOAcceleratorFamily
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4726: En anonym forsker
IOThunderboltFamily
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4727: wmin arbeider med Trend Micros Zero Day Initiative
Kerberos v5 PAM-modul
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En angriper utenfra kan være i stand til å fastslå at det finnes andre brukerkontoer
Beskrivelse: Det var et problem med en tidtakende sidekanal som lot en angriper fastslå at det finnes andre brukerkontoer på et system. Problemet ble løst gjennom bruk av konstante tidskontroller.
CVE-2016-4745: En anonym forsker
Kjerne
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et lokalt program kan få tilgang til begrensede filer
Beskrivelse: Et problem med analyse i behandlingen av registerbaner ble løst gjennom forbedret validering av baner.
CVE-2016-4771: Balazs Bucsay, Research Director hos MRG Effitas
Kjerne
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En ekstern angriper kan forårsake nekting av tjeneste
Beskrivelse: Et problem med låshåndtering ble låst gjennom forbedret låshåndtering.
CVE-2016-4772: Marc Heuse fra mh-sec
Kjerne
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje fastslå layouten til kjerneminnet
Beskrivelse: Det var flere problemer med lesing utenfor området som førte til avsløring av kjerneminne. Problemene ble løst gjennom forbedret validering av inndata.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Kjerne
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4775: Brandon Azad
Kjerne
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med en upålitelig dereferansepeker ble løst gjennom fjerning av den påvirkede koden.
CVE-2016-4777: Lufeng Li fra Qihoo 360 Vulcan Team
Kjerne
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4778: CESG
libarchive
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Flere problemer i libarhcive
Beskrivelse: Det var flere problemer med skadet minne i libarchive. Problemene ble løst gjennom forbedret validering av inndata.
CVE-2016-4736: Proteas fra Qihoo 360 Nirvan Team
libxml2
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Flere problemer i libxml2, der de største problemene kan føre til uventet lukking av programmer eller vilkårlig kjøring av kode.
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxpc
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje bryte ut av sandkassen sin
Beskrivelse: Det var flere svakheter i oppstarten av nye prosesser med launchctl. Problemene ble løst gjennom forbedret håndhevelse av retningslinjer.
CVE-2016-4617: Gregor Kopf fra Recurity Labs på vegne av BSI (German Federal Office for Information Security)
libxslt
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4738: Nick Wellnhofer
E-post
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et skadelig nettsted kan forårsake tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret håndtering av nettadresser.
CVE-2016-7580: Sabri Haddouche (@pwnsdx)
mDNSResponder
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En ekstern angriper kan være i stand til å se sensitiv brukerinformasjon
Beskrivelse: Programmer som bruker VMnet.framwork via en DNS-proxytjener, lytter på alle nettverksgrensesnitt. Problemet ble løst gjennom begrensning av DNS-søkesvar på lokale grensesnitt.
CVE-2016-4739: Magnus Skjegstad, David Scott og Anil Madhavapeddy fra Docker, Inc.
NSSecureTextField
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et skadelig program kan være i stand til å lekke en brukers informasjon
Beskrivelse: Det var et problem med tilstandsadministrering i NSSecureTextField som mislykkes i å aktivere sikre inndata. Problemet ble løst gjennom forbedret vindushåndtering.
CVE-2016-4742: Rick Fillion fra AgileBits, Daniel Jalkut fra Red Sweater Software
Perl
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En lokal bruker kan være i stand til å hoppe over mekanismen for tilstandsbeskyttelse
Beskrivelse: Det var et problem i analyseringen av miljøvariabler. Problemet ble løst gjennom forbedret validering av miljøvariabler.
CVE-2016-4748: Stephane Chazelas
S2-kamera
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-4750: Jack Tang (@jacktang310) og Moony Li fra Trend Micro arbeider med Trend Micros Zero Day Initiative
Sikkerhet
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et program som bruker SecKeyDeriveFromPassword, kan lekke minne
Beskrivelse: Det var et problem med administrering av ressurser i behandlingen av nøkkelutledning. Problemet ble løst gjennom å legge CF_RETURNS_RETAINED til SecKeyDeriveFromPassword.
CVE-2016-4752: Mark Rogers fra PowerMapper Software
Sikkerhet
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med signerte diskfiler. Problemet ble løst gjennom forbedret validering av størrelse.
CVE-2016-4753: Mark Mentovai fra Google Inc.
Terminal
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En lokal bruker kan være i stand til å lekke sensitiv brukerinformasjon
Beskrivelse: Det var et problem med tillatelser i .bash_history og .bash_session. Problemet ble løst gjennom forbedring av tilgangsrestriksjoner.
CVE-2016-4755: Axel Luttgens
WindowServer
Tilgjengelig for: OS X Lion v10.7.5 eller nyere
Virkning: En lokal bruker kan være i stand til å få rotprivilegier
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2016-4709: en anonym forsker som jobber med Trend Micros Zero Day Initiative
CVE-2016-4710: en anonym forsker som jobber med Trend Micros Zero Day Initiative
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.