Om säkerhetsinnehållet i macOS Sierra 10.12.2, säkerhetsuppdatering 2016-003 El Capitan och säkerhetsuppdatering 2016-007 Yosemite

Det här dokumentet beskriver säkerhetsinnehållet i macOS Sierra 10.12.2, säkerhetsuppdatering 2016-003 El Capitan och säkerhetsuppdatering 2016-007 Yosemite.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

macOS Sierra 10.12.2, säkerhetsuppdatering 2016-003 El Capitan och säkerhetsuppdatering 2016-007 Yosemite

Släpptes 13 december 2016

apache_mod_php

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En fjärrangripare kan orsaka att program avslutas oväntat eller att opålitlig kod körs

Beskrivning: Flera fel förekom i PHP före 5.6.26. Dessa åtgärdades genom att PHP uppdaterades till version 5.6.26.

CVE-2016-7411

CVE-2016-7412

CVE-2016-7413

CVE-2016-7414

CVE-2016-7416

CVE-2016-7417

CVE-2016-7418

AppleGraphicsPowerManagement

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal användare kan orsaka att tjänster nekas i systemet

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad indatavalidering.

CVE-2016-7609: daybreaker@Minionz i samarbete med Trend Micros Zero Day Initiative

Resurser

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal angripare kan ändra hämtade mobila resurser

Beskrivning: Det fanns ett behörighetsproblem i mobila resurser. Problemet åtgärdades genom förbättrad åtkomstbegränsning.

CVE-2016-7628: Marcel Bresink på Marcel Bresink Software-Systeme

Informationen uppdaterades 15 december 2016

Ljud

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Bearbetning av en felaktigt utformad fil kan ge upphov till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7658: Haohao Kong från Keen Lab (@keen_lab) på Tencent

CVE-2016-7659: Haohao Kong från Keen Lab (@keen_lab) på Tencent

Bluetooth

Tillgängligt för: macOS Sierra 10.12.1, OS X El Capitan 10.11.6 och OS X Yosemite 10.10.5

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet 

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa och Marko Laakso från Synopsys Software Integrity Group

Informationen uppdaterades 14 december 2016

Bluetooth

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Ett program kan orsaka att åtkomst till tjänsten nekas

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad indatavalidering.

CVE-2016-7605: daybreaker på Minionz

Bluetooth

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2016-7617: Radu Motspan i samarbete med Trend Micros Zero Day Initiative, Ian Beer från Google Project Zero

CoreCapture

Tillgängligt för: macOS Sierra 10.12.1 och OS X El Capitan 10.11.6

Effekt: En lokal användare kan orsaka att tjänster nekas i systemet

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad tillståndshantering.

CVE-2016-7604: daybreaker på Minionz

Informationen uppdaterades 14 december 2016

CoreFoundation

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Bearbetning av skadliga strängar kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett minnesfel förekom i bearbetningen av strängar. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-2016-7663: en anonym forskare

CoreGraphics

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Bearbetning av en skadligt utformad teckensnittsfil kan leda till oväntad programavslutning

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad indatavalidering.

CVE-2016-7627: TRAPMINE Inc. och Meysam Firouzi @R00tkitSMM

Extern visning av CoreMedia

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Ett lokalt program kan köra opålitlig kod i en medieserverdaemon

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2016-7655: Keen Lab i samarbete med Trend Micros Zero Day Initiative

Uppspelning av CoreMedia

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Bearbetning av en felaktigt utformad MP4-fil kan ge upphov till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-7588: dragonltx på Huawei 2012 Laboratories

CoreStorage

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal användare kan orsaka att tjänster nekas i systemet

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad indatavalidering.

CVE-2016-7603: daybreaker@Minionz i samarbete med Trend Micros Zero Day Initiative

CoreText

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Bearbetning av en felaktigt utformad typsnittsfil kan leda till körning av godtycklig kod

Beskrivning: Flera minnesfel förekom i hanteringen av teckensnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.

CVE-2016-7595: riusksk(泉哥) på Tencent Security Platform-avdelningen

CoreText

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Bearbetning av en skadlig sträng kan leda till att tjänsten nekas

Beskrivning: Ett problem med rendering av överlappande intervall åtgärdades genom förbättrad validering.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) på Digital Unit (dgunit.com)

Lades till 15 december 2016

curl

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation

Beskrivning: Flera problem förekom i curl. Dessa problem åtgärdades genom att curl uppdaterades till version–7.51.0.

CVE-2016-5419

CVE-2016-5420

CVE-2016-5421

CVE-2016-7141

CVE-2016-7167

CVE-2016-8615

CVE-2016-8616

CVE-2016-8617

CVE-2016-8618

CVE-2016-8619

CVE-2016-8620

CVE-2016-8621

CVE-2016-8622

CVE-2016-8623

CVE-2016-8624

CVE-2016-8625

Katalogtjänster

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal användare kan få tillgång till rotbehörigheter

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2016-7633: Ian Beer på Google Project Zero

Skivavbilder

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7616: daybreaker@Minionz i samarbete med Trend Micros Zero Day Initiative

FontParser

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Bearbetning av en felaktigt utformad typsnittsfil kan leda till körning av godtycklig kod

Beskrivning: Flera minnesfel förekom i hanteringen av teckensnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.

CVE-2016-4691: riusksk(泉哥) på Tencents Security Platform-avdelning

Foundation

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Öppnande av en GCX-fil med skadligt innehåll kan leda till oväntad programavslutning eller opålitlig kodkörning

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7618: riusksk(泉哥) på Tencents Security Platform-avdelning

Grapher

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Öppnande av en GCX-fil med skadligt innehåll kan leda till oväntad programavslutning eller opålitlig kodkörning

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7622: riusksk(泉哥) på Tencents Security Platform-avdelning

ICU

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-7594: André Bargull

ImageIO

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En fjärrangripare kan läcka minne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad kontroll av gränserna.

CVE-2016-7643: Yangkang (@dnpushme) på Qihoo360 Qex Team

Intel Graphics-drivrutin

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet 

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7602: daybreaker@Minionz i samarbete med Trend Micros Zero Day Initiative

IOFireWireFamily

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal angripare kan läsa kärnminne

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-7608: Brandon Azad

IOAcceleratorFamily

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal användare kan ta reda på schemat för kärnminnet

Beskrivning: Ett problem med delat minne åtgärdades genom förbättrad minneshantering.

CVE-2016-7624: Qidan He (@flanker_hqd) från KeenLab i samarbete med Trend Micros Zero Day Initiative

IOHIDFamily

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Det kan hända att ett lokalt program med systembehörighet kan köra opålitlig kod med kärnprivilegier

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2016-7591: daybreaker på Minionz

IOKit

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Ett program kan läsa kärnminnet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7657: Keen Lab i samarbete med Trend Micros Zero Day Initiative

IOKit

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal användare kan ta reda på schemat för kärnminnet

Beskrivning: Ett problem med delat minne åtgärdades genom förbättrad minneshantering.

CVE-2016-7625: Qidan He (@flanker_hqd) från KeenLab i samarbete med Trend Micros Zero Day Initiative

IOKit

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal användare kan ta reda på schemat för kärnminnet

Beskrivning: Ett problem med delat minne åtgärdades genom förbättrad minneshantering.

CVE-2016-7714: Qidan He (@flanker_hqd) på KeenLab i samarbete med Trend Micros Zero Day Initiative

Lades till 25 januari 2017

IOSurface

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal användare kan ta reda på schemat för kärnminnet

Beskrivning: Ett problem med delat minne åtgärdades genom förbättrad minneshantering.

CVE-2016-7620: Qidan He (@flanker_hqd) från KeenLab i samarbete med Trend Micros Zero Day Initiative

Kärna

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet 

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7606: @cocoahuke, Chen Qin på Topsec Alpha Team (topsec.com)

CVE-2016-7612: Ian Beer på Google Project Zero

Kärna

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Ett program kan läsa kärnminnet

Beskrivning: Ett problem med otillräcklig initiering åtgärdades genom att minne som returnerats till användarutrymmet initierades korrekt.

CVE-2016-7607: Brandon Azad

Kärna

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal användare kan orsaka att tjänster nekas i systemet

Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.

CVE-2016-7615: Storbritanniens National Cyber Security Centre (NCSC)

Kärna

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal användare kan orsaka oväntad systemavslutning eller körning av opålitlig kod i kärnan

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2016-7621: Ian Beer på Google Project Zero

Kärna

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal användare kan få tillgång till rotbehörigheter

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7637: Ian Beer på Google Project Zero

Kärna

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Det kan hända att ett lokalt program med systembehörighet kan köra opålitlig kod med kärnprivilegier

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2016-7644: Ian Beer på Google Project Zero

Kärna

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Ett program kan orsaka att åtkomst till tjänsten nekas

Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.

CVE-2016-7647: Lufeng Li på Qihoo 360 Vulcan Team

Lades till 17 maj 2017

kext-verktyg

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet 

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7629: @cocoahuke

libarchive

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal angripare kan skriva över befintliga filer

Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2016-7619: en anonym forskare

LibreSSL

Tillgängligt för: macOS Sierra 10.12.1 och OS X El Capitan 10.11.6

Effekt: En angripare med en privilegierad nätverksposition kan orsaka att tjänster nekas

Beskrivning: Ett problem med tjänster som nekades i obunden OCSP-tillväxt åtgärdades genom förbättrad minneshantering.

CVE-2016-6304

Informationen uppdaterades 14 december 2016

OpenLDAP

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En angripare kan få möjlighet att utnyttja svagheter i den kryptografiska algoritmen RC4

Beskrivning: RC4 togs bort som standardchiffer.

CVE-2016-1777: Pepi Zawodsky

OpenPAM

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal användare utan behörighet kan få tillgång till program som kräver behörighet

Beskrivning: Fel i PAM-autentiseringen i program i sandlådor skapade osäkerhet. Detta åtgärdades genom förbättrad felhantering.

CVE-2016-7600: Perette Barella från DeviousFish.com

OpenSSL

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Ett program kan köra godtycklig kod

Beskrivning: Det fanns ett överflödesfel i MDC2_Update(). Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2016-6303

OpenSSL

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En angripare med en privilegierad nätverksposition kan orsaka att tjänster nekas

Beskrivning: Ett problem med tjänster som nekades i obunden OCSP-tillväxt åtgärdades genom förbättrad minneshantering.

CVE-2016-6304

Strömhantering

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal användare kan få tillgång till rotbehörigheter

Beskrivning: Ett problem i mach-portnamnsreferenser åtgärdades genom förbättrad validering.

CVE-2016-7661: Ian Beer på Google Project Zero

Säkerhet

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En angripare kan få möjlighet att utnyttja svagheter i den kryptografiska algoritmen 3DES

Beskrivning: 3DES togs bort som standardchiffer.

CVE-2016-4693: Gaëtan Leurent och Karthikeyan Bhargavan från INRIA Paris

Säkerhet

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En angripare i en privilegierad nätverksposition kan orsaka att tjänsten nekas

Beskrivning: Ett valideringsproblem förekom i hanteringen av OSCP:s svarsadresser. Problemet åtgärdades genom att OCSP-återkallandestatus verifierades efter CA-valideringen och genom att antalet OCSP-begäranden per certifikat begränsades.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Säkerhet

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Certifikat kan oväntat utvärderas som betrodda

Beskrivning: Det fanns ett utvärderingsfel i certifikatvalideringen. Problemet åtgärdades genom ytterligare validering av certifikat.

CVE-2016-7662: Apple

syslog

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En lokal användare kan få tillgång till rotbehörigheter

Beskrivning: Ett problem i mach-portnamnsreferenser åtgärdades genom förbättrad validering.

CVE-2016-7660: Ian Beer på Google Project Zero

Wifi

Tillgängligt för: macOS Sierra 10.12.1

Effekt: En skadlig lokal användare kunde se känslig nätverksinställningsinformation

Beskrivning: Nätverksinställning gällde oväntat globalt. Problemet åtgärdades genom att flytta känslig nätverksinställning till användarspecifika inställningar.

CVE-2016-7761: Peter Loos, Karlsruhe, Tyskland

Lades till 24 januari 2017

xar

Tillgängligt för: macOS Sierra 10.12.1

Effekt: Öppning av ett arkiv med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Användandet av en oinitierad variabel åtgärdades genom förbättrad validering.

CVE-2016-7742: Gareth Evans på Context Information Security

Lades till 10 januari 2017

macOS Sierra 10.12.2, säkerhetsuppdatering 2016-003 El Capitan och säkerhetsuppdatering 2016-007 Yosemite omfattar säkerhetsinnehållet i Safari 10.0.2.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: