Sobre o conteúdo de segurança do macOS Sierra 10.12

Este documento descreve o conteúdo de segurança do macOS Sierra 10.12.

Sobre as atualizações de segurança da Apple

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de Segurança da Apple.

Para obter informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

macOS Sierra 10.12

Lançado em 20 de setembro de 2016

apache

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um invasor externo pode retransmitir tráfego por meio de um servidor arbitrário

Descrição: havia um problema no processamento da variável de ambiente HTTP_PROXY. Esse problema foi resolvido por meio da não definição da variável de ambiente HTTP_PROXY do CGI.

CVE-2016-4694: Dominic Scheirlinck e Scott Geary da Vend

apache_mod_php

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: diversos problemas no PHP, sendo que o mais importante pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de códigos.

Descrição: diversos problemas no PHP foram resolvidos por meio da atualização do PHP para a versão 5.6.24.

CVE-2016-5768

CVE-2016-5769

CVE-2016-5770

CVE-2016-5771

CVE-2016-5772

CVE-2016-5773

CVE-2016-6174

CVE-2016-6288

CVE-2016-6289

CVE-2016-6290

CVE-2016-6291

CVE-2016-6292

CVE-2016-6294

CVE-2016-6295

CVE-2016-6296

CVE-2016-6297

Suporte HSSPI da Apple

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.

CVE-2016-4697: Qidan He (@flanker_hqd) do KeenLab em parceria com a Zero Day Initiative da Trend Micro

AppleEFIRuntime

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-4696: Shrek_wzw da Qihoo 360 Nirvan Team

AppleMobileFileIntegrity

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo local pode causar a execução arbitrária de códigos usando privilégios de sistema

Descrição: havia um problema de validação na política de herança da porta de tarefas. Esse problema foi resolvido por meio de melhorias na validação dos direitos de processo e do ID da equipe.

CVE-2016-4698: Pedro Vilaça

AppleUUC

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias na validação de entradas.

CVE-2016-4699: Jack Tang (@jacktang310) e Moony Li da Trend Micro em parceria com a Zero Day Initiative da Trend Micro

CVE-2016-4700: Jack Tang (@jacktang310) e Moony Li da Trend Micro em parceria com a Zero Day Initiative da Trend Micro

Firewall do Aplicativo

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um usuário local pode causar uma negação de serviço

Descrição: havia um problema de validação no processamento de prompts de firewall. Esse problema foi resolvido por meio de melhorias na validação do SO_EXECPATH.

CVE-2016-4701: Meder Kydyraliev da Equipe de Segurança do Google

ATS

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: o processamento de um arquivo de fonte criado com códigos maliciosos pode resultar na execução arbitrária de códigos

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.

CVE-2016-4779: riusksk Tencent Security Platform Department

Áudio

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um invasor externo pode causar a execução arbitrária de códigos

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park e Taekyoung Kwon do Information Security Lab, Yonsei University.

Bluetooth

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-4703: Juwei Lin (@fuzzerDOTcn) da Trend Micro

cd9660

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um usuário local pode causar uma negação de serviço do sistema

Descrição: um problema de validação de entrada foi resolvido por meio de melhorias no processamento de memória.

CVE-2016-4706: Recurity Labs em nome da BSI (German Federal Office for Information Security)

CFNetwork

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um usuário local pode descobrir sites acessados por outro usuário

Descrição: havia um problema na exclusão do armazenamento local. Esse problema foi resolvido por meio de melhorias na limpeza do armazenamento local.

CVE-2016-4707: um pesquisador anônimo

CFNetwork

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode comprometer as informações do usuário

Descrição: havia um problema de validação de entrada na análise do cabeçalho Set-Cookie. Esse problema foi resolvido por meio de melhorias na verificação de validações.

CVE-2016-4708: Dawid Czagan do Silesia Security Lab

CommonCrypto

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo usando CCrypt poderá divulgar texto simples confidencial se o buffer de saída e o de entrada forem o mesmo

Descrição: havia um problema de validação de entrada no corecrypto. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-4711: Max Lohrmann

CoreCrypto

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode causar a execução arbitrária de códigos

Descrição: um problema de leitura fora dos limites foi resolvido por meio da remoção do código vulnerável.

CVE-2016-4712: Gergo Koteles

CoreDisplay

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um usuário com uma tela que compartilha acesso pode ver a tela de outro usuário

Descrição: havia um problema de gerenciamento de sessão no processamento das sessões de compartilhamento da tela. Esse problema foi resolvido por meio de rastreamentos de estados melhorados.

CVE-2016-4713: Ruggero Alberti

curl

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: diversos problemas no curl

Descrição: havia diversos problemas no curl antes da versão 7.49.1. Esses problemas foram resolvidos com a atualização do curl para a versão 7.49.1.

CVE-2016-0755: Isaac Boukris

Painel de preferência Data e Hora

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo com código malicioso pode descobrir a localização atual de um usuário

Descrição: havia um problema no processamento do arquivo .GlobalPreferences. Isso foi resolvido com melhorias na validação.

CVE-2016-4715: Taiki (@Taiki__San) em ESIEA (Paris)

DiskArbitration

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios de sistema

Descrição: havia um problema de acesso no diskutil. Esse problema foi resolvido por meio de melhorias na verificação de permissões.

CVE-2016-4716: Alexander Allen da The North Carolina School of Science and Mathematics

Favorito de arquivo

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo local pode causar uma negação de serviço

Descrição: havia um problema de gerenciamento de recursos no processamento de favoritos ao alcance do app. Esse problema foi resolvido por meio de melhorias no gerenciamento de descritores.

CVE-2016-4717: Tom Bradley da 71Squared Ltd

FontParser

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: processar uma fonte criada com códigos maliciosos pode resultar na divulgação da memória do processo

Descrição: ocorria um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi resolvido por meio de melhorias na verificação de limites.

CVE-2016-4718: Apple

IDS – Conectividade

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um invasor em uma posição de rede privilegiada pode causar uma negação de serviço

Descrição: havia um problema de falsificação no processamento de transmissão de chamadas. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-4722: Martin Vigo (@martin_vigo) do salesforce.com

ImageIO

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: processar uma imagem criada com códigos maliciosos pode resultar na divulgação da memória do processo

Descrição: havia um problema de leitura fora dos limites na análise de imagens do SGI. Esse problema foi resolvido por meio de melhorias na verificação de limites.

CVE-2016-4682: Ke Liu do Xuanwu Lab da Tencent

Entrada adicionada em 24 de outubro de 2016

Driver da placa gráfica da Intel

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.

CVE-2016-4723: daybreaker do Minionz

Driver da placa gráfica da Intel

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: um problema do tipo "uso após livre" foi resolvido por meio de melhorias no gerenciamento de memória.

CVE-2016-7582: Liang Chen da Tencent KeenLab

Entrada adicionada em 14 de novembro de 2016

IOAcceleratorFamily

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-4724: Cererdlong, Eakerqiu da Team OverSky

IOAcceleratorFamily

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode resultar na divulgação da memória de processamento

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-4725: Rodger Combs da Plex, Inc

IOAcceleratorFamily

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.

CVE-2016-4726: um pesquisador anônimo

IOThunderboltFamily

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.

CVE-2016-4727: wmin em parceria com a Zero Day Initiative da Trend Micro

Módulo Kerberos v5 PAM

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um invasor externo pode identificar a existência de contas de usuário

Descrição: um ataque de canal lateral de temporização permitia que um invasor identificasse a existência de contas de usuário em um sistema. O problema foi resolvido com a introdução de verificações de hora constantes.

CVE-2016-4745: um pesquisador anônimo

Kernel

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo local pode ter acesso a arquivos restritos

Descrição: um problema de análise no processamento de caminhos do diretório foi resolvido por meio de melhorias na validação de caminhos.

CVE-2016-4771: Balazs Bucsay, Diretor de pesquisa da MRG Effitas

Kernel

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um invasor remoto pode causar uma negação de serviço

Descrição: um problema no processamento do bloqueio foi resolvido por meio de melhorias no processamento do bloqueio.

CVE-2016-4772: Marc Heuse da mh-sec

Kernel

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode identificar o layout de memória do kernel

Descrição: havia diversos problemas de leitura fora dos limites que causavam a divulgação de memória do kernel. Esses problemas foram resolvidos por meio de melhorias na validação de entradas.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Kernel

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um usuário local pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.

CVE-2016-4775: Brandon Azad

Kernel

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: um problema de cancelamento de referência de ponteiro não confiável foi resolvido por meio da remoção do código afetado.

CVE-2016-4777: Lufeng Li da Qihoo 360 Vulcan Team

Kernel

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.

CVE-2016-4778: CESG

libarchive

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: diversos problemas no libarchive

Descrição: havia diversos problemas de corrompimento de memória no libarchive. Esses problemas foram resolvidos por meio de melhorias na validação de entradas.

CVE-2016-4736: Proteas da Qihoo 360 Nirvan Team

libxml2

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: diversos problemas no libxml2, sendo que o mais importante deles pode levar ao encerramento inesperado de aplicativos ou à execução arbitrária de código.

Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento de memória.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

libxpc

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode conseguir sair de sua área de proteção

Descrição: havia várias fragilidades com a geração de novos processos com o launchctl. Esses problemas foram resolvidos por meio de melhorias na aplicação de políticas.

CVE-2016-4617: Gregor Kopf dos Recurity Labs em nome da BSI (German Federal Office for Information Security)

Entrada adicionada em 24 de outubro de 2016

libxslt

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na execução arbitrária de códigos

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.

CVE-2016-4738: Nick Wellnhofer

Mail

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um site malicioso pode causar uma negação de serviço

Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento de URLs.

CVE-2016-7580: Sabri Haddouche (@pwnsdx)

Entrada adicionada em 1º de dezembro de 2016

mDNSResponder

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um invasor remoto pode acessar informações confidenciais

Descrição: aplicativos que usam VMnet.framework permitiam a escuta de DNS em todas as interfaces de rede. Esse problema foi resolvido por meio da restrição de respostas para consultas DNS a interfaces locais.

CVE-2016-4739: Magnus Skjegstad, David Scott e Anil Madhavapeddy da Docker, Inc.

NSSecureTextField

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo com código malicioso pode causar o vazamento das credenciais de um usuário

Descrição: havia um problema de gerenciamento de estado no NSSecureTextField que não habilitava a Entrada Segura. Esse problema foi resolvido por meio de melhorias no gerenciamento de janelas.

CVE-2016-4742: Rick Fillion da AgileBits e Daniel Jalkut da Red Sweater Software

Perl

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um usuário local pode contornar o mecanismo de proteção de taint

Descrição: havia um problema na análise de variáveis do ambiente. Esse problema foi resolvido por meio de melhorias na validação de variáveis do ambiente.

CVE-2016-4748: Stephane Chazelas

S2 Camera

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.

CVE-2016-4750: Jack Tang (@jacktang310) e Moony Li da Trend Micro em parceria com a Zero Day Initiative da Trend Micro

Segurança

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo que usa SecKeyDeriveFromPassword pode causar vazamento de memória

Descrição: havia um problema de gerenciamento de recursos no processamento de derivação de chaves. Esse problema foi resolvido por meio da adição de CF_RETURNS_RETAINED a SecKeyDeriveFromPassword.

CVE-2016-4752: Mark Rogers da PowerMapper Software

Segurança

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um aplicativo malicioso pode causar a execução arbitrária de códigos com privilégios de sistema

Descrição: havia um problema na validação de imagens de disco assinadas. Esse problema foi resolvido por meio da melhoria da validação de tamanhos.

CVE-2016-4753: Mark Mentovai da Google Inc.

Terminal

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um usuário local pode causar vazamento de dados confidenciais de usuário

Descrição: havia um problema de permissões em .bash_history e .bash_session. Esse problema foi resolvido por meio de melhorias nas restrições de acesso.

CVE-2016-4755: Axel Luttgens

WindowServer

Disponível para: OS X Lion 10.7.5 ou posterior

Impacto: um usuário local pode obter privilégios no nível principal

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2016-4709: pesquisador anônimo em conjunto com a Zero Day Initiative da Trend Micro

CVE-2016-4710: pesquisador anônimo em conjunto com a Zero Day Initiative da Trend Micro

Entrada atualizada em 15 de novembro de 2016

O macOS Sierra 10.12 inclui o conteúdo de segurança do Safari 10.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: