Sobre o conteúdo de segurança do macOS Sierra 10.12.1, da Atualização de Segurança 2016-002 do El Capitan e da Atualização de Segurança 2016-006 do Yosemite

Este documento descreve o conteúdo de segurança do macOS Sierra 10.12.1, da Atualização de Segurança 2016-002 do El Capitan e da Atualização de Segurança 2016-006 do Yosemite.

Sobre as atualizações de segurança da Apple

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

macOS Sierra 10.12.1, Atualização de Segurança 2016-002 do El Capitan e Atualização de Segurança 2016-006 do Yosemite

Lançado em 24 de outubro de 2016

AppleGraphicsControl

Disponível para: OS X Yosemite 10.10.5 e OS X El Capitan 10.11.6

Impacto: um aplicativo poderia causar a execução de códigos arbitrários com privilégios de kernel

Descrição: um problema de corrompimento de memória foi solucionado por meio de melhorias na verificação de estado bloqueado.

CVE-2016-4662: Apple

AppleMobileFileIntegrity

Disponível para: macOS Sierra 10.12

Impacto: um executável assinado poderia substituir códigos com o mesmo ID da equipe

Descrição: havia um problema de validação no processamento de assinaturas de códigos. Esse problema foi resolvido por meio de validações adicionais.

CVE-2016-7584: Mark Mentovai e Boris Vidolov da Google Inc.

Entrada adicionada em 27 de novembro de 2016

AppleSMC

Disponível para: macOS Sierra 10.12

Impacto: um usuário local poderia elevar privilégios

Descrição: um problema de cancelamento de referência de ponteiro nulo foi solucionado por meio de melhorias no bloqueio.

CVE-2016-4678: daybreaker@Minionz em parceria com a Zero Day Initiative da Trend Micro

ATS

Disponível para: macOS Sierra 10.12

Impacto: o processamento de um arquivo de fonte criado com códigos maliciosos poderia resultar na execução arbitrária de códigos

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-4667: Simon Huang do alipay, Thelongestusernameofall@gmail.com, Moony Li da TrendMicro, @Flyic

Entrada atualizada em 27 de outubro de 2016

ATS

Disponível para: macOS Sierra 10.12

Impacto: um usuário local poderia causar execução arbitrária de códigos com privilégios adicionais

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-4674: Shrek_wzw da Qihoo 360 Nirvan Team

CFNetwork Proxies

Disponível para: macOS Sierra 10.12

Impacto: um invasor em uma posição de rede privilegiada poderia causar o vazamento de informações confidenciais do usuário

Descrição: havia um problema de phishing no processamento de credenciais de proxy. Esse problema foi resolvido com a remoção de solicitações de autenticação de senha não solicitadas.

CVE-2016-7579: Jerry Decime

Core Image

Disponível para: OS X El Capitan 10.11.6

Impacto: visualizar um arquivo JPEG malicioso poderia resultar na execução arbitrária de códigos

Descrição: um problema de corrompimento de memória foi solucionado por meio de melhorias na validação de entradas.

CVE-2016-4681: Ke Liu do Xuanwu Lab da Tencent

Entrada adicionada no dia 25 de outubro de 2016

CoreGraphics

Disponível para: macOS Sierra 10.12

Impacto: visualizar um arquivo JPEG malicioso poderia resultar na execução arbitrária de códigos

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-4673: Marco Grassi (@marcograss) do KeenLab (@keen_lab) da Tencent

FaceTime

Disponível para: macOS Sierra 10.12

Impacto: um invasor em uma posição de rede privilegiada poderia fazer com que uma chamada retransmitida continuasse transmitindo áudio embora parecesse ter sido encerrada

Descrição: havia inconsistências na interface de usuário no processamento de chamadas retransmitidas. Esses problemas foram resolvidos por meio de melhorias na lógica de protocolos.

CVE-2016-7577: Martin Vigo (@martin_vigo) da salesforce.com

Entrada adicionada em 27 de outubro de 2016

FontParser

Disponível para: macOS Sierra 10.12

Impacto: a análise de uma fonte maliciosa poderia divulgar informações confidenciais

Descrição: um problema de leitura fora dos limites foi solucionado por meio de melhorias na verificação de limites.

CVE-2016-4660: Ke Liu do Xuanwu Lab da Tencent

FontParser

Disponível para: macOS Sierra 10.12

Impacto: o processamento de um arquivo de fonte criado com códigos maliciosos poderia resultar na execução arbitrária de códigos 

Descrição: ocorria um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi solucionado por meio de melhorias na verificação de limites.

CVE-2016-4688: Simon Huang da empresa Alipay, thelongestusernameofall@gmail.com

Entrada adicionada em 27 de novembro de 2016

IDS – Conectividade

Disponível para: macOS Sierra 10.12

Impacto: um invasor em uma posição de rede privilegiada poderia enganar um usuário em uma chamada com vários participantes fazendo-o acreditar que ele estava conectado a outra conferência

Descrição: havia um problema de personificação no processamento de alterações de chamadas. Esse problema foi solucionado por meio de melhorias no processamento das notificações de alteração de autores da chamada.

CVE-2016-4721: Martin Vigo (@martin_vigo) da salesforce.com

Entrada adicionada em 27 de outubro de 2016

ImageIO

Disponível para: OS X El Capitan 10.11.6

Impacto: o processamento de um PDF malicioso poderia resultar na execução arbitrária de códigos

Descrição: um problema de gravação fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2016-4671: Ke Liu do Xuanwu Lab da Tencent, Juwei Lin (@fuzzerDOTcn)

ImageIO

Disponível para: OS X Yosemite 10.10.5 e OS X El Capitan 10.11.6

Impacto: processar uma imagem criada com códigos maliciosos poderia resultar na divulgação da memória de processamento

Descrição: havia um problema de leitura fora dos limites na análise de imagens do SGI. Esse problema foi solucionado por meio de melhorias na verificação de limites.

CVE-2016-4682: Ke Liu do Xuanwu Lab da Tencent

ImageIO

Disponível para: OS X El Capitan 10.11.6

Impacto: um invasor externo poderia causar a execução arbitrária de códigos

Descrição: existiam muitos problemas de leitura e gravação fora dos limites na análise de SGI. Esses problemas foram corrigidos por meio de melhorias na validação de entrada.

CVE-2016-4683: Ke Liu do Xuanwu Lab da Tencent

Entrada adicionada no dia 25 de outubro de 2016

Kernel

Disponível para: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 e macOS Sierra 10.12

Impacto: um usuário local poderia causar um encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel

Descrição: havia vários problemas de validação de entrada nos códigos gerados por MIG. Esses problemas foram solucionados por meio de melhorias na validação.

CVE-2016-4669: Ian Beer do Google Project Zero

Entrada atualizada em 2 de novembro de 2016

Kernel

Disponível para: macOS Sierra 10.12

Impacto: um aplicativo local poderia causar a execução arbitrária de códigos usando privilégios de raiz

Descrição: havia diversos problemas de tempo de vida do objeto ao gerar novos processos. Eles foram resolvidos por meio de melhorias na validação.

CVE-2016-7613: Ian Beer do Google Project Zero

Entrada adicionada em 1º de novembro de 2016

libarchive

Disponível para: macOS Sierra 10.12

Impacto: um arquivo malicioso poderia sobrescrever arquivos arbitrários

Descrição: havia um problema na lógica de validação de caminho para links simbólicos. Esse problema foi solucionado por meio de melhorias na limpeza do caminho.

CVE-2016-4679: Omer Medan da enSilo Ltd

libxpc

Disponível para: macOS Sierra 10.12

Impacto: um aplicativo poderia causar a execução arbitrária de códigos com privilégios de raiz

Descrição: um problema de lógica foi solucionado por meio de restrições adicionais.

CVE-2016-4675: Ian Beer do Google Project Zero

Entrada atualizada em 30 de março de 2017

ntfs

Disponível para: macOS Sierra 10.12

Impacto: um aplicativo poderia causar uma negação de serviço

Descrição: havia um problema na análise de imagens de disco. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2016-4661: Recurity Labs, em nome da BSI (German Federal Office for Information Security)

Drivers de placas gráficas NVIDIA

Disponível para: OS X Yosemite 10.10.5 e OS X El Capitan 10.11.6

Impacto: um aplicativo poderia causar uma negação de serviço

Descrição: um problema de corrompimento de memória foi solucionado por meio de melhorias na validação de entradas.

CVE-2016-4663: Apple

Segurança

Disponível para: macOS Sierra 10.12

Impacto: um invasor local poderia observar o tamanho da senha de login quando um usuário iniciasse a sessão

Descrição: havia um problema de registro no processamento de senhas. Esse problema foi resolvido com a remoção do registro de tamanho de senha.

CVE-2016-4670: Daniel Jalkut do software Red Sweater

Entrada atualizada em 25 de outubro de 2016

Thunderbolt

Disponível para: macOS Sierra 10.12

Impacto: um aplicativo poderia causar a execução de códigos arbitrários com privilégios de kernel

Descrição: um problema de cancelamento de referência de ponteiro nulo foi solucionado por meio de melhorias na validação de entradas. 

CVE-2016-4780: sweetchip da Grayhash

Entrada adicionada em 29 de novembro de 2016

O macOS Sierra 10.12.1 inclui o conteúdo de segurança do Safari 10.0.1.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: