W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
System OS X El Capitan 10.11.5 i uaktualnienie zabezpieczeń 2016-003
AMD
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1792: beist i ABH z BoB
AMD
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: wykryto błąd, który powodował ujawnienie zawartości pamięci jądra. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2016-1791: daybreaker z Minionz
apache_mod_php
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: istnieje wiele luk w zabezpieczeniach języka PHP.
Opis: w oprogramowaniu PHP w wersji starszej niż 5.5.34 występowało wiele luk w zabezpieczeniach. Te błędy usunięto przez uaktualnienie oprogramowania PHP do wersji 5.5.34.
Identyfikator CVE
CVE-2015-8865
CVE-2016-3141
CVE-2016-3142
CVE-2016-4070
CVE-2016-4071
CVE-2016-4072
CVE-2016-4073
AppleGraphicsControl
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji.
Identyfikator CVE
CVE-2016-1793: Ian Beer z Google Project Zero
CVE-2016-1794: Ian Beer z Google Project Zero
AppleGraphicsPowerManagement
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1795: Moony Li (@Flyic) i Jack Tang (@jacktang310) z Trend Micro
ATS
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: użytkownik lokalny może ujawnić poufne informacje użytkownika.
Opis: naprawiono błąd dostępu do pamięci spoza dozwolonego zakresu przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2016-1796: lokihardt w ramach programu Zero Day Initiative firmy Trend Micro
ATS
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: wykryto błąd w zasadach piaskownicy. Ten błąd naprawiono przez umieszczenie narzędzia FontValidator w piaskownicy.
Identyfikator CVE
CVE-2016-1797: lokihardt w ramach programu Zero Day Initiative firmy Trend Micro
Dźwięk
Dostępne dla: systemów OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji.
Identyfikator CVE
CVE-2016-1798: Juwei Lin z TrendMicro
Dźwięk
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
Identyfikator CVE
CVE-2016-1799: Juwei Lin z TrendMicro
Captive Network Assistant
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11 i nowszych
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod z pomocą użytkownika.
Opis: naprawiono błąd z obsługą własnego schematu adresu URL przez poprawienie procedury walidacji danych wejściowych.
Identyfikator CVE
CVE-2016-1800: Apple
Serwery proxy środowiska CFNetwork
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może ujawnić poufne informacje użytkownika.
Opis: w procedurze obsługi żądań HTTP i HTTPS występował wyciek informacji. Ten błąd naprawiono przez poprawienie procedury obsługi adresów URL.
Identyfikator CVE
CVE-2016-1801: Alex Chapman i Paul Stone z Context Information Security
CommonCrypto
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: złośliwa aplikacja może być w stanie ujawnić poufne informacje użytkownika.
Opis: procedury obsługi wartości zwracanych w bibliotece CCCrypt zawierały błąd. Ten błąd naprawiono przez poprawienie procedur zarządzania długością klucza.
Identyfikator CVE
CVE-2016-1802: Klaus Rodewig
CoreCapture
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji.
Identyfikator CVE
CVE-2016-1803: Ian Beer z Google Project Zero, użytkownik daybreaker w ramach programu Zero Day Initiative firmy Trend Micro
CoreStorage
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd z konfiguracją przez wprowadzenie dodatkowych ograniczeń.
Identyfikator CVE
CVE-2016-1805: Stefan Esser
Crash Reporter
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.
Opis: naprawiono błąd z konfiguracją przez wprowadzenie dodatkowych ograniczeń.
Identyfikator CVE
CVE-2016-1806: użytkownik lokihardt w ramach programu Zero Day Initiative firmy Trend Micro
Obrazy dysków
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: lokalny atakujący może być w stanie odczytać dane z pamięci jądra.
Opis: rozwiązano sytuację wyścigu przez ulepszenie mechanizmu blokowania.
Identyfikator CVE
CVE-2016-1807: Ian Beer z Google Project Zero
Obrazy dysków
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: w procedurze analizowania obrazów dysków występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2016-1808: Moony Li (@Flyic) i Jack Tang (@jacktang310) z Trend Micro
Narzędzie dyskowe
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: Narzędzie dyskowe nie mogło kompresować ani szyfrować obrazów dysków.
Opis: do szyfrowania obrazów dysków były używane niewłaściwe klucze. Ten błąd naprawiono przez uaktualnienie kluczy szyfrowania.
Identyfikator CVE
CVE-2016-1809: Ast A. Moore (@astamoore) i David Foster z TechSmartKids
Sterowniki graficzne
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1810: Moony Li (@Flyic) i Jack Tang (@jacktang310) z Trend Micro
ImageIO
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji.
Identyfikator CVE
CVE-2016-1811: Lander Brandt (@landaire)
Sterownik graficzny Intel
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2016-1812: Juwei Lin z TrendMicro
Sterownik graficzny Intel
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: naprawiono wiele błędów dostępu przez wprowadzenie dodatkowych ograniczeń.
Identyfikator CVE
CVE-2016-1860: Brandon Azad i Qidan He (@flanker_hqd) z KeenLab, Tencent
CVE-2016-1862: Marco Grassi (@marcograss) z KeenLab (@keen_lab), Tencent
IOAcceleratorFamily
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie mechanizmu blokowania.
Identyfikator CVE
CVE-2016-1814: Juwei Lin z TrendMicro
IOAcceleratorFamily
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1815: Liang Chen, Qidan He z KeenLab, Tencent w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2016-1817: Moony Li (@Flyic) i Jack Tang (@jacktang310) z Trend Micro w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2016-1818: Juwei Lin z TrendMicro, sweetchip@GRAYHASH w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2016-1819: Ian Beer z Google Project Zero
Wpis uaktualniono 13 grudnia 2016 r.
IOAcceleratorFamily
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji.
Identyfikator CVE
CVE-2016-1813: Ian Beer z Google Project Zero
CVE-2016-1816: Peter Pi (@heisecode) z Trend Micro i Juwei Lin z Trend Micro
IOAudioFamily
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2016-1820: Moony Li (@Flyic) i Jack Tang (@jacktang310) z Trend Micro w ramach programu Zero Day Initiative firmy Trend Micro
IOAudioFamily
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji.
Identyfikator CVE
CVE-2016-1821: Ian Beer z Google Project Zero
IOFireWireFamily
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1822: CESG
IOHIDFamily
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1823: Ian Beer z zespołu Project Zero firmy Google
CVE-2016-1824: Marco Grassi (@marcograss) z KeenLab (@keen_lab), Tencent
CVE-2016-4650: Peter Pi z Trend Micro w ramach programu Zero Day Initiative firmy HP
IOHIDFamily
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1825: Brandon Azad
Jądro
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
CVE-2016-1831: Brandon Azad
Jądro
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: w narzędziu dtrace wystąpił błąd przepełnienia całkowitoliczbowego. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2016-1826: Ben Murphy w ramach programu Zero Day Initiative firmy Trend Micro
Biblioteka libc
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: lokalny atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
Identyfikator CVE
CVE-2016-1832: Karl Williamson
libxml2
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1835: Wei Lei i Liu Yang z Nanyang Technological University
CVE-2016-1836: Wei Lei i Liu Yang z uczelni Nanyang Technological University
CVE-2016-1837: Wei Lei i Liu Yang z Nanyang Technological University
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11 i nowszych
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1841: Sebastian Apelt
MapKit
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może ujawnić poufne informacje użytkownika.
Opis: udostępnione łącza były wysyłane za pomocą protokołu HTTP zamiast HTTPS. Ten błąd naprawiono przez włączenie protokołu HTTPS dla udostępnionych łączy.
Identyfikator CVE
CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)
Wiadomości
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: złośliwy serwer lub użytkownik może być w stanie zmodyfikować listę kontaktów innego użytkownika.
Opis: w zmianach wykazu występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności zbiorów wykazów.
Identyfikator CVE
CVE-2016-1844: Thijs Alkemade z Computest
Wiadomości
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: osoba atakująca zdalnie może być w stanie ujawnić poufne informacje użytkownika.
Opis: w procedurze analizowania składni nazwy pliku występował błąd kodowania. Ten błąd naprawiono przez poprawienie mechanizmu kodowania nazwy pliku.
Identyfikator CVE
CVE-2016-1843: Heige (a.k.a. SuperHei) z Knownsec 404 Security Team [http://www.knownsec.com]
Multi-Touch
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1804: Liang Chen, Yubin Fu, Marco Grassi of KeenLab, Tencent w ramach programu Zero Day Initiative firmy Trend Micro
NVIDIA Graphics Drivers
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1846: Ian Beer z Google Project Zero
CVE-2016-1861: Ian Beer z Google Project Zero
OpenGL
Dostępne dla: systemów OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 oraz OS X El Capitan 10.11 i nowszych
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wykonanie dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1847: Tongbo Luo i Bo Qu z Palo Alto Networks
QuickTime
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: otwarcie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie programu lub wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1848: Francis Provencher z COSIG
SceneKit
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: otwarcie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie programu lub wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1850: Tyler Bohan z Cisco Talos
Blokada ekranu
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: osoba mająca fizyczny dostęp do komputera może być w stanie wyzerować wygasłe hasło z poziomu ekranu blokady.
Opis: w procedurze zarządzania profilami haseł występował błąd. Ten błąd naprawiono przez poprawienie obsługi zerowania hasła.
Identyfikator CVE
CVE-2016-1851: anonimowy badacz
Tcl
Dostępne dla: systemu OS X El Capitan 10.11 i nowszych
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może ujawnić poufne informacje użytkownika.
Opis: naprawiono błąd z zabezpieczeniem protokołu przez wyłączenie protokołu SSLv2.
Identyfikator CVE
CVE-2016-1853: badacze z Tel Aviv University, Münster University of Applied Sciences, Ruhr University Bochum, University of Pennsylvania, projektu Hashcat, University of Michigan, Two Sigma, Google oraz projektu OpenSSL: Nimrod Aviram, Sebastian Schinzel, Juraj Somorovsky, Nadia Heninger, Maik Dankel, Jens Steube, Luke Valenta, David Adrian, J. Alex Halderman, Viktor Dukhovni, Emilia Käsper, Shaanan Cohney, Susanne Engels, Christof Paar i Yuval Shavitt
System OS X El Capitan 10.11.5 zawiera zabezpieczenia z przeglądarki Safari 9.1.1.