Om säkerhetsinnehållet i macOS Sierra 10.12
Det här dokumentet beskriver säkerhetsinnehållet i macOS Sierra 10.12.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga buggfixar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-produktsäkerhetsnyckel från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
macOS Sierra 10.12
apache
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: En fjärrangripare kan via en proxyserver leda trafik genom en godtycklig server.
Beskrivning: Det förekom ett fel i hanteringen av miljövariabeln HTTP_PROXY. Problemet åtgärdades genom att miljövariabeln HTTP_PROXY inte ställs in från CGI.
CVE-2016-4694: Dominic Scheirlinck och Scott Geary på Vend
apache_mod_php
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Flera problem förekommer i PHP. Det allvarligaste av dessa kan leda till oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Ett flertal problem i PHP har åtgärdats genom uppdatering av PHP till version 5.6.24.
CVE-2016-5768
CVE-2016-5769
CVE-2016-5770
CVE-2016-5771
CVE-2016-5772
CVE-2016-5773
CVE-2016-6174
CVE-2016-6288
CVE-2016-6289
CVE-2016-6290
CVE-2016-6291
CVE-2016-6292
CVE-2016-6294
CVE-2016-6295
CVE-2016-6296
CVE-2016-6297
Apple HSSPI-support
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan köra godtycklig kod med kärnbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-4697: Qidan He (@flanker_hqd) från KeenLab i samarbete med Trend Micros Zero Day Initiative
AppleEFIRuntime
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan köra godtycklig kod med kärnbehörighet
Beskrivning: En nollpekarreferens åtgärdades genom förbättrad indatavalidering.
CVE-2016-4696: Shrek_wzw på Qihoo 360 Nirvan Team
AppleMobileFileIntegrity
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Det kan hända att ett lokalt program kan köra opålitlig kod med systembehörigheter
Beskrivning: Ett valideringsproblem förekom i arvspolicyn för uppdragsportar. Det här problemet åtgärdades genom förbättrad validering av processbehörighet och team-ID.
CVE-2016-4698: Pedro Vilaça
AppleUUC
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan köra godtycklig kod med kärnbehörighet
Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-4699: Jack Tang (@jacktang310) och Moony Li på Trend Micro i samarbete med Trend Micros Zero Day Initiative
CVE-2016-4700: Jack Tang (@jacktang310) och Moony Li på Trend Micro i samarbete med Trend Micros Zero Day Initiative
Brandvägg för program
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: En lokal användare kan orsaka att tjänster nekas
Beskrivning: Ett valideringsproblem förekom i hanteringen av brandväggsanvisningar. Problemet har åtgärdats genom förbättrad validering av SO_EXECPATH.
CVE-2016-4701: Meder Kydyraliev Google Security Team
ATS
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Bearbetning av en skadlig teckensnittsfil kan leda till körning av godtycklig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-4779: riusksk på Tencent Security Platform-avdelningen
Ljud
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: En fjärrangripare kan köra godtycklig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park och Taekyoung Kwon på Information Security Lab, Yonsei University.
Bluetooth
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan köra godtycklig kod med kärnbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-4703: Juwei Lin (@fuzzerDOTcn) på Trend Micro
cd9660
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: En lokal användare kan orsaka att tjänster nekas i systemet
Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad minneshantering.
CVE-2016-4706: Recurity Labs på uppdrag av BSI (tyskt federalt kontor för informationssäkerhet)
CFNetwork
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Det kan hända att en lokal användare kan se vilka webbplatser som en användare har besökt
Beskrivning: Det förekom ett problem med radering av lokal lagring. Problemet åtgärdades genom förbättrad rensning av lokal lagring.
CVE-2016-4707: en anonym forskare
CFNetwork
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till att användarinformation hamnar i orätta händer
Beskrivning: Ett indatavalideringsfel förekom i tolkningen av rubriken ”Ange cookie”. Problemet åtgärdades genom förbättrad valideringskontroll.
CVE-2016-4708: Dawid Czagan på Silesia Security Lab
CommonCrypto
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program som använder CCrypt kan avslöja känslig text om utdata- och indatabufferten är densamma
Beskrivning: Ett indatavalideringsproblem förekom i corecrypto. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2016-4711: Max Lohrmann
CoreCrypto
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan köra godtycklig kod
Beskrivning: Ett fel med skrivning utanför gränserna åtgärdades genom borttagning av den sårbara koden.
CVE-2016-4712: Gergo Koteles
CoreDisplay
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: En användare med tillgång till skärmdelning kan visa en annan användares skärm
Beskrivning: Ett problem med sessionshantering förekom i hanteringen av skärmdelningssessioner. Problemet åtgärdades genom förbättrad sessionsspårning.
CVE-2016-4713: Ruggero Alberti
curl
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Flera problem i curl
Beskrivning: Ett flertal säkerhetsproblem förekom i curl före version 7.49.1. Problemen åtgärdades genom uppdatering av curl till version 7.49.1.
CVE-2016-0755: Isaac Boukris
Inställningsrutan för datum och tid
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett skadligt program kan fastställa en användares aktuella plats
Beskrivning: Det förekom ett fel i hanteringen av filen .GlobalPreferences. Detta har åtgärdats genom förbättrad validering.
CVE-2016-4715: Taiki (@Taiki__San) på ESIEA (Paris)
DiskArbitration
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Det kan hända att en lokal användare kan köra opålitlig kod med systembehörigheter
Beskrivning: Ett åtkomstproblem förekom i diskutil. Problemet åtgärdades genom förbättrad behörighetskontroll.
CVE-2016-4716: Alexander Allen på North Carolina School of Science and Mathematics
Filbokmärke
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett lokalt program kan orsaka att tjänster nekas
Beskrivning: Ett problem med resurshantering förekom i hanteringen av programomfattande bokmärken. Problemet åtgärdades genom förbättrad hantering av filbeskrivare.
CVE-2016-4717: Tom Bradley på 71Squared Ltd
FontParser
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Bearbetning av ett felaktigt utformat teckensnitt kan leda till att processminnet avslöjas
Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-2016-4718: Apple
IDS – Anslutningar
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: En angripare i en privilegierad nätverksposition kan orsaka att tjänsten nekas
Beskrivning: Ett problem med omstyrning förekom i hanteringen av samtalsreläet. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2016-4722: Martin Vigo (@martin_vigo) på salesforce.com
ImageIO
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Bearbetning av en skadlig bild kan leda till att processminne avslöjas
Beskrivning: Ett problem med läsning utanför gränserna förekom i tolkningen av SGI-bilder. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-2016-4682: Ke Liu på Tencents Xuanwu Lab
Intel Graphics-drivrutin
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan köra godtycklig kod med kärnbehörighet
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2016-4723: daybreaker på Minionz
Intel Graphics-drivrutin
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan köra godtycklig kod med kärnbehörighet
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2016-7582: Liang Chen på Tencent KeenLab
IOAcceleratorFamily
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan köra godtycklig kod med kärnbehörighet
Beskrivning: En nollpekarreferens åtgärdades genom förbättrad indatavalidering.
CVE-2016-4724: Cererdlong, Eakerqiu på Team OverSky
IOAcceleratorFamily
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till att processminnet avslöjas
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-4725: Rodger Combs på Plex, Inc
IOAcceleratorFamily
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan köra godtycklig kod med kärnbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-4726: en anonym forskare
IOThunderboltFamily
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan köra godtycklig kod med kärnbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-4727: wmin i samarbete med Trend Micros Zero Day Initiative
Kerberos v5 PAM-modul
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: En fjärrangripare kan upptäcka användarkonton
Beskrivning: En timingsidokanal gjorde det möjligt för en angripare att upptäcka användarkonton i ett system. Problemet åtgärdades genom införsel av kontinuerliga tidskontroller.
CVE-2016-4745: en anonym forskare
Kärna
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett lokalt program kan få tillgång till begränsade filer
Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades genom förbättrad sökvägsvalidering.
CVE-2016-4771: Balazs Bucsay, Research Director på MRG Effitas
Kärna
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: En fjärrangripare kan orsaka att tjänsten avbryts
Beskrivning: Ett låshanteringsfel åtgärdades genom förbättrad låshantering.
CVE-2016-4772: Marc Heuse på mh-sec
Kärna
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan ta reda på layouten för kärnminnet
Beskrivning: Det förekom ett flertal problem med läsning utanför gränserna som ledde till att kärnminne avslöjades. Problemen har åtgärdats genom förbättrad indatavalidering.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Kärna
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kärnbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-4775: Brandon Azad
Kärna
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan köra godtycklig kod med kärnbehörighet
Beskrivning: En obetrodd pekarreferens åtgärdades genom borttagning av den berörda koden.
CVE-2016-4777: Lufeng Li på Qihoo 360 Vulcan Team
Kärna
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan köra godtycklig kod med kärnbehörighet
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2016-4778: CESG
libarchive
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Flera problem i libarchive
Beskrivning: Flera minnesfel förekom i libarchive. Dessa problem har åtgärdats genom förbättrad indatavalidering.
CVE-2016-4736: Proteas på Qihoo 360 Nirvan Team
libxml2
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Flera problem förekom i libxml2. Det allvarligaste av dessa kunde leda till oväntad programavslutning eller körning av opålitlig kod.
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxpc
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan bryta sig ut från sitt begränsade läge
Beskrivning: Flera svagheter förekom vid skapande av nya processer med launchctl. Dessa problem åtgärdades genom förbättrad policyefterlevnad.
CVE-2016-4617: Gregor Kopf på Recurity Labs på uppdrag av BSI (tyskt federalt kontor för informationssäkerhet)
libxslt
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-4738: Nick Wellnhofer
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: En skadlig webbplats kan leda till att tjänsten nekas
Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad URL-hantering.
CVE-2016-7580: Sabri Haddouche (@pwnsdx)
mDNSResponder
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: En fjärrangripare kan visa känslig information
Beskrivning: Program med VMnet.framework gjorde det möjligt för en DNS-proxy att lyssna på alla nätverksgränssnitt. Problemet åtgärdades genom begränsning av DNS-frågesvaren till lokala gränssnitt.
CVE-2016-4739: Magnus Skjegstad, David Scott och Anil Madhavapeddy från Docker, Inc.
NSSecureTextField
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett skadligt program kan läcka en användares uppgifter
Beskrivning: Ett problem med tillståndshantering förekom i NSSecureTextField, som inte kunde aktivera säker inmatning. Problemet åtgärdades genom förbättrad fönsterhantering.
CVE-2016-4742: Rick Fillion på AgileBits, Daniel Jalkut på Red Sweater Software
Perl
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: En lokal användare kan kringgå taintskyddsmekanismen
Beskrivning: Ett problem förekom i tolkningen av miljövariabler. Problemet har åtgärdats genom förbättrad validering av miljövariabler.
CVE-2016-4748: Stephane Chazelas
S2-kamera
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program kan köra godtycklig kod med kärnbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-4750: Jack Tang (@jacktang310) och Moony Li på Trend Micro i samarbete med Trend Micros Zero Day Initiative
Säkerhet
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett program med SecKeyDeriveFromPassword kan läcka minne
Beskrivning: Ett problem med resurshantering förekom i hanteringen av nyckelhärledning. Problemet åtgärdades genom tillägg av CF_RETURNS_RETAINED i SecKeyDeriveFromPassword.
CVE-2016-4752: Mark Rogers på PowerMapper Software
Säkerhet
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörigheter
Beskrivning: Ett valideringsproblem förekom i signerade skivavbilder. Problemet åtgärdades genom förbättrad storleksvalidering.
CVE-2016-4753: Mark Mentovai på Google Inc.
Terminal
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: En lokal användare kan läcka känslig användarinformation
Beskrivning: Ett behörighetsfel förekom i .bash_history och .bash_session. Problemet åtgärdades genom förbättrad åtkomstbegränsning.
CVE-2016-4755: Axel Luttgens
WindowServer
Tillgängligt för: OS X Lion 10.7.5 och senare
Effekt: En lokal användare kan få tillgång till rotbehörigheter
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-2016-4709: en anonym forskare i samarbete med Trend Micros Zero Day Initiative
CVE-2016-4710: en anonym forskare i samarbete med Trend Micros Zero Day Initiative
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.