Om säkerhetsinnehållet i macOS Sierra 10.12.1, säkerhetsuppdatering 2016-002 El Capitan och säkerhetsuppdatering 2016-006 Yosemite

Det här dokumentet beskriver säkerhetsinnehållet i macOS Sierra 10.12.1, säkerhetsuppdatering 2016-002 El Capitan och säkerhetsuppdatering 2016-006 Yosemite.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga buggfixar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-produktsäkerhetsnyckel från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

macOS Sierra 10.12.1, säkerhetsuppdatering 2016-002 El Capitan och säkerhetsuppdatering 2016-006 Yosemite

Släpptes 24 oktober 2016

AppleGraphicsControl

Tillgänglig för: OS X Yosemite version 10.10.5 och OS X El Capitan version 10.11.6

Effekt: Ett program kan köra opålitlig kod med kärnprivilegier

Beskrivning: Ett minnesfel åtgärdades genom förbättrad låsstatuskontroll.

CVE-2016-4662: Apple

AppleMobileFileIntegrity

Tillgänglig för: macOS Sierra 10.12

Effekt: En signerad körbar fil kan ersätta kod med samma team-ID

Beskrivning: Ett valideringsproblem förekom i hanteringen av kodsignaturer. Problemet har åtgärdats genom ytterligare validering.

CVE-2016-7584: Mark Mentovai och Boris Vidolov på Google Inc.

Information lades till 27 november 2016

AppleSMC

Tillgänglig för: macOS Sierra 10.12

Effekt: En lokal användare kan öka behörigheter

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad låsning.

CVE-2016-4678: daybreaker@Minionz i samarbete med Trend Micros Zero Day Initiative

ATS

Tillgänglig för: macOS Sierra 10.12

Effekt: Bearbetning av en skadlig teckensnittsfil kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4667: Simon Huang på alipay, Thelongestusernameofall@gmail.com, Moony Li på TrendMicro, @Flyic

Informationen uppdaterades 27 oktober 2016

ATS

Tillgänglig för: macOS Sierra 10.12

Effekt: En lokal användare kan köra godtycklig kod med fler behörigheter

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4674: Shrek_wzw på Qihoo 360 Nirvan Team

CFNetwork Proxies

Tillgänglig för: macOS Sierra 10.12

Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation

Beskrivning: Ett problem med nätfiske förekom i hanteringen av inloggningsuppgifter till proxyn. Problemet åtgärdades genom att ta bort oönskade uppmaningar om att autentisera lösenord för proxyservern.

CVE-2016-7579: Jerry Decime

Core Image

Tillgänglig för: OS X El Capitan version 10.11.6

Effekt: Visning av en skadlig JPEG-fil kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-4681: Ke Liu på Tencents Xuanwu Lab

Information lades till 25 oktober 2016

CoreGraphics

Tillgänglig för: macOS Sierra 10.12

Effekt: Visning av en skadlig JPEG-fil kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4673: Marco Grassi (@marcograss) på KeenLab (@keen_lab), Tencent

FaceTime

Tillgänglig för: macOS Sierra 10.12

Effekt: En angripare med en privilegierad nätverksposition kan göra så att ett överfört samtal fortsätter att skicka ljud men visas som att samtalet är avslutat

Beskrivning: Inkonsekvenser i gränssnittet förekom i hanteringen av överförda samtal. Problemen åtgärdades genom förbättrad logik för protokollet.

CVE-2016-7577: Martin Vigo (@martin_vigo) på salesforce.com

Information lades till 27 oktober 2016

FontParser

Tillgänglig för: macOS Sierra 10.12

Effekt: Tolkning av ett skadligt typsnitt kan avslöja känslig användarinformation

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad kontroll av gränserna.

CVE-2016-4660: Ke Liu på Tencents Xuanwu Lab

FontParser

Tillgänglig för: macOS Sierra 10.12

Effekt: Bearbetning av en skadlig teckensnittsfil kan leda till körning av opålitlig kod 

Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-2016-4688: Simon Huang på företaget Alipay, thelongestusernameofall@gmail.com

Information lades till 27 november 2016

IDS – Anslutningar

Tillgänglig för: macOS Sierra 10.12

Effekt: En angripare i en privilegierad nätverksposition kan lura en användare i ett flerpartssamtal att de talar med en annan part

Beskrivning: Ett problem med imitation förekom i hanteringen av samtalsväxling. Problemet åtgärdades genom förbättrad hantering av ”switch caller”-meddelanden.

CVE-2016-4721: Martin Vigo (@martin_vigo) på salesforce.com

Information lades till 27 oktober 2016

ImageIO

Tillgänglig för: OS X El Capitan version 10.11.6

Effekt: Tolkning av en felaktigt utformad PDF kan ge upphov till körning av godtycklig kod

Beskrivning: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrade gränskontroller.

CVE-2016-4671: Ke Liu på Tencents Xuanwu Lab, Juwei Lin (@fuzzerDOTcn)

ImageIO

Tillgänglig för: OS X Yosemite version 10.10.5 och OS X El Capitan version 10.11.6

Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne

Beskrivning: Ett problem med läsning utanför gränserna förekom i tolkningen av SGI-bilder. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-2016-4682: Ke Liu på Tencents Xuanwu Lab

ImageIO

Tillgänglig för: OS X El Capitan version 10.11.6

Effekt: En fjärrangripare kan köra godtycklig kod

Beskrivning: Flera problem med läsning och skrivning utanför gränserna förekom i SGI-tolkning. Dessa problem har åtgärdats genom förbättrad indatavalidering.

CVE-2016-4683: Ke Liu på Tencents Xuanwu Lab

Information lades till 25 oktober 2016

Kärna

Tillgänglig för: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 och macOS Sierra 10.12

Effekt: En lokal användare kan orsaka oväntad systemavslutning eller körning av opålitlig kod i kärnan

Beskrivning: Flera problem med indatavalidering förekom i MIG-genererad kod. Dessa problem åtgärdades genom förbättrad validering.

CVE-2016-4669: Ian Beer på Google Project Zero

Informationen uppdaterades 2 november 2016

Kärna

Tillgänglig för: macOS Sierra 10.12

Effekt: Ett lokalt program kan köra opålitlig kod med rotbehörigheter

Beskrivning: Flera problem med objektens livslängd förekom vid skapande av nya processer. Dessa åtgärdades genom förbättrad validering.

CVE-2016-7613: Ian Beer på Google Project Zero

Information lades till 1 november 2016

libarchive

Tillgänglig för: macOS Sierra 10.12

Effekt: Ett skadligt arkiv kan skriva över opålitliga filer

Beskrivning: Det förekom ett problem med logiken för validering av sökvägar för symlänkar. Problemet åtgärdades genom förbättrad sökvägssanering.

CVE-2016-4679: Omer Medan på enSilo Ltd

libxpc

Tillgänglig för: macOS Sierra 10.12

Effekt: Ett program kan köra opålitlig kod med rotbehörigheter

Beskrivning: Ett logiskt problem åtgärdades genom ytterligare begränsningar.

CVE-2016-4675: Ian Beer på Google Project Zero

Posten uppdaterades 30 mars, 2017

ntfs

Tillgänglig för: macOS Sierra 10.12

Effekt: Ett program kan orsaka att tjänster nekas

Beskrivning: Det förekom ett problem i tolkningen av skivavbilder. Problemet har åtgärdats genom förbättrad validering.

CVE-2016-4661: Recurity Labs på uppdrag av BSI (tyskt federalt kontor för informationssäkerhet)

NVIDIA-grafikdrivrutiner

Tillgänglig för: OS X Yosemite version 10.10.5 och OS X El Capitan version 10.11.6

Effekt: Ett program kan orsaka att tjänster nekas

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-4663: Apple

Säkerhet

Tillgänglig för: macOS Sierra 10.12

Effekt: En lokal angripare kan observera längden på ett inloggningslösenord när en användare loggar in

Beskrivning: Ett loggningsproblem förekom i hanteringen av lösenord. Problemet åtgärdades genom att loggningen av lösenordslängd togs bort.

CVE-2016-4670: Daniel Jalkut på Red Sweater Software

Informationen uppdaterades 25 oktober 2016

Thunderbolt

Tillgänglig för: macOS Sierra 10.12

Effekt: Ett program kan köra opålitlig kod med kärnprivilegier

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad indatavalidering. 

CVE-2016-4780: sweetchip på Grayhash

Informationen lades till 29 november 2016

I macOS Sierra 10.12.1 ingår säkerhetsinnehållet i Safari 10.0.1.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: