Zawartość związana z zabezpieczeniami w systemie macOS Sierra 10.12.2, uaktualnieniu zabezpieczeń 2016-003 El Capitan i uaktualnieniu zabezpieczeń 2016-007 Yosemite

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Sierra 10.12.2, uaktualnieniu zabezpieczeń 2016-003 El Capitan i uaktualnieniu zabezpieczeń 2016-007 Yosemite.

Uaktualnienia zabezpieczeń firmy Apple

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z firmą Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach firmy Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

macOS Sierra 10.12.2, uaktualnienie zabezpieczeń 2016-003 El Capitan i uaktualnienie zabezpieczeń 2016-007 Yosemite

Wydano 13 grudnia 2016 r.

apache_mod_php

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: atakujący zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w oprogramowaniu PHP w wersji starszej niż 5.6.26 występowały liczne błędy. Te błędy naprawiono przez uaktualnienie oprogramowania PHP do wersji 5.6.26.

CVE-2016-7411

CVE-2016-7412

CVE-2016-7413

CVE-2016-7414

CVE-2016-7416

CVE-2016-7417

CVE-2016-7418

AppleGraphicsPowerManagement

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7609: daybreaker@Minionz w ramach programu Zero Day Initiative firmy Trend Micro

Zasoby

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: lokalny atakujący może zmodyfikować pobrane zasoby mobilne.

Opis: w zasobach mobilnych występował błąd uprawnień. Ten błąd naprawiono przez ulepszenie ograniczeń dostępu.

CVE-2016-7628: Marcel Bresink z Marcel Bresink Software-Systeme

Wpis uaktualniono 15 grudnia 2016 r.

Dźwięk

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7658: Haohao Kong z Keen Lab (@keen_lab) firmy Tencent

CVE-2016-7659: Haohao Kong z Keen Lab (@keen_lab) firmy Tencent

Bluetooth

Dostępne dla: systemów macOS Sierra 10.12.1, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra. 

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa i Marko Laakso z Synopsys Software Integrity Group

Wpis uaktualniono 14 grudnia 2016 r.

Bluetooth

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7605: daybreaker z Minionz

Bluetooth

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2016-7617: Radu Motspan w ramach programu Zero Day Initiative firmy Trend Micro, Ian Beer z Google Project Zero

CoreCapture

Dostępne dla: systemów macOS Sierra 10.12.1 i OS X El Capitan 10.11.6

Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedur zarządzania stanem.

CVE-2016-7604: daybreaker z Minionz

Wpis uaktualniono 14 grudnia 2016 r.

CoreFoundation

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: przetworzenie złośliwie spreparowanych ciągów może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze przetwarzania ciągów występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-7663: anonimowy badacz

CoreGraphics

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7627: TRAPMINE Inc. i Meysam Firouzi @R00tkitSMM

Wyświetlacze zewnętrzne firmy CoreMedia

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: lokalna aplikacja może być w stanie wykonać dowolny kod w kontekście demona serwera multimediów.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2016-7655: Keen Lab w ramach programu Zero Day Initiative firmy Trend Micro

Odtwarzanie w aplikacji CoreMedia

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: przetworzenie złośliwie spreparowanego pliku MP4 może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-7588: dragonltx z Huawei 2012 Laboratories

CoreStorage

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7603: daybreaker@Minionz w ramach programu Zero Day Initiative firmy Trend Micro

CoreText

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi plików czcionek występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-7595: riusksk(泉哥) z Tencent Security Platform Department

CoreText

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: przetworzenie złośliwie spreparowanego ciągu znaków mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd występujący podczas renderowania pokrywających się zakresów przez poprawienie procedury walidacji.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) ze strony Digital Unit (dgunit.com)

Wpis dodano 15 grudnia 2016 r.

curl

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może ujawnić poufne informacje użytkownika.

Opis: wykryto szereg błędów w oprogramowaniu curl. Te błędy naprawiono przez uaktualnienie programu curl do wersji 7.51.0.

CVE-2016-5419

CVE-2016-5420

CVE-2016-5421

CVE-2016-7141

CVE-2016-7167

CVE-2016-8615

CVE-2016-8616

CVE-2016-8617

CVE-2016-8618

CVE-2016-8619

CVE-2016-8620

CVE-2016-8621

CVE-2016-8622

CVE-2016-8623

CVE-2016-8624

CVE-2016-8625

Usługi katalogowe

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: użytkownik lokalny może uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2016-7633: Ian Beer z Google Project Zero

Obrazy dysków

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7616: daybreaker@Minionz w ramach programu Zero Day Initiative firmy Trend Micro

FontParser

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi plików czcionek występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-4691: riusksk(泉哥) z Tencent Security Platform Department

Foundation

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: otwarcie złośliwie spreparowanego pliku GCX może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7618: riusksk(泉哥) z Tencent Security Platform Department

Grapher

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: otwarcie złośliwie spreparowanego pliku GCX może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7622: riusksk(泉哥) z Tencent Security Platform Department

ICU

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-7594: André Bargull

ImageIO

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: atakujący zdalnie może być w stanie ujawnić pamięć.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-7643: Yangkang (@dnpushme) z Qihoo360 Qex Team

Sterownik graficzny Intel

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra. 

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7602: daybreaker@Minionz w ramach programu Zero Day Initiative firmy Trend Micro

IOFireWireFamily

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: lokalny atakujący może być w stanie odczytać dane z pamięci jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-7608: Brandon Azad

IOAcceleratorFamily

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra

Opis: naprawiono błąd związany z pamięcią wspólną przez poprawienie procedury obsługi pamięci.

CVE-2016-7624: Qidan He (@flanker_hqd) z KeenLab w ramach programu Zero Day Initiative firmy Trend Micro

IOHIDFamily

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: lokalna aplikacja z uprawnieniami systemowymi może wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2016-7591: daybreaker z Minionz

IOKit

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: aplikacja może być w stanie odczytać pamięć jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7657: Keen Lab w ramach programu Zero Day Initiative firmy Trend Micro

IOKit

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra

Opis: naprawiono błąd związany z pamięcią wspólną przez poprawienie procedury obsługi pamięci.

CVE-2016-7625: Qidan He (@flanker_hqd) z KeenLab w ramach programu Zero Day Initiative firmy Trend Micro

IOKit

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra

Opis: naprawiono błąd związany z pamięcią wspólną przez poprawienie procedury obsługi pamięci.

CVE-2016-7714: Qidan He (@flanker_hqd) z KeenLab w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 25 stycznia 2017 r.

IOSurface

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra

Opis: naprawiono błąd związany z pamięcią wspólną przez poprawienie procedury obsługi pamięci.

CVE-2016-7620: Qidan He (@flanker_hqd) z KeenLab w ramach programu Zero Day Initiative firmy Trend Micro

Jądro

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra. 

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7606: @cocoahuke, Chen Qin z Topsec Alpha Team (topsec.com)

CVE-2016-7612: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: aplikacja może być w stanie odczytać pamięć jądra.

Opis: naprawiono błąd niewystarczającej inicjalizacji przez właściwą inicjalizację pamięci przywróconej do przestrzeni użytkownika.

CVE-2016-7607: Brandon Azad

Jądro

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.

CVE-2016-7615: brytyjska organizacja National Cyber Security Centre (NCSC)

Jądro

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2016-7621: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: użytkownik lokalny może uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7637: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: lokalna aplikacja z uprawnieniami systemowymi może wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2016-7644: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.

CVE-2016-7647: Lufeng Li z Qihoo 360 Vulcan Team

Wpis dodano 17 maja 2017 r.

Narzędzia kext

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra. 

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7629: @cocoahuke

libarchive

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: lokalny atakujący może nadpisać istniejące pliki.

Opis: w procedurze obsługi łączy symbolicznych występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji łączy symbolicznych.

CVE-2016-7619: anonimowy badacz

LibreSSL

Dostępne dla: systemów macOS Sierra 10.12.1 i OS X El Capitan 10.11.6

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd podatności na atak typu „odmowa usługi” w niepowiązanym przyroście protokołu OCSP przez poprawienie procedury obsługi pamięci.

CVE-2016-6304

Wpis uaktualniono 14 grudnia 2016 r.

OpenLDAP

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: atakujący może być w stanie wykorzystać słabe punkty w algorytmie kryptograficznym RC4.

Opis: algorytm RC4 został usunięty jako szyfr domyślny.

CVE-2016-1777: Pepi Zawodsky

OpenPAM

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: nieuprawniony użytkownik lokalny może uzyskać dostęp do uprzywilejowanych aplikacji.

Opis: nieudane uwierzytelnianie PAM wewnątrz aplikacji uruchamianych w trybie piaskownicy wiązało się z zagrożeniem dla bezpieczeństwa. Ten błąd naprawiono przez poprawienie procedury obsługi błędów.

CVE-2016-7600: Perette Barella z DeviousFish.com

OpenSSL

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod.

Opis: w elemencie MDC2_Update () występował błąd powodujący przepełnienie buforu. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-6303

OpenSSL

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd podatności na atak typu „odmowa usługi” w niepowiązanym przyroście protokołu OCSP przez poprawienie procedury obsługi pamięci.

CVE-2016-6304

Zarządzanie energią

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: użytkownik lokalny może uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd w odniesieniach do nazwy portu mach przez poprawienie procedury walidacji.

CVE-2016-7661: Ian Beer z Google Project Zero

Zabezpieczenia

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: atakujący może być w stanie wykorzystać słabe punkty w algorytmie kryptograficznym 3DES.

Opis: usunięto algorytm 3DES jako szyfr domyślny.

CVE-2016-4693: Gaëtan Leurent i Karthikeyan Bhargavan z INRIA Paris

Zabezpieczenia

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.

Opis: w procedurze obsługi adresów URL respondera protokołu OCSP występował błąd walidacji. Ten błąd naprawiono przez weryfikację stanu wygaśnięcia protokołu OCSP po sprawdzeniu urzędu certyfikacji i ograniczenie liczby żądań protokołu OCSP na certyfikat.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Zabezpieczenia

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: certyfikaty mogą być nieoczekiwanie uznawane za zaufane.

Opis: w procedurze walidacji certyfikatów występował błąd oceny certyfikatów. Ten błąd naprawiono przez wprowadzenie dodatkowej procedury walidacji certyfikatów.

CVE-2016-7662: Apple

syslog

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: użytkownik lokalny może uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd w odniesieniach do nazwy portu mach przez poprawienie procedury walidacji.

CVE-2016-7660: Ian Beer z Google Project Zero

Wi-Fi

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: złośliwy użytkownik lokalny może wyświetlić poufne informacje dotyczące konfiguracji sieci.

Opis: konfiguracja sieci stała się nieoczekiwanie globalna. Ten błąd naprawiono przez przeniesienie poufnych informacji dotyczących konfiguracji sieci do ustawień pojedynczych użytkowników.

CVE-2016-7761: Peter Loos, Karlsruhe, Niemcy

Wpis dodano 24 stycznia 2017 r.

xar

Dostępne dla: systemu macOS Sierra 10.12.1

Zagrożenie: otwarcie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd użycia niezainicjowanej zmiennej przez poprawienie procedury walidacji.

CVE-2016-7742: Gareth Evans z Context Information Security

Wpis dodano 10 stycznia 2017 r.

macOS Sierra 10.12.2, uaktualnienie zabezpieczeń 2016-003 El Capitan i uaktualnienie zabezpieczeń 2016-007 Yosemite zawierają rozwiązania zabezpieczeń przeglądarki Safari 10.0.2.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: