Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
macOS Sierra 10.12.2, säkerhetsuppdatering 2016-003 El Capitan och säkerhetsuppdatering 2016-007 Yosemite
Släpptes 13 december 2016
apache_mod_php
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En fjärrangripare kan orsaka att program avslutas oväntat eller att opålitlig kod körs
Beskrivning: Flera fel förekom i PHP före 5.6.26. Dessa åtgärdades genom att PHP uppdaterades till version 5.6.26.
CVE-2016-7411
CVE-2016-7412
CVE-2016-7413
CVE-2016-7414
CVE-2016-7416
CVE-2016-7417
CVE-2016-7418
AppleGraphicsPowerManagement
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal användare kan orsaka att tjänster nekas i systemet
Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.
CVE-2016-7609: daybreaker@Minionz i samarbete med Trend Micros Zero Day Initiative
Resurser
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal angripare kan ändra hämtade mobila resurser
Beskrivning: Det fanns ett behörighetsproblem i mobila resurser. Problemet åtgärdades genom förbättrad åtkomstbegränsning.
CVE-2016-7628: Marcel Bresink på Marcel Bresink Software-Systeme
Uppdaterades 15 december 2016
Ljud
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7658: Haohao Kong från Keen Lab (@keen_lab) på Tencent
CVE-2016-7659: Haohao Kong från Keen Lab (@keen_lab) på Tencent
Bluetooth
Tillgängligt för: macOS Sierra 10.12.1, OS X El Capitan 10.11.6 och OS X Yosemite 10.10.5
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa och Marko Laakso från Synopsys Software Integrity Group
Informationen uppdaterades 14 december 2016
Bluetooth
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Ett program kan orsaka ett överbelastningsangrepp
Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.
CVE-2016-7605: daybreaker på Minionz
Bluetooth
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-2016-7617: Radu Motspan i samarbete med Trend Micros Zero Day Initiative, Ian Beer från Google Project Zero
CoreCapture
Tillgängligt för: macOS Sierra 10.12.1 och OS X El Capitan 10.11.6
Effekt: En lokal användare kan orsaka att tjänster nekas i systemet
Beskrivning: En nollpekarreferens åtgärdades genom förbättrad tillståndshantering.
CVE-2016-7604: daybreaker på Minionz
Informationen uppdaterades 14 december 2016
CoreFoundation
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Bearbetning av skadliga strängar kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett minnesfel förekom i bearbetningen av strängar. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-2016-7663: en anonym forskare
CoreGraphics
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Bearbetning av en skadligt utformad typsnittsfil kan leda till oväntad programavslutning
Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.
CVE-2016-7627: TRAPMINE Inc. och Meysam Firouzi @R00tkitSMM
Extern visning av CoreMedia
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Ett lokalt program kan köra opålitlig kod i en medieserverdaemon
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-2016-7655: Keen Lab i samarbete med Trend Micros Zero Day Initiative
Uppspelning av CoreMedia
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Bearbetning av en skadlig MP4-fil kan ge upphov till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-7588: dragonltx på Huawei 2012 Laboratories
CoreStorage
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal användare kan orsaka att tjänster nekas i systemet
Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.
CVE-2016-7603: daybreaker@Minionz i samarbete med Trend Micros Zero Day Initiative
CoreText
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesfel förekom i hanteringen av typsnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-2016-7595: riusksk(泉哥) på Tencent Security Platform-avdelningen
CoreText
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Bearbetning av en skadlig sträng kan leda till att tjänsten nekas
Beskrivning: Ett problem med rendering av överlappande intervall åtgärdades genom förbättrad validering.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) på Digital Unit (dgunit.com)
Lades till 15 december 2016
curl
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation
Beskrivning: Flera problem förekom i curl. Dessa problem åtgärdades genom att curl uppdaterades till version 7.51.0.
CVE-2016-5419
CVE-2016-5420
CVE-2016-5421
CVE-2016-7141
CVE-2016-7167
CVE-2016-8615
CVE-2016-8616
CVE-2016-8617
CVE-2016-8618
CVE-2016-8619
CVE-2016-8620
CVE-2016-8621
CVE-2016-8622
CVE-2016-8623
CVE-2016-8624
CVE-2016-8625
Katalogtjänster
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal användare kan få tillgång till rotbehörigheter
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2016-7633: Ian Beer på Google Project Zero
Skivavbilder
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7616: daybreaker@Minionz i samarbete med Trend Micros Zero Day Initiative
FontParser
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesfel förekom i hanteringen av typsnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-2016-4691: riusksk(泉哥) på Tencents Security Platform-avdelning
Foundation
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Öppnande av en GCX-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7618: riusksk(泉哥) på Tencents Security Platform-avdelning
Grapher
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Öppnande av en GCX-fil med skadligt innehåll kan leda till oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7622: riusksk(泉哥) på Tencents Security Platform-avdelning
ICU
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-7594: André Bargull
ImageIO
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En fjärrangripare kan läcka minne
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad kontroll av gränserna.
CVE-2016-7643: Yangkang (@dnpushme) på Qihoo360 Qex Team
Intel Graphics-drivrutin
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7602: daybreaker@Minionz i samarbete med Trend Micros Zero Day Initiative
IOFireWireFamily
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal angripare kan läsa kärnminne
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2016-7608: Brandon Azad
IOAcceleratorFamily
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal användare kan ta reda på schemat för kernelminnet
Beskrivning: Ett problem med delat minne åtgärdades genom förbättrad minneshantering.
CVE-2016-7624: Qidan He (@flanker_hqd) från KeenLab i samarbete med Trend Micros Zero Day Initiative
IOHIDFamily
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Det kan hända att ett lokalt program med systembehörighet kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2016-7591: daybreaker på Minionz
IOKit
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Ett program kan läsa kernelminnet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7657: Keen Lab i samarbete med Trend Micros Zero Day Initiative
IOKit
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal användare kan ta reda på schemat för kernelminnet
Beskrivning: Ett problem med delat minne åtgärdades genom förbättrad minneshantering.
CVE-2016-7625: Qidan He (@flanker_hqd) från KeenLab i samarbete med Trend Micros Zero Day Initiative
IOKit
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal användare kan ta reda på schemat för kernelminnet
Beskrivning: Ett problem med delat minne åtgärdades genom förbättrad minneshantering.
CVE-2016-7714: Qidan He (@flanker_hqd) på KeenLab i samarbete med Trend Micros Zero Day Initiative
Lades till 25 januari 2017
IOSurface
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal användare kan ta reda på schemat för kernelminnet
Beskrivning: Ett problem med delat minne åtgärdades genom förbättrad minneshantering.
CVE-2016-7620: Qidan He (@flanker_hqd) från KeenLab i samarbete med Trend Micros Zero Day Initiative
Kernel
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7606: @cocoahuke, Chen Qin på Topsec Alpha Team (topsec.com)
CVE-2016-7612: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Ett program kan läsa kernelminnet
Beskrivning: Ett problem med otillräcklig initiering åtgärdades genom att korrekt initiera minne som returnerats till användarutrymmet.
CVE-2016-7607: Brandon Azad
Kernel
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal användare kan orsaka att tjänster nekas i systemet
Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.
CVE-2016-7615: Storbritanniens National Cyber Security Centre (NCSC)
Kernel
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal användare kan orsaka oväntad systemavslutning eller körning av opålitlig kod i en kernel
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2016-7621: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal användare kan få tillgång till rotbehörigheter
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7637: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Det kan hända att ett lokalt program med systembehörighet kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2016-7644: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Ett program kan orsaka ett överbelastningsangrepp
Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.
CVE-2016-7647: Lufeng Li på Qihoo 360 Vulcan Team
Lades till 17 maj 2017
kext-verktyg
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2016-7629: @cocoahuke
libarchive
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal angripare kan skriva över befintliga filer
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2016-7619: en anonym forskare
LibreSSL
Tillgängligt för: macOS Sierra 10.12.1 och OS X El Capitan 10.11.6
Effekt: En angripare med en behörig nätverksposition kan orsaka ett överbelastningsangrepp
Beskrivning: Ett problem med tjänster som nekades i obunden OCSP-tillväxt åtgärdades genom förbättrad minneshantering.
CVE-2016-6304
Informationen uppdaterades 14 december 2016
OpenLDAP
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En angripare kan få möjlighet att utnyttja svagheter i den kryptografiska algoritmen RC4
Beskrivning: RC4 togs bort som standardchiffer.
CVE-2016-1777: Pepi Zawodsky
OpenPAM
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal användare utan behörighet kan få tillgång till program som kräver behörighet
Beskrivning: Fel i PAM-autentiseringen i program i sandlådor skapade osäkerhet. Detta åtgärdades genom förbättrad felhantering.
CVE-2016-7600: Perette Barella från DeviousFish.com
OpenSSL
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Ett program kan köra opålitlig kod
Beskrivning: Det fanns ett överflödesfel i MDC2_Update(). Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2016-6303
OpenSSL
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En angripare med en behörig nätverksposition kan orsaka ett överbelastningsangrepp
Beskrivning: Ett problem med tjänster som nekades i obunden OCSP-tillväxt åtgärdades genom förbättrad minneshantering.
CVE-2016-6304
Strömhantering
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal användare kan få tillgång till rotbehörigheter
Beskrivning: Ett problem i mach-portnamnsreferenser åtgärdades genom förbättrad validering.
CVE-2016-7661: Ian Beer på Google Project Zero
Säkerhet
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En angripare kan få möjlighet att utnyttja svagheter i den kryptografiska algoritmen 3DES
Beskrivning: 3DES togs bort som standardchiffer.
CVE-2016-4693: Gaëtan Leurent och Karthikeyan Bhargavan från INRIA Paris
Säkerhet
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En angripare i en privilegierad nätverksposition kan orsaka ett dos-angrepp
Beskrivning: Ett valideringsproblem förekom i hanteringen av OSCP:s svarsadresser. Problemet åtgärdades genom att OCSP-återkallandestatus verifierades efter CA-valideringen och genom att antalet OCSP-begäranden per certifikat begränsades.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Säkerhet
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Certifikat kan oväntat utvärderas som betrodda
Beskrivning: Det fanns ett utvärderingsfel i certifikatvalideringen. Problemet åtgärdades genom ytterligare validering av certifikat.
CVE-2016-7662: Apple
syslog
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En lokal användare kan få tillgång till rotbehörigheter
Beskrivning: Ett problem i mach-portnamnsreferenser åtgärdades genom förbättrad validering.
CVE-2016-7660: Ian Beer på Google Project Zero
Wifi
Tillgängligt för: macOS Sierra 10.12.1
Effekt: En skadlig lokal användare kunde se känslig nätverksinställningsinformation
Beskrivning: Nätverksinställning gällde oväntat globalt. Problemet åtgärdades genom att flytta känslig nätverksinställning till användarspecifika inställningar.
CVE-2016-7761: Peter Loos, Karlsruhe, Tyskland
Lades till 24 januari 2017
xar
Tillgängligt för: macOS Sierra 10.12.1
Effekt: Öppning av ett arkiv med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Användandet av en oinitierad variabel åtgärdades genom förbättrad validering.
CVE-2016-7742: Gareth Evans på Context Information Security
Lades till 10 januari 2017
macOS Sierra 10.12.2, säkerhetsuppdatering 2016-003 El Capitan och säkerhetsuppdatering 2016-007 Yosemite omfattar säkerhetsinnehållet i Safari 10.0.2.