Despre conținutul de securitate din macOS Sierra 10.12.2, actualizarea de securitate 2016-003 El Capitan și actualizarea de securitate 2016-007 Yosemite
Acest document descrie conținutul de securitate din macOS Sierra 10.12.2, Actualizarea de securitate 2016-003 El Capitan și Actualizarea de securitate 2016-007 Yosemite.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
macOS Sierra 10.12.2, actualizare de securitate 2016-003 El Capitan și actualizare de securitate 2016-007 Yosemite
apache_mod_php
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: au existat mai multe probleme în PHP înainte de versiunea 5.6.26. Acestea au fost rezolvate prin actualizarea PHP la versiunea 5.6.26.
CVE-2016-7411
CVE-2016-7412
CVE-2016-7413
CVE-2016-7414
CVE-2016-7416
CVE-2016-7417
CVE-2016-7418
AppleGraphicsPowerManagement
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un utilizator local poate provoca un refuz al serviciului la nivelul sistemului
Descriere: a fost rezolvată o problemă de anulare a referinței pentru indicatorul nul prin îmbunătățirea validării intrării.
CVE-2016-7609: daybreaker@Minionz în colaborare cu Zero Day Initiative (Trend Micro)
Active
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un atacator local poate modifica active mobile descărcate
Descriere: a existat o problemă legată de activele mobile. Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de accesare.
CVE-2016-7628: Marcel Bresink (Marcel Bresink Software-Systeme)
Audio
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: Procesarea unui fișier creat cu rea intenție poate duce la executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2016-7658: Haohao Kong (Keen Lab (@keen_lab) de la Tencent)
CVE-2016-7659: Haohao Kong (Keen Lab (@keen_lab) de la Tencent)
Bluetooth
Disponibilitate pentru: macOS Sierra 10.12.1, OS X El Capitan v10.11.6 și OS X Yosemite v10.10.5
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa și Marko Laakso (Synopsys Software Integrity Group)
Bluetooth
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: a fost rezolvată o problemă de anulare a referinței pentru indicatorul nul prin îmbunătățirea validării intrării.
CVE-2016-7605: daybreaker (Minionz)
Bluetooth
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2016-7617: Radu Motspan în colaborare cu Zero Day Initiative (Trend Micro), Ian Beer (Google Project Zero)
CoreCapture
Disponibilitate pentru: macOS Sierra 10.12.1 și OS X El Capitan v10.11.6
Impact: un utilizator local poate provoca un refuz al serviciului la nivelul sistemului
Descriere: a fost rezolvată o problemă de dereferințiere pentru indicatorul nul prin îmbunătățirea gestionării stării.
CVE-2016-7604: daybreaker (Minionz)
CoreFoundation
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: procesarea unor șiruri create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a existat o problemă de alterare a memoriei la procesarea șirurilor. Această problemă a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2016-7663: un cercetător anonim
CoreGraphics
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza închiderea neașteptată a aplicațiilor
Descriere: a fost rezolvată o problemă de anulare a referinței pentru indicatorul nul prin îmbunătățirea validării intrării.
CVE-2016-7627: TRAPMINE Inc. și Meysam Firouzi @R00tkitSMM
Afișări externe CoreMedia
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: o aplicație locală poate executa cod arbitrar în contextul mediaserver daemon
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2016-7655: Keen Lab în colaborare cu programul Zero Day Initiative al Trend Micro
Redare CoreMedia
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: procesarea unui fișier .mp4 creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2016-7588: dragonltx (Huawei 2012 Laboratories)
CoreStorage
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un utilizator local poate provoca un refuz al serviciului la nivelul sistemului
Descriere: a fost rezolvată o problemă de anulare a referinței pentru indicatorul nul prin îmbunătățirea validării intrării.
CVE-2016-7603: daybreaker@Minionz în colaborare cu Trend Micro Zero Day Initiative
CoreText
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au existat multiple probleme de alterare a memoriei la tratarea fișierelor de fonturi. Aceste probleme au fost rezolvate printr-o verificare îmbunătățită a limitelor.
CVE-2016-7595: riusksk(泉哥) (Tencent Security Platform Department)
CoreText
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: procesarea unui șir creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: o problemă la redarea intervalelor suprapuse a fost rezolvată prin îmbunătățirea validării.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) (Digital Unit (dgunit.com))
curl
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un atacator cu poziție privilegiată în rețea poate colecta informații sensibile ale utilizatorilor
Descriere: au existat probleme multiple în curl. Aceste probleme au fost rezolvate prin actualizarea la curl versiunea 7.51.0.
CVE-2016-5419
CVE-2016-5420
CVE-2016-5421
CVE-2016-7141
CVE-2016-7167
CVE-2016-8615
CVE-2016-8616
CVE-2016-8617
CVE-2016-8618
CVE-2016-8619
CVE-2016-8620
CVE-2016-8621
CVE-2016-8622
CVE-2016-8623
CVE-2016-8624
CVE-2016-8625
Directory Services
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un utilizator local poate obține privilegii la nivel de rădăcină
Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.
CVE-2016-7633: Ian Beer (Google Project Zero)
Imagini de disc
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2016-7616: daybreaker@Minionz în colaborare cu Trend Micro Zero Day Initiative
FontParser
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au existat multiple probleme de alterare a memoriei la tratarea fișierelor de fonturi. Aceste probleme au fost rezolvate printr-o verificare îmbunătățită a limitelor.
CVE-2016-4691: riusksk(泉哥) (Tencent Security Platform Department)
Foundation
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: deschiderea unui fișier .gcx creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod aleatoriu
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2016-7618: riusksk(泉哥) (Tencent Security Platform Department)
Grapher
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: deschiderea unui fișier .gcx creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod aleatoriu
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2016-7622: riusksk(泉哥) (Tencent Security Platform Department)
ICU
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2016-7594: André Bargull
ImageIO
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un atacator la distanță poate accesa informații din memorie
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2016-7643: Yangkang (@dnpushme) (Qihoo360 Qex Team)
Driver video Intel
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2016-7602: daybreaker@Minionz în colaborare cu Trend Micro Zero Day Initiative
IOFireWireFamily
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un atacator local poate citi memoria nucleului
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2016-7608: Brandon Azad
IOAcceleratorFamily
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: se poate ca un utilizator local să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a fost rezolvată o problemă legată de memoria partajată prin îmbunătățirea tratării memoriei.
CVE-2016-7624 : Qidan He (@flanker_hqd) (KeenLab) în colaborare cu Zero Day Initiative (Trend Micro)
IOHIDFamily
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: o aplicație locală cu privilegii de sistem poate executa cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.
CVE-2016-7591: daybreaker (Minionz)
IOKit
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: o aplicație poate citi memoria kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2016-7657: Keen Lab în colaborare cu programul Zero Day Initiative al Trend Micro
IOKit
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: se poate ca un utilizator local să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a fost rezolvată o problemă legată de memoria partajată prin îmbunătățirea tratării memoriei.
CVE-2016-7625: Qidan He (@flanker_hqd) de la KeenLab în colaborare cu programul Zero Day Initiative al Trend Micro
IOKit
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: se poate ca un utilizator local să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a fost rezolvată o problemă legată de memoria partajată prin îmbunătățirea tratării memoriei.
CVE-2016-7714: Qidan He (@flanker_hqd) de la KeenLab în colaborare cu programul Zero Day Initiative al Trend Micro
IOSurface
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: se poate ca un utilizator local să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a fost rezolvată o problemă legată de memoria partajată prin îmbunătățirea tratării memoriei.
CVE-2016-7620: Qidan He (@flanker_hqd) de la KeenLab în colaborare cu programul Zero Day Initiative al Trend Micro
Kernel
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2016-7606: @cocoahuke, Chen Qin (Topsec Alpha Team) (topsec.com)
CVE-2016-7612: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: o aplicație poate citi memoria kernel
Descriere: a fost rezolvată o problemă de inițializare insuficientă prin inițializarea corectă a memoriei returnate în spațiul utilizatorului.
CVE-2016-7607: Brandon Azad
Kernel
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un utilizator local poate provoca un refuz al serviciului la nivelul sistemului
Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea tratării memoriei.
CVE-2016-7615: National Cyber Security Centre (NCSC) (Regatul Unit)
Kernel
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: se poate ca un utilizator local să aibă posibilitatea să provoace închiderea neașteptată a sistemului sau executarea unui cod aleatoriu în kernel
Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.
CVE-2016-7621: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un utilizator local poate obține privilegii la nivel de rădăcină
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2016-7637: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: o aplicație locală cu privilegii de sistem poate executa cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de „utilizare după eliberare” prin îmbunătățirea gestionării memoriei.
CVE-2016-7644: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: a fost rezolvată o problemă de refuzare a serviciului prin îmbunătățirea tratării memoriei.
CVE-2016-7647: Lufeng Li (Qihoo 360 Vulcan Team)
Instrumente kext
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2016-7629: @cocoahuke
libarchive
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un atacator local poate suprascrie fișiere existente
Descriere: a existat o problemă de validare la tratarea symlinkurilor. Această problemă a fost rezolvată prin îmbunătățirea validării symlinkurilor.
CVE-2016-7619: un cercetător anonim
LibreSSL
Disponibilitate pentru: macOS Sierra 10.12.1 și OS X El Capitan v10.11.6
Impact: un atacator cu o poziție privilegiată în rețea poate cauza un refuz al serviciului
Descriere: a fost rezolvată o problemă de refuzare a serviciului creșterea nelimitată a OCSP prin îmbunătățirea tratării memoriei.
CVE-2016-6304
OpenLDAP
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un atacator poate exploata slăbiciuni din algoritmul criptografic RC4
Descriere: RC4 a fost eliminat ca cifru implicit.
CVE-2016-1777: Pepi Zawodsky
OpenPAM
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un utilizator neprivilegiat local poate obține acces la aplicații privilegiate
Descriere: autentificarea PAM în aplicații din sandbox a eșuat în manieră nesecurizată. Această problemă a fost rezolvată prin îmbunătățirea tratării erorii.
CVE-2016-7600: Perette Barella (DeviousFish.com)
OpenSSL
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: o aplicație poate executa un cod arbitrar
Descriere: a existat o problemă de depășire în MDC2_Update(). Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2016-6303
OpenSSL
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un atacator cu o poziție privilegiată în rețea poate cauza un refuz al serviciului
Descriere: a fost rezolvată o problemă de refuzare a serviciului creșterea nelimitată a OCSP prin îmbunătățirea tratării memoriei.
CVE-2016-6304
Gestionarea consumului de energie
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un utilizator local poate obține privilegii la nivel de rădăcină
Descriere: a fost rezolvată o problemă de referențiere a numelor de porturi mach prin îmbunătățirea validării.
CVE-2016-7661: Ian Beer (Google Project Zero)
Securitate
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un atacator poate exploata slăbiciuni din algoritmul criptografic 3DES
Descriere: 3DES a fost eliminat ca cifru implicit.
CVE-2016-4693: Gaëtan Leurent și Karthikeyan Bhargavan (INRIA Paris)
Securitate
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un atacator dintr-o poziție privilegiată în rețea poate cauza o refuzare a serviciului
Descriere: a existat o problemă de validare la tratarea URL-urilor de răspuns OCSP. Această problemă a fost rezolvată prin verificarea stării revocării OCSP după validare CA și limitarea numărului de solicitări OCSP per certificat.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Securitate
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: certificatele pot fi evaluate pe neașteptate ca fiind de încredere
Descriere: a existat o problemă de evaluare a certificatelor la validarea certificatelor. Această problemă a fost rezolvată prin validarea suplimentară a certificatelor.
CVE-2016-7662: Apple
syslog
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un utilizator local poate obține privilegii la nivel de rădăcină
Descriere: a fost rezolvată o problemă de referențiere a numelor de porturi mach prin îmbunătățirea validării.
CVE-2016-7660: Ian Beer (Google Project Zero)
Wi-Fi
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: un utilizator local rău intenționat poate vizualiza informații sensibile despre configurația rețelei
Descriere: configurația rețelei a fost globală în mod neașteptat. Această problemă a fost rezolvată prin mutarea configurației sensibile a rețelei în configurări per utilizator.
CVE-2016-7761: Peter Loos, Karlsruhe, Germania
xar
Disponibilitate pentru : macOS Sierra 10.12.1
Impact: deschiderea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: utilizarea unei variabile neinițializate a fost rezolvată prin îmbunătățirea validării.
CVE-2016-7742: Gareth Evans (Context Information Security)
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.