Om sikkerhetsinnholdet i macOS Sierra 10.12

Dette dokumentet beskriver sikkerhetsinnholdet i macOS Sierra 10.12.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

For mer informasjon om sikkerhet kan du gå til siden for Apple Produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple Produktsikkerhet.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

macOS Sierra 10.12

apache

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En angriper utenfra kan være i stand til å kjøre trafikk gjennom en vilkårlig tjener

Beskrivelse: Det var et problem i håndteringen av HTTP_PROXY-miljøvariabelen. Problemet ble løst ved å ikke angi HTTP_PROXY-miljøvariabelen fra CGI.

CVE-2016-4694: Dominic Scheirlinck og Scott Geary fra Vend

apache_mod_php

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Det var flere problemer i PHP, der de største problemene kan føre til uventet lukking av programmer eller vilkårlig kjøring av kode.

Beskrivelse: Flere i problemer i PHP ble løst gjennom oppdatering av PHP til versjon 5.6.24.

CVE-2016-5768

CVE-2016-5769

CVE-2016-5770

CVE-2016-5771

CVE-2016-5772

CVE-2016-5773

CVE-2016-6174

CVE-2016-6288

CVE-2016-6289

CVE-2016-6290

CVE-2016-6291

CVE-2016-6292

CVE-2016-6294

CVE-2016-6295

CVE-2016-6296

CVE-2016-6297

Apple HSSPI-kundestøtte

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4697: Qidan He (@flanker_hqd) fra KeenLab arbeider med Trend Micros Zero Day Initiative

AppleEFIRuntime

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering av inndata.

CVE-2016-4696: Shrek_wzw fra Qihoo 360 Nirvan Team

AppleMobileFileIntegrity

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et lokalt program kan kanskje kjøre vilkårlig kode med systemrettigheter

Beskrivelse: Det var et problem med valideringen i arvepolicy for oppgaver. Problemet ble løst gjennom forbedret validering av prosessrettigheten og team-ID-en.

CVE-2016-4698: Pedro Vilaça

AppleUUC

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2016-4699: Jack Tang (@jacktang310) og Moony Li fra Trend Micro arbeider med Trend Micros Zero Day Initiative

CVE-2016-4700: Jack Tang (@jacktang310) og Moony Li fra Trend Micro arbeider med Trend Micros Zero Day Initiative

Programspesifikk brannmur

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt

Beskrivelse: Det var et valideringsproblem i håndteringen av brannmurforespørsler. Problemet ble løst gjennom forbedret validering av SO_EXECPATH.

CVE-2016-4701: Meder Kydyraliev Google Security Team

ATS

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4779: riusksk fra Tencent Security Platform Department

Lyd

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En angriper utenfra kan være i stand til å kjøre tilfeldig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park og Taekyoung Kwon fra Information Security Lab, Yonsei University.

Bluetooth

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2016-4703: Juwei Lin (@fuzzerDOTcn) fra Trend Micro

cd9660

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt i systemet

Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret minnehåndtering.

CVE-2016-4706: Recurity Labs på vegne av BSI (German Federal Office for Information Security)

CFNetwork

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En lokal bruker kan være i stand til å finne nettsteder som en annen bruker har besøkt

Beskrivelse: Det var et problem med sletting av lokal lagringsplass. Problemet ble løst gjennom forbedret rydding av lokal lagringsplass.

CVE-2016-4707: En anonym forsker

CFNetwork

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Behandling av skadelig nettinnhold kan påvirke brukerinformasjon

Beskrivelse: Det var et problem med validering i analysen av «set-cookie»-overskriften. Problemet ble løst gjennom forbedret kontroll av validering.

CVE-2016-4708: Dawid Czagan fra Silesia Security Lab

CommonCrypto

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program som bruker CCrypt, kan kanskje avsløre sensitiv ren tekst hvis bufferen for inn- og utdata er den samme

Beskrivelse: Det var et problem med validering av inndata i corecrypto. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2016-4711: Max Lohrmann

CoreCrypto

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje kjøre vilkårlig kode

Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom fjerning av den utsatte koden.

CVE-2016-4712: Gergo Koteles

CoreDisplay

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En bruker med skjermdelingstilgang kan være i stand til å se en annen brukers skjerm

Beskrivelse: Det var et problem med øktadministrasjon i håndteringen av skjermdelingsøkter. Problemet ble løst gjennom forbedret sporing av økter.

CVE-2016-4713: Ruggero Alberti

curl

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Flere problemer i curl

Beskrivelse: Det var flere sikkerhetsproblemer i curl-versjoner eldre enn 7.49.1. Problemene ble løst gjennom oppdatering av curl til versjon 7.49.1.

CVE-2016-0755: Isaac Boukris

Valgruten for dato og tid

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et skadelig program kan være i stand til å fastslå en brukers nåværende posisjon

Beskrivelse: Det var et problem med håndteringen av .GlobalPreferences-filen. Problemet ble løst gjennom forbedret validering.

CVE-2016-4715: Taiki (@Taiki__San) fra ESIEA (Paris)

DiskArbitration

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En lokal bruker kan bli i stand til å kjøre vilkårlig kode med systemrettigheter

Beskrivelse: Det var et problem i diskutil. Problemet ble løst gjennom forbedret kontroll av tillatelser.

CVE-2016-4716: Alexander Allen fra The North Carolina School of Science and Mathematics

Filbokmerke

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et lokalt program kan forårsake tjenestenekt

Beskrivelse: Det var et problem med administrering av ressurser i behandlingen av appbaserte bokmerker. Problemet ble løst gjennom forbedret håndtering av fildeskriptorer.

CVE-2016-4717: Tom Bradley fra 71Squared Ltd

FontParser

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Det var en bufferoverflyt i håndteringen av fontfiler. Problemet ble løst gjennom forbedret grensekontroll.

CVE-2016-4718: Apple

IDS – Konnektivitet

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å forårsake tjenestenekt

Beskrivelse: Det var et problem med forfalskning i håndteringen av viderekobling av anrop. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2016-4722: Martin Vigo (@martin_vigo) fra salesforce.com

ImageIO

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Det var et problem med lesing utenfor området i SGI-bildeparsingen. Problemet ble løst gjennom forbedret grensekontroll.

CVE-2016-4682: Ke Liu fra Tencents Xuanwu Lab

Intel Graphics-driver

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4723: daybreaker fra Minionz

Intel Graphics-driver

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter utløpt gratisversjon ble løst gjennom forbedret minnehåndtering.

CVE-2016-7582: Liang Chen fra Tencent KeenLab

IOAcceleratorFamily

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering av inndata.

CVE-2016-4724: Cererdlong, Eakerqiu fra Team OverSky

IOAcceleratorFamily

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2016-4725: Rodger Combs fra Plex, Inc

IOAcceleratorFamily

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4726: En anonym forsker

IOThunderboltFamily

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4727: wmin arbeider med Trend Micros Zero Day Initiative

Kerberos v5 PAM-modul

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En angriper utenfra kan være i stand til å fastslå at det finnes andre brukerkontoer

Beskrivelse: Det var et problem med en tidtakende sidekanal som lot en angriper fastslå at det finnes andre brukerkontoer på et system. Problemet ble løst gjennom bruk av konstante tidskontroller.

CVE-2016-4745: En anonym forsker

Kjerne

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et lokalt program kan få tilgang til begrensede filer

Beskrivelse: Et problem med analyse i behandlingen av registerbaner ble løst gjennom forbedret validering av baner.

CVE-2016-4771: Balazs Bucsay, Research Director hos MRG Effitas

Kjerne

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En ekstern angriper kan forårsake nekting av tjeneste

Beskrivelse: Et problem med låshåndtering ble låst gjennom forbedret låshåndtering.

CVE-2016-4772: Marc Heuse fra mh-sec

Kjerne

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje fastslå layouten til kjerneminnet

Beskrivelse: Det var flere problemer med lesing utenfor området som førte til avsløring av kjerneminne. Problemene ble løst gjennom forbedret validering av inndata.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Kjerne

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4775: Brandon Azad

Kjerne

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med en upålitelig dereferansepeker ble løst gjennom fjerning av den påvirkede koden.

CVE-2016-4777: Lufeng Li fra Qihoo 360 Vulcan Team

Kjerne

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4778: CESG

libarchive

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Flere problemer i libarhcive

Beskrivelse: Det var flere problemer med skadet minne i libarchive. Problemene ble løst gjennom forbedret validering av inndata.

CVE-2016-4736: Proteas fra Qihoo 360 Nirvan Team

libxml2

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Flere problemer i libxml2, der de største problemene kan føre til uventet lukking av programmer eller vilkårlig kjøring av kode.

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

libxpc

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje bryte ut av sandkassen sin

Beskrivelse: Det var flere svakheter i oppstarten av nye prosesser med launchctl. Problemene ble løst gjennom forbedret håndhevelse av retningslinjer.

CVE-2016-4617: Gregor Kopf fra Recurity Labs på vegne av BSI (German Federal Office for Information Security)

libxslt

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Behandling av skadelig nettinnhold kan føre til at vilkårlig kode kjøres

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4738: Nick Wellnhofer

E-post

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et skadelig nettsted kan forårsake tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret håndtering av nettadresser.

CVE-2016-7580: Sabri Haddouche (@pwnsdx)

mDNSResponder

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En ekstern angriper kan være i stand til å se sensitiv brukerinformasjon

Beskrivelse: Programmer som bruker VMnet.framwork via en DNS-proxytjener, lytter på alle nettverksgrensesnitt. Problemet ble løst gjennom begrensning av DNS-søkesvar på lokale grensesnitt.

CVE-2016-4739: Magnus Skjegstad, David Scott og Anil Madhavapeddy fra Docker, Inc.

NSSecureTextField

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et skadelig program kan være i stand til å lekke en brukers informasjon

Beskrivelse: Det var et problem med tilstandsadministrering i NSSecureTextField som mislykkes i å aktivere sikre inndata. Problemet ble løst gjennom forbedret vindushåndtering.

CVE-2016-4742: Rick Fillion fra AgileBits, Daniel Jalkut fra Red Sweater Software

Perl

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En lokal bruker kan være i stand til å hoppe over mekanismen for tilstandsbeskyttelse

Beskrivelse: Det var et problem i analyseringen av miljøvariabler. Problemet ble løst gjennom forbedret validering av miljøvariabler.

CVE-2016-4748: Stephane Chazelas

S2-kamera

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program kan kanskje kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-4750: Jack Tang (@jacktang310) og Moony Li fra Trend Micro arbeider med Trend Micros Zero Day Initiative

Sikkerhet

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et program som bruker SecKeyDeriveFromPassword, kan lekke minne

Beskrivelse: Det var et problem med administrering av ressurser i behandlingen av nøkkelutledning. Problemet ble løst gjennom å legge CF_RETURNS_RETAINED til SecKeyDeriveFromPassword.

CVE-2016-4752: Mark Rogers fra PowerMapper Software

Sikkerhet

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

Beskrivelse: Det var et problem med signerte diskfiler. Problemet ble løst gjennom forbedret validering av størrelse.

CVE-2016-4753: Mark Mentovai fra Google Inc.

Terminal

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En lokal bruker kan være i stand til å lekke sensitiv brukerinformasjon

Beskrivelse: Det var et problem med tillatelser i .bash_history og .bash_session. Problemet ble løst gjennom forbedring av tilgangsrestriksjoner.

CVE-2016-4755: Axel Luttgens

WindowServer

Tilgjengelig for: OS X Lion v10.7.5 eller nyere

Virkning: En lokal bruker kan være i stand til å få rotprivilegier

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2016-4709: en anonym forsker som jobber med Trend Micros Zero Day Initiative

CVE-2016-4710: en anonym forsker som jobber med Trend Micros Zero Day Initiative