W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
System OS X El Capitan 10.11.3 i uaktualnienie zabezpieczeń 2016-001
AppleGraphicsPowerManagement
Dostępne dla: systemu OS X El Capitan w wersjach 10.11 do 10.11.2
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: problem powodujący uszkodzenie zawartości pamięci został rozwiązany przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1716: moony li z Trend Micro oraz Liang Chen i Sen Nie z KeenLab, Tencent
Obrazy dysków
Dostępne dla: systemu OS X El Capitan w wersjach 10.11 do 10.11.2
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: w procedurze analizowania obrazów dysków występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2016-1717: Frank Graziano z Yahoo! Pentest Team
IOAcceleratorFamily
Dostępne dla: systemu OS X El Capitan w wersjach 10.11 do 10.11.2
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: problem powodujący uszkodzenie zawartości pamięci został rozwiązany przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1718: Juwei Lin z Trend Micro w ramach programu Zero Day Initiative firmy HP
IOHIDFamily
Dostępne dla: systemu OS X El Capitan w wersjach 10.11 do 10.11.2
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: w interfejsie API komponentu IOHIDFamily występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2016-1719: Ian Beer z Google Project Zero
IOKit
Dostępne dla: systemu OS X El Capitan w wersjach 10.11 do 10.11.2
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: problem powodujący uszkodzenie zawartości pamięci został rozwiązany przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1720: Ian Beer z Google Project Zero
Jądro
Dostępne dla: systemu OS X El Capitan w wersjach 10.11 do 10.11.2
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: problem powodujący uszkodzenie zawartości pamięci został rozwiązany przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1721: Ian Beer z Google Project Zero i Ju Zhu z Trend Micro
libxslt
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 i OS X El Capitan 10.11 do 10.11.2
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować wykonanie dowolnego kodu.
Opis: w bibliotece libxslt występował błąd nieprawidłowego rozpoznawania typu. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-7995: puzzor
Skrypty OSA
Dostępne dla: systemu OS X El Capitan w wersjach 10.11 do 10.11.2
Zagrożenie: aplikacja poddana kwarantannie może być w stanie zastąpić biblioteki skryptów OSA zainstalowane przez użytkownika.
Opis: podczas wyszukiwania bibliotek skryptów występował błąd. Ten problem został rozwiązany przez poprawę kontroli kolejności wyszukiwania i kwarantanny.
Identyfikator CVE
CVE-2016-1729: anonimowy badacz
syslog
Dostępne dla: systemu OS X El Capitan w wersjach 10.11 do 10.11.2
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami użytkownika root.
Opis: problem powodujący uszkodzenie zawartości pamięci został rozwiązany przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1722: Joshua J. Drake i Nikias Bassen z Zimperium zLabs
System OS X El Capitan 10.11.3 zawiera zabezpieczenia z przeglądarki Safari 9.0.3.