เกี่ยวกับเนื้อหาความปลอดภัยของ OS X El Capitan v10.11.5 และรายการอัพเดทความปลอดภัย 2016-003

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ OS X El Capitan v10.11.5 และรายการอัพเดทความปลอดภัย 2016-003

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูวิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับรายการอัพเดทความปลอดภัยอื่นๆ โปรดดูรายการอัพเดทความปลอดภัยของ Apple

OS X El Capitan v10.11.5 และรายการอัพเดทความปลอดภัย 2016-003

  • AMD

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1792: beist และ ABH จาก BoB

  • AMD

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาที่นำไปสู่การเปิดเผยเนื้อหาหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1791: daybreaker จาก Minionz

  • apache_mod_php

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: ช่องโหว่หลายจุดใน PHP

    คำอธิบาย: มีช่องโหว่จำนวนมากใน PHP เวอร์ชั่นก่อน 5.5.34 ซึ่งได้รับการแก้ไขแล้วโดยการอัพเดท PHP ให้เป็นเวอร์ชั่น 5.5.34

    CVE-ID

    CVE-2015-8865

    CVE-2016-3141

    CVE-2016-3142

    CVE-2016-4070

    CVE-2016-4071

    CVE-2016-4072

    CVE-2016-4073

  • AppleGraphicsControl

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1793: Ian Beer จาก Google Project Zero

    CVE-2016-1794: Ian Beer จาก Google Project Zero

  • AppleGraphicsPowerManagement

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1795: Moony Li (@Flyic) และ Jack Tang (@jacktang310) จาก Trend Micro

  • ATS

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้

    คำอธิบาย: ปัญหาในการเข้าถึงหน่วยความจำนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1796: lokihardt ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

  • ATS

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาในนโยบายกล่องทรายทดสอบ ปัญหานี้ได้รับการแก้ไขแล้วโดยการทำกล่องทรายทดสอบให้กับ FontValidator

    CVE-ID

    CVE-2016-1797: lokihardt ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

  • เสียง

    มีให้สำหรับ: OS X Yosemite v10.10.5 และ OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจทำให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1798: Juwei Lin จาก TrendMicro

  • เสียง

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1799: Juwei Lin จาก TrendMicro

  • Captive Network Assistant

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถใช้รหัสโดยอำเภอใจด้วยความช่วยเหลือจากผู้ใช้ได้

    คำอธิบาย: ปัญหาการจัดการแบบแผน URL ที่กำหนดเองได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1800: Apple

  • CFNetwork Proxies

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลของผู้ใช้ที่มีความสำคัญรั่วไหลได้

    คำอธิบาย: มีข้อมูลรั่วไหลในการจัดการคำขอ HTTP และ HTTPS ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการ URL ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1801: Alex Chapman และ Paul Stone จาก Context Information Security

  • CommonCrypto

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้

    คำอธิบาย: มีปัญหาเกิดขึ้นในการจัดการค่าการส่งคืนใน CCCrypt ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการความยาวคีย์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1802: Klaus Rodewig

  • CoreCapture

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1803: Ian Beer จาก Google Project Zero ซึ่งเป็น daybreaker ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

  • CoreStorage

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาในการกำหนดค่าได้รับการแก้ไขแล้วผ่านข้อจำกัดเพิ่มเติม

    CVE-ID

    CVE-2016-1805: Stefan Esser

  • Crash Reporter

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับรากได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาในการกำหนดค่าได้รับการแก้ไขแล้วผ่านข้อจำกัดเพิ่มเติม

    CVE-ID

    CVE-2016-1806: lokihardt ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

  • ภาพดิสก์

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: ผู้โจมตีในระบบอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

    คำอธิบาย: สภาวะการแย่งชิงได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1807: Ian Beer จาก Google Project Zero

  • ภาพดิสก์

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการแยกวิเคราะห์ภาพดิสก์ ปัญหานี้แก้ไขได้ผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1808: Moony Li (@Flyic) และ Jack Tang (@jacktang310) จาก Trend Micro

  • ยูทิลิตี้ดิสก์

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: ยูทิลิตี้ดิสก์ไม่สามารถบีบอัดและเข้ารหัสภาพดิสก์ได้สำเร็จ

    คำอธิบาย: มีการใช้คีย์ที่ไม่ถูกต้องในการเข้ารหัสภาพดิสก์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัพเดทคีย์การเข้ารหัส

    CVE-ID

    CVE-2016-1809: Ast A. Moore (@astamoore) และ David Foster จาก TechSmartKids

  • ไดรเวอร์กราฟิก

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1810: Moony Li (@Flyic) และ Jack Tang (@jacktang310) จาก Trend Micro

  • ImageIO

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

    คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1811: Lander Brandt (@landaire)

  • ไดรเวอร์กราฟิกของ Intel

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1812: Juwei Lin จาก TrendMicro

  • ไดรเวอร์กราฟิกของ Intel

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: ปัญหาเกี่ยวกับการเข้าถึงหลายปัญหาได้รับการแก้ไขแล้วผ่านข้อจำกัดเพิ่มเติม

    CVE-ID

    CVE-2016-1860: Brandon Azad และ Qidan He (@flanker_hqd) จาก KeenLab, Tencent

    CVE-2016-1862: Marco Grassi (@marcograss) จาก KeenLab (@keen_lab), Tencent

  • IOAcceleratorFamily

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจทำให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการล็อคให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1814: Juwei Lin จาก TrendMicro

  • IOAcceleratorFamily

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1815: Liang Chen, Qidan He จาก KeenLab, Tencent ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

    CVE-2016-1817: Moony Li (@Flyic) และ Jack Tang (@jacktang310) จาก Trend Micro ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

    CVE-2016-1818: Juwei Lin จาก TrendMicro, sweetchip@GRAYHASH ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

    CVE-2016-1819: Ian Beer จาก Google Project Zero

    อัพเดทรายการเมื่อวันที่ 13 ธันวาคม 2016

  • IOAcceleratorFamily

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1813: Ian Beer จาก Google Project Zero

    CVE-2016-1816: Peter Pi (@heisecode) จาก Trend Micro และ Juwei Lin จาก Trend Micro

  • IOAudioFamily

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1820: Moony Li (@Flyic) และ Jack Tang (@jacktang310) จาก Trend Micro ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

  • IOAudioFamily

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1821: Ian Beer จาก Google Project Zero

  • IOFireWireFamily

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1822: CESG

  • IOHIDFamily

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1823: Ian Beer จาก Google Project Zero

    CVE-2016-1824: Marco Grassi (@marcograss) จาก KeenLab (@keen_lab), Tencent

    CVE-2016-4650 : Peter Pi จาก Trend Micro ทำงานร่วมกับ Zero Day Initiative ของ HP

  • IOHIDFamily

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1825: Brandon Azad

  • เคอร์เนล

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1827: Brandon Azad

    CVE-2016-1828: Brandon Azad

    CVE-2016-1829: CESG

    CVE-2016-1830: Brandon Azad

    CVE-2016-1831: Brandon Azad

  • เคอร์เนล

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีจำนวนเต็มล้นอยู่ใน DTrace ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1826: Ben Murphy ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

  • libc

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1832: Karl Williamson

  • libxml2

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1833: Mateusz Jurczyk

    CVE-2016-1834: Apple

    CVE-2016-1835: Wei Lei และ Liu Yang จาก Nanyang Technological University

    CVE-2016-1836: Wei Lei และ Liu Yang จาก Nanyang Technological University

    CVE-2016-1837: Wei Lei และ Liu Yang จาก Nanyang Technological University

    CVE-2016-1838: Mateusz Jurczyk

    CVE-2016-1839: Mateusz Jurczyk

    CVE-2016-1840: Kostya Serebryany

  • libxslt

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: การเข้าดูเว็บไซต์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1841: Sebastian Apelt

  • MapKit

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลของผู้ใช้ที่มีความสำคัญรั่วไหลได้

    คำอธิบาย: ลิงก์ที่แชร์ถูกส่งด้วยโปรโตคอล HTTP มากกว่า HTTPS ปัญหานี้ได้รับการแก้ไขแล้วโดยการเปิดใช้งาน HTTPS สำหรับลิงก์ที่แชร์

    CVE-ID

    CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)

  • ข้อความ

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: เซิร์ฟเวอร์หรือผู้ใช้ที่ประสงค์ร้ายอาจสามารถแก้ไขรายชื่อผู้ติดต่อของผู้ใช้รายอื่นได้

    คำอธิบาย: มีปัญหาในการตรวจสอบความถูกต้องในการเปลี่ยนแปลงบัญชีรายชื่อ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบความถูกต้องของชุดบัญชีรายชื่อให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1844: Thijs Alkemade จาก Computest

  • ข้อความ

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้

    คำอธิบาย: มีปัญหาในการเข้ารหัสในการแยกวิเคราะห์ชื่อไฟล์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการเข้ารหัสชื่อไฟล์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1843: Heige (หรือ SuperHei) จากทีมรักษาความปลอดภัย Knownsec 404 [http://www.knownsec.com]

  • Multi-Touch

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1804: Liang Chen, Yubin Fu, Marco Grassi จาก KeenLab, Tencent จาก Zero Day Initiative ของ Trend Micro

  • ไดรเวอร์กราฟิก NVIDIA

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1846: Ian Beer จาก Google Project Zero

    CVE-2016-1861: Ian Beer จาก Google Project Zero

  • OpenGL

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1847: Tongbo Luo และ Bo Qu จาก Palo Alto Networks

  • QuickTime

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: การเปิดไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1848: Francis Provencher จาก COSIG

  • SceneKit

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: การเปิดไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1850: Tyler Bohan จาก Cisco Talos

  • การล็อคหน้าจอ

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: ผู้ที่มีสิทธิ์เข้าใช้งานเครื่องคอมพิวเตอร์ได้อาจสามารถรีเซ็ตรหัสผ่านที่หมดอายุจากหน้าจอล็อคได้

    คำอธิบาย: มีปัญหาในการจัดการโปรไฟล์รหัสผ่าน ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการรีเซ็ตรหัสผ่านให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1851: นักวิจัยที่ไม่ระบุชื่อ

  • Tcl

    มีให้สำหรับ: OS X El Capitan v10.11 ขึ้นไป

    ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลของผู้ใช้ที่มีความสำคัญรั่วไหลได้

    คำอธิบาย: ปัญหาด้านความปลอดภัยของโปรโตคอลได้รับการแก้ไขแล้วโดยการปิดใช้งาน SSLv2

    CVE-ID

    CVE-2016-1853: นักวิจัยจาก Tel Aviv University, Münster University of Applied Sciences, Ruhr University Bochum, University of Pennsylvania, Hashcat project, University of Michigan, Two Sigma, Google และ OpenSSL project: Nimrod Aviram, Sebastian Schinzel, Juraj Somorovsky, Nadia Heninger, Maik Dankel, Jens Steube, Luke Valenta, David Adrian, J. Alex Halderman, Viktor Dukhovni, Emilia Käsper, Shaanan Cohney, Susanne Engels, Christof Paar และ Yuval Shavitt

OS X El Capitan v10.11.5 มีเนื้อหาความปลอดภัยของ Safari 9.1.1

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: