Sobre o conteúdo de segurança do macOS Sierra 10.12.2, a Atualização de Segurança 2016-003 do El Capitan e a Atualização de Segurança 2016-007 do Yosemite

Este documento descreve o conteúdo de segurança do macOS Sierra 10.12.2, a Atualização de Segurança 2016-003 do El Capitan e a Atualização de Segurança 2016-007 do Yosemite.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para ver mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

macOS Sierra 10.12.2, Atualização de Segurança 2016-003 do El Capitan e Atualização de Segurança 2016-007 do Yosemite

Lançado em 13 de dezembro de 2016

apache_mod_php

Disponível para: macOS Sierra 10.12.1

Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia vários problemas no PHP antes da versão 5.6.26. Esses problemas foram resolvidos com a atualização do PHP para a versão 5.6.26.

CVE-2016-7411

CVE-2016-7412

CVE-2016-7413

CVE-2016-7414

CVE-2016-7416

CVE-2016-7417

CVE-2016-7418

AppleGraphicsPowerManagement

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local pode causar uma negação de serviço do sistema

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7609: daybreaker@Minionz em parceria com a Zero Day Initiative da Trend Micro

Ativos

Disponível para: macOS Sierra 10.12.1

Impacto: um invasor local pode modificar ativos móveis obtidos por download

Descrição: havia um problema de permissões nos ativos móveis. Esse problema foi resolvido por meio de melhorias nas restrições de acesso.

CVE-2016-7628: Marcel Bresink da Marcel Bresink Software-Systeme

Entrada atualizada em 15 de dezembro de 2016

Áudio

Disponível para: macOS Sierra 10.12.1

Impacto: processar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7658: Haohao Kong do Keen Lab (@keen_lab) da Tencent

CVE-2016-7659: Haohao Kong do Keen Lab (@keen_lab) da Tencent

Bluetooth

Disponível para: macOS Sierra 10.12.1, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel 

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa e Marko Laakso do Synopsys Software Integrity Group

Entrada atualizada em 14 de dezembro de 2016

Bluetooth

Disponível para: macOS Sierra 10.12.1

Impacto: um aplicativo pode causar uma negação de serviço

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7605: daybreaker do Minionz

Bluetooth

Disponível para: macOS Sierra 10.12.1

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de sistema

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7617: Radu Motspan em parceria com a Zero Day Initiative da Trend Micro e Ian Beer do Google Project Zero

CoreCapture

Disponível para: macOS Sierra 10.12.1 e OS X El Capitan 10.11.6

Impacto: um usuário local pode causar uma negação de serviço do sistema

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2016-7604: daybreaker do Minionz

Entrada atualizada em 14 de dezembro de 2016

CoreFoundation

Disponível para: macOS Sierra 10.12.1

Impacto: processar strings maliciosas pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia um problema de corrupção de memória no processamento de strings. Esse problema foi resolvido por meio de melhorias na verificação de limites.

CVE-2016-7663: pesquisador anônimo

CoreGraphics

Disponível para: macOS Sierra 10.12.1

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7627: TRAPMINE Inc. e Meysam Firouzi @R00tkitSMM

CoreMedia External Displays

Disponível para: macOS Sierra 10.12.1

Impacto: um aplicativo local pode executar códigos arbitrários no contexto do daemon do servidor de mídia

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7655: Keen Lab em parceria com a Zero Day Initiative da Trend Micro

CoreMedia Playback

Disponível para: macOS Sierra 10.12.1

Impacto: processar um arquivo .mp4 criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7588: dragonltx da Huawei 2012 Laboratories

CoreStorage

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local pode causar uma negação de serviço do sistema

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7603: daybreaker@Minionz em parceria com a Zero Day Initiative da Trend Micro

CoreText

Disponível para: macOS Sierra 10.12.1

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia vários problemas de corrupção de memória no processamento de arquivos de fonte. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.

CVE-2016-7595: riusksk(泉哥) do Tencent Security Platform Department

CoreText

Disponível para: macOS Sierra 10.12.1

Impacto: processar uma sequência criada com códigos maliciosos pode causar uma negação de serviço

Descrição: um problema durante a renderização de intervalos sobrepostos foi resolvido por meio de melhorias na validação.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) da Digital Unit (dgunit.com)

Entrada adicionada em 15 de dezembro de 2016

curl

Disponível para: macOS Sierra 10.12.1

Impacto: um invasor em uma posição de rede privilegiada pode causar o vazamento de informações confidenciais do usuário

Descrição: havia vários problemas no curl. Esses problemas foram resolvidos ao atualizar o curl para a versão 7.51.0.

CVE-2016-5419

CVE-2016-5420

CVE-2016-5421

CVE-2016-7141

CVE-2016-7167

CVE-2016-8615

CVE-2016-8616

CVE-2016-8617

CVE-2016-8618

CVE-2016-8619

CVE-2016-8620

CVE-2016-8621

CVE-2016-8622

CVE-2016-8623

CVE-2016-8624

CVE-2016-8625

Serviços de Diretório

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local pode obter privilégios raiz

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2016-7633: Ian Beer do Google Project Zero

Imagens de disco

Disponível para: macOS Sierra 10.12.1

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7616: daybreaker@Minionz em parceria com a Zero Day Initiative da Trend Micro

FontParser

Disponível para: macOS Sierra 10.12.1

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia vários problemas de corrupção de memória no processamento de arquivos de fonte. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.

CVE-2016-4691: riusksk(泉哥) do Tencent Security Platform Department

Foundation

Disponível para: macOS Sierra 10.12.1

Impacto: abrir um arquivo .gcx criado com códigos maliciosos pode causar o fechamento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7618: riusksk(泉哥) do Tencent Security Platform Department

Grapher

Disponível para: macOS Sierra 10.12.1

Impacto: abrir um arquivo .gcx criado com códigos maliciosos pode causar o fechamento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7622: riusksk(泉哥) do Tencent Security Platform Department

ICU

Disponível para: macOS Sierra 10.12.1

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7594: André Bargull

ImageIO

Disponível para: macOS Sierra 10.12.1

Impacto: um invasor remoto pode causar o vazamento de memória

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2016-7643: Yangkang (@dnpushme) da equipe Qex da Qihoo360

Driver da placa gráfica da Intel

Disponível para: macOS Sierra 10.12.1

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel 

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7602: daybreaker@Minionz em parceria com a Zero Day Initiative da Trend Micro

IOFireWireFamily

Disponível para: macOS Sierra 10.12.1

Impacto: um invasor local pode ler a memória do kernel

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7608: Brandon Azad

IOAcceleratorFamily

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local pode definir o layout de memória do kernel

Descrição: um problema de memória compartilhada foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7624: Qidan He (@flanker_hqd) do KeenLab em parceria com a Zero Day Initiative da Trend Micro

IOHIDFamily

Disponível para: macOS Sierra 10.12.1

Impacto: um aplicativo local com privilégios de sistema pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2016-7591: daybreaker do Minionz

IOKit

Disponível para: macOS Sierra 10.12.1

Impacto: um aplicativo pode ler a memória do kernel

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7657: Keen Lab em parceria com a Zero Day Initiative da Trend Micro

IOKit

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local pode definir o layout de memória do kernel

Descrição: um problema de memória compartilhada foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7625: Qidan He (@flanker_hqd) do KeenLab em parceria com a Zero Day Initiative da Trend Micro

IOKit

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local pode definir o layout de memória do kernel

Descrição: um problema de memória compartilhada foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7714: Qidan He (@flanker_hqd) do KeenLab em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 25 de janeiro de 2017

IOSurface

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local pode definir o layout de memória do kernel

Descrição: um problema de memória compartilhada foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7620: Qidan He (@flanker_hqd) do KeenLab em parceria com a Zero Day Initiative da Trend Micro

Kernel

Disponível para: macOS Sierra 10.12.1

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel 

Descrição: vários problemas de corrupção de memória foram resolvidos por meio de melhorias na validação de entradas.

CVE-2016-7606: @cocoahuke, Chen Qin da equipe Topsec Alpha (topsec.com)

CVE-2016-7612: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.1

Impacto: um aplicativo pode ler a memória do kernel

Descrição: um problema de inicialização insuficiente foi resolvido por meio da inicialização adequada da memória para retornar ao espaço do usuário.

CVE-2016-7607: Brandon Azad

Kernel

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local pode causar uma negação de serviço do sistema

Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7615: National Cyber Security Centre (NCSC, Centro de Segurança Cibernética Nacional do Reino Unido)

Kernel

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local pode causar um encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2016-7621: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local pode obter privilégios raiz

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7637: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.1

Impacto: um aplicativo local com privilégios de sistema pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2016-7644: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.1

Impacto: um aplicativo pode causar uma negação de serviço

Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7647: Lufeng Li da Qihoo 360 Vulcan Team

Entrada adicionada em 17 de maio de 2017

Ferramentas de kext

Disponível para: macOS Sierra 10.12.1

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel 

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7629: @cocoahuke

libarchive

Disponível para: macOS Sierra 10.12.1

Impacto: um invasor local pode substituir arquivos existentes

Descrição: havia um problema de validação no processamento de links simbólicos. Esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2016-7619: pesquisador anônimo

LibreSSL

Disponível para: macOS Sierra 10.12.1 e OS X El Capitan 10.11.6

Impacto: um invasor com posição de rede privilegiada pode causar uma negação de serviço

Descrição: um problema de negação de serviço em um OCSP de crescimento ilimitado foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-6304

Entrada atualizada em 14 de dezembro de 2016

OpenLDAP

Disponível para: macOS Sierra 10.12.1

Impacto: um invasor pode explorar as vulnerabilidades do algoritmo criptográfico RC4

Descrição: o algoritmo RC4 foi removido como cifra padrão.

CVE-2016-1777: Pepi Zawodsky

OpenPAM

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local sem privilégios pode obter acesso a aplicativos com privilégios

Descrição: a autenticação de PAM em aplicativos de área restrita falhou de maneira insegura. Esse problema foi resolvido por meio de melhorias no processamento de erros.

CVE-2016-7600: Perette Barella de DeviousFish.com

OpenSSL

Disponível para: macOS Sierra 10.12.1

Impacto: um aplicativo pode executar códigos arbitrários

Descrição: havia um problema de excesso no MDC2_Update(). Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-6303

OpenSSL

Disponível para: macOS Sierra 10.12.1

Impacto: um invasor com posição de rede privilegiada pode causar uma negação de serviço

Descrição: um problema de negação de serviço em um OCSP de crescimento ilimitado foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-6304

Gerenciamento de energia

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local pode obter privilégios raiz

Descrição: um problema nas referências de nome da porta mach foi resolvido por meio de melhorias na validação.

CVE-2016-7661: Ian Beer do Google Project Zero

Segurança

Disponível para: macOS Sierra 10.12.1

Impacto: um invasor pode explorar as vulnerabilidades do algoritmo criptográfico 3DES

Descrição: o algoritmo 3DES foi removido como cifra padrão.

CVE-2016-4693: Gaëtan Leurent e Karthikeyan Bhargavan da INRIA, Paris

Segurança

Disponível para: macOS Sierra 10.12.1

Impacto: um invasor em uma posição de rede privilegiada pode causar uma negação de serviço

Descrição: havia um problema de validação no processamento de URLs de resposta de OCSP. Esse problema foi resolvido ao verificar o status da revogação de OCSP após a validação de CA e limitar o número de solicitações de OCSP por certificado.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Segurança

Disponível para: macOS Sierra 10.12.1

Impacto: os certificados podem ser inesperadamente avaliados como confiáveis

Descrição: havia um problema de avaliação de certificado na validação de certificados. Esse problema foi resolvido por meio de validação adicional de certificados.

CVE-2016-7662: Apple

syslog

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local pode obter privilégios raiz

Descrição: um problema nas referências de nome da porta mach foi resolvido por meio de melhorias na validação.

CVE-2016-7660: Ian Beer do Google Project Zero

Wi-Fi

Disponível para: macOS Sierra 10.12.1

Impacto: um usuário local mal-intencionado pode visualizar informações confidenciais da configuração de rede

Descrição: a configuração de rede estava inesperadamente definida como global. Esse problema foi resolvido por meio da mudança das configurações confidenciais de rede para os ajustes por usuário.

CVE-2016-7761: Peter Loos, Karlsruhe, Alemanha

Entrada adicionada em 24 de janeiro de 2017

xar

Disponível para: macOS Sierra 10.12.1

Impacto: abrir um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: o uso de uma variável não inicializada foi resolvido por meio de melhorias na validação.

CVE-2016-7742: Gareth Evans da Context Information Security

Entrada adicionada em 10 de janeiro de 2017

O macOS Sierra 10.12.2, a Atualização de Segurança 2016-003 do El Capitan e a Atualização de Segurança 2016-007 do Yosemite incluem o conteúdo de segurança do Safari 10.0.2.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: