เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Sierra 10.12
เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ macOS Sierra 10.12
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
macOS Sierra 10.12
apache
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถใช้งานพร็อกซี่ผ่านเซิร์ฟเวอร์ตามอำเภอใจได้
คำอธิบาย: มีปัญหาในการจัดการตัวแปรสภาพแวดล้อม HTTP_PROXY ปัญหานี้ได้รับการแก้ไขโดยการไม่ตั้งค่าตัวแปรสภาพแวดล้อม HTTP_PROXY จาก CGI
CVE-2016-4694: Dominic Scheirlinck และ Scott Geary จาก Vend
apache_mod_php
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: มีปัญหาหลายประการใน PHP ปัญหาที่สำคัญที่สุดอาจก่อให้เกิดการหยุดแอพพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการใน PHP ได้รับการแก้ไขแล้วโดยการอัพเดท PHP ให้เป็นเวอร์ชั่น 5.6.24
CVE-2016-5768
CVE-2016-5769
CVE-2016-5770
CVE-2016-5771
CVE-2016-5772
CVE-2016-5773
CVE-2016-6174
CVE-2016-6288
CVE-2016-6289
CVE-2016-6290
CVE-2016-6291
CVE-2016-6292
CVE-2016-6294
CVE-2016-6295
CVE-2016-6296
CVE-2016-6297
บริการช่วยเหลือของ Apple HSSPI
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4697: Qidan He (@flanker_hqd) จาก KeenLab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
AppleEFIRuntime
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-4696: Shrek_wzw จาก Qihoo 360 Nirvan Team
AppleMobileFileIntegrity
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาในการตรวจสอบนโยบายการถ่ายโอนพอร์ตงาน ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบของกระบวนการสิทธิ์และ Team ID ที่ดียิ่งขึ้น
CVE-2016-4698: Pedro Vilaça
AppleUUC
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-4699: Jack Tang (@jacktang310) และ Moony Li จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-4700: Jack Tang (@jacktang310) และ Moony Li จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
แอพพลิเคชั่นไฟร์วอลล์
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้ใช้เฉพาะที่อาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการข้อความแจ้งไฟร์วอลล์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบ SO_EXECPATH ให้ดียิ่งขึ้น
CVE-2016-4701: Meder Kydyraliev Google Security Team
ATS
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การเรียกใช้รหัสโดยพลการ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4779: riusksk จาก Tencent Security Platform Department
เสียง
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถใช้รหัสได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park และ Taekyoung Kwon จาก Information Security Lab, Yonsei University
บลูทูธ
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-4703: Juwei Lin(@fuzzerDOTcn) จาก Trend Micro
cd9660
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ระบบปฏิเสธการบริการ
คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4706: Recurity Labs ในนามของ BSI (German Federal Office for Information Security)
CFNetwork
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถค้นพบเว็บไซต์ที่ผู้ใช้ได้เยี่ยมชมได้
คำอธิบาย: มีปัญหาในการลบพื้นที่จัดเก็บภายใน ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการล้างพื้นที่เก็บข้อมูลภายในให้ดียิ่งขึ้น
CVE-2016-4707: นักวิจัยนิรนาม
CFNetwork
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ไม่ปลอดภัย
คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในการแยกวิเคราะห์ส่วนหัว Set-Cookie ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบความถูกต้องให้ดียิ่งขึ้น
CVE-2016-4708: Dawid Czagan จาก Silesia Security Lab
CommonCrypto
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นที่ใช้ CCrypt อาจเปิดเผยข้อความธรรมดาที่สำคัญหากบัฟเฟอร์อินพุตและเอาท์พุตพร้อมกัน
คำอธิบาย: มีปัญหาในการตรวจสอบอินพุตใน Corecrypto ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น
CVE-2016-4711: Max Lohrmann
CoreCrypto
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสได้โดยอำเภอใจ
คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการลบรหัสที่เป็นอันตรายออก
CVE-2016-4712: Gergo Koteles
CoreDisplay
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้ใช้ที่มีสิทธิ์เข้าถึงการแชร์หน้าจออาจสามารถดูหน้าจอของผู้ใช้คนอื่นได้
คำอธิบาย: มีปัญหาการจัดการเซสชั่นในการจัดการเซสชั่นการแชร์หน้าจอ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการติดตามเซสชั่นที่ปรับปรุงให้ดีขึ้น
CVE-2016-4713: Ruggero Alberti
curl
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: มีปัญหาหลายประการใน curl
คำอธิบาย: มีปัญหาความปลอดภัยหลายประการใน curl ก่อนเวอร์ชั่น 7.49.1 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท curl เป็นเวอร์ชั่น 7.49.1
CVE-2016-0755: Isaac Boukris
บานหน้าต่างการตั้งค่าวันที่และเวลา
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถระบุตำแหน่งที่ตั้งปัจจุบันของผู้ใช้ได้
คำอธิบาย: มีปัญหาในการจัดการไฟล์ .GlobalPreferences ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-4715: Taiki (@Taiki__San) ที่ ESIEA (Paris)
DiskArbitration
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาการเข้าถึงใน diskutil ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2016-4716: Alexander Allen จาก The North Carolina School of Science and Mathematics
ที่คั่นหน้าไฟล์
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถทำให้เกิดการปฏิเสธการบริการ
คำอธิบาย: มีปัญหาการจัดการแหล่งข้อมูลในการจัดการที่คั่นหน้าที่อยู่ในระยะ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการตัวอธิบายไฟล์ให้ดียิ่งขึ้น
CVE-2016-4717: Tom Bradley จาก 71Squared Ltd
FontParser
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล
คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2016-4718: Apple
IDS - การเชื่อมต่อ
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้โจมตีที่มีสิทธิ์ในระดับเครือข่ายอาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: มีปัญหาการปลอมแปลงในการจัดการการส่งต่อสายโทร ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น
CVE-2016-4722: Martin Vigo (@martin_vigo) จาก salesforce.com
ImageIO
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตในการแยกวิเคราะห์ภาพ SGI ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2016-4682: Ke Liu จาก Xuanwu Lab ของ Tencent
ไดรเวอร์กราฟิกของ Intel
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4723: daybreaker จาก Minionz
ไดรเวอร์กราฟิกของ Intel
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย : ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7582: Liang Chen จาก Tencent KeenLab
IOAcceleratorFamily
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-4724: Cererdlong, Eakerqiu จาก Team OverSky
IOAcceleratorFamily
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-4725: Rodger Combs จาก Plex, Inc
IOAcceleratorFamily
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4726: นักวิจัยนิรนาม
IOThunderboltFamily
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4727: wmin ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
โมดูล Kerberos v5 PAM
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้โจมตีระยะไกลอาจระบุการมีอยู่ของบัญชีผู้ใช้
คำอธิบาย: Timing side channel อนุญาตให้ผู้โจมตีระบุการมีอยู่ของบัญชีผู้ใช้ในระบบได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการเพิ่มการตรวจสอบเวลาอย่างต่อเนื่อง
CVE-2016-4745: นักวิจัยนิรนาม
เคอร์เนล
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถเข้าถึงไฟล์ที่จำกัดสิทธิ์ได้
คำอธิบาย: ปัญหาการแยกวิเคราะห์ในการจัดการเส้นทางไดเรกทอรีได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบเส้นทางให้ดียิ่งขึ้น
CVE-2016-4771: Balazs Bucsay, Research Director จาก MRG Effitas
เคอร์เนล
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาการจัดการล็อคได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการล็อคให้ดียิ่งขึ้น
CVE-2016-4772: Marc Heuse จาก mh-sec
เคอร์เนล
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาหลายประการในการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
เคอร์เนล
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4775: Brandon Azad
เคอร์เนล
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่แบบ Pointer Dereference ที่ไม่น่าไว้วางใจได้รับการแก้ไขแล้วโดยการเอารหัสที่ได้รับผลกระทบออก
CVE-2016-4777: Lufeng Li จาก Qihoo 360 Vulcan Team
เคอร์เนล
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4778: CESG
libarchive
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: มีปัญหาหลายประการใน libarchive
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน libarchive ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-4736: Proteas จาก Qihoo 360 Nirvan Team
libxml2
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: มีปัญหาหลายประการใน libxml2 ปัญหาที่สำคัญที่สุดอาจก่อให้เกิดการหยุดแอพพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxpc
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถแยกตัวออกจาก Sandbox ได้
คำอธิบาย: มีจุดอ่อนหลายรายการในการวางกระบวนการใหม่ๆ โดยใช้ launchctl ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการบังคับใช้นโยบายให้ดียิ่งขึ้น
CVE-2016-4617: Gregor Kopf จาก Recurity Labs ในนามของ BSI (German Federal Office for Information Security)
libxslt
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4738: Nick Wellnhofer
เมล
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: เว็บไซต์ประสงค์ร้ายอาจสามารถสร้างการปฏิเสธการให้บริการ
คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการ URL
CVE-2016-7580: Sabri Haddouche (@pwnsdx)
mDNSResponder
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถดูข้อมูลที่ละเอียดอ่อนได้
คำอธิบาย: แอพพลิเคชั่นที่ใช้ VMnet.framework ได้เปิดใช้งานพร็อกซี่ DNS ที่ฟังบนอินเทอร์เฟซเครือข่ายทั้งหมด ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดการตอบสนองข้อสอบถาม DNS ต่ออินเทอร์เฟซภายใน
CVE-2016-4739: Magnus Skjegstad, David Scott และ Anil Madhavapeddy จาก Docker, Inc.
NSSecureTextField
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถทำให้ข้อมูลประจำตัวของผู้ใช้รั่วไหลได้
คำอธิบาย: มีปัญหาการจัดการสถานะใน NSSecureTextField ซึ่งไม่สามารถเปิดใช้งานการป้อนข้อมูลอย่างปลอดภัยได้สำเร็จ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน้าต่างให้ดียิ่งขึ้น
CVE-2016-4742: Rick Fillion จาก AgileBits, Daniel Jalkut จาก Red Sweater Software
Perl
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถเลี่ยงกลไกการป้องกันที่บกพร่องได้
คำอธิบาย: มีปัญหาในการแยกวิเคราะห์ตัวแปรสภาพแวดล้อม ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบตัวแปรสภาพแวดล้อมให้ดียิ่งขึ้น
CVE-2016-4748 : Stephane Chazelas
กล้อง S2
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4750: Jack Tang (@jacktang310) และ Moony Li จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
ความปลอดภัย
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นที่ใช้ SecKeyDeriveFromPassword อาจทำให้หน่วยความจำรั่วไหล
คำอธิบาย: มีปัญหาการจัดการแหล่งข้อมูลในการจัดการแหล่งที่มาหลัก ปัญหานี้ได้รับการแก้ไขแล้วโดยการเพิ่ม CF_RETURNS_RETAINED ไปที่ SecKeyDeriveFromPassword
CVE-2016-4752: Mark Rogers จาก PowerMapper Software
ความปลอดภัย
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ
คำอธิบาย: มีปัญหาในการตรวจสอบภาพดิสก์ที่ลงชื่อ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น
CVE-2016-4753: Mark Mentovai จาก Google Inc.
Terminal
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้
คำอธิบาย: มีปัญหาสิทธิ์อนุญาตใน .bash_history และ .bash_session ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น
CVE-2016-4755: Axel Luttgens
WindowServer
มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถได้รับสิทธิ์ในระดับรูทได้
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-4709: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2016-4710: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม