เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Sierra 10.12.2, รายการอัพเดทความปลอดภัย 2016-003 El Capitan และรายการอัพเดทความปลอดภัย 2016-007 Yosemite
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Sierra 10.12.2, รายการอัพเดทความปลอดภัย 2016-003 El Capitan และรายการอัพเดทความปลอดภัย 2016-007 Yosemite
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
macOS Sierra 10.12.2, รายการอัพเดทความปลอดภัย 2016-003 El Capitan และรายการอัพเดทความปลอดภัย 2016-007 Yosemite
apache_mod_php
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้หยุดแอพพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหลายประการใน PHP เวอร์ชั่นก่อน 5.6.26 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท PHP ให้เป็นเวอร์ชั่น 5.6.26
CVE-2016-7411
CVE-2016-7412
CVE-2016-7413
CVE-2016-7414
CVE-2016-7416
CVE-2016-7417
CVE-2016-7418
AppleGraphicsPowerManagement
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบปฏิเสธบริการได้
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7609: daybreaker@Minionz ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
สินทรัพย์
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจแก้ไขแอสเซ็ทของอุปกรณ์มือถือที่ดาวน์โหลดไว้
คำอธิบาย: มีปัญหาเกี่ยวกับสิทธิ์อนุญาตในแอสเซ็ทของอุปกรณ์มือถือ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น
CVE-2016-7628: Marcel Bresink ของ Marcel Bresink Software-Systeme
เสียง
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7658: Haohao Kong จาก Keen Lab (@keen_lab) ของ Tencent
CVE-2016-7659: Haohao Kong จาก Keen Lab (@keen_lab) ของ Tencent
บลูทูธ
มีให้สำหรับ: macOS Sierra 10.12.1, OS X El Capitan v10.11.6 และ OS X Yosemite v10.10.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa และ Marko Laakso จาก Synopsys Software Integrity Group
บลูทูธ
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: แอพพลิเคชั่นอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7605: daybreaker จาก Minionz
บลูทูธ
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7617: Radu Motspan ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro และ Ian Beer จาก Google Project Zero
CoreCapture
มีให้สำหรับ: macOS Sierra 10.12.1 และ OS X El Capitan v10.11.6
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบปฏิเสธบริการได้
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2016-7604: daybreaker จาก Minionz
CoreFoundation
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: การประมวลผลสตริงที่ประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด หรือทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลสตริง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2016-7663: นักวิจัยนิรนาม
CoreGraphics
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM
จอแสดงผลภายนอกของ CoreMedia
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถใช้รหัสในบริบทของ mediaserver daemon ได้โดยอำเภอใจ
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7655: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreMedia Playback
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: การประมวลผลไฟล์ .mp4 ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7588: dragonltx จาก Huawei 2012 Laboratories
CoreStorage
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบปฏิเสธบริการได้
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7603: daybreaker@Minionz ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreText
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2016-7595: riusksk (泉哥) จาก Tencent Security Platform Department
CoreText
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: การประมวลผลสตริงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาในขณะเรนเดอร์ช่วงสัญญาณที่ซ้อนทับกันได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) จาก Digital Unit (dgunit.com)
curl
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้
คำอธิบาย: มีปัญหาหลายประการใน curl ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัพเดท curl เป็นเวอร์ชั่น 7.51.0
CVE-2016-5419
CVE-2016-5420
CVE-2016-5421
CVE-2016-7141
CVE-2016-7167
CVE-2016-8615
CVE-2016-8616
CVE-2016-8617
CVE-2016-8618
CVE-2016-8619
CVE-2016-8620
CVE-2016-8621
CVE-2016-8622
CVE-2016-8623
CVE-2016-8624
CVE-2016-8625
บริการสารบบ
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถได้รับสิทธิ์ในระดับราก
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7633: Ian Beer จาก Google Project Zero
ภาพดิสก์
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7616: daybreaker@Minionz ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
FontParser
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2016-4691: riusksk (泉哥) จาก Tencent Security Platform Department
Foundation
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: การเปิดไฟล์ .gcx ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด หรือทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7618: riusksk (泉哥) จาก Tencent Security Platform Department
Grapher
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: การเปิดไฟล์ .gcx ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด หรือทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7622: riusksk (泉哥) จาก Tencent Security Platform Department
ICU
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7594: André Bargull
ImageIO
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2016-7643: Yangkang (@dnpushme) จาก Qihoo360 Qex Team
ไดรเวอร์กราฟิกของ Intel
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7602: daybreaker@Minionz ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
IOFireWireFamily
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้โจมตีเฉพาะอาจสามารถอ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7608: Brandon Azad
IOAcceleratorFamily
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาหน่วยความจำที่แชร์ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7624: Qidan He (@flanker_hqd) จาก KeenLab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
IOHIDFamily
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: แอพพลิเคชั่นเฉพาะที่ที่มีสิทธิ์ในระดับระบบอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7591: daybreaker จาก Minionz
IOKit
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7657: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
IOKit
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาหน่วยความจำที่แชร์ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7625: Qidan He (@flanker_hqd) จาก KeenLab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
IOKit
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาหน่วยความจำที่แชร์ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7714: Qidan He (@flanker_hqd) จาก KeenLab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
IOSurface
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาหน่วยความจำที่แชร์ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7620: Qidan He (@flanker_hqd) จาก KeenLab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7606: @cocoahuke, Chen Qin จาก Topsec Alpha Team (topsec.com)
CVE-2016-7612: Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการเตรียมใช้งานที่ไม่เพียงพอได้รับการแก้ไขแล้วโดยการเตรียมใช้งานหน่วยความจำอย่างถูกต้องกลับไปที่ User Space
CVE-2016-7607: Brandon Azad
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบปฏิเสธบริการได้
คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7615: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือมีการใช้รหัสโดยอำเภอใจในเคอร์เนล
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7621: Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถได้รับสิทธิ์ในระดับราก
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7637: Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: แอพพลิเคชั่นเฉพาะที่ที่มีสิทธิ์ในระดับระบบอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7644: Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: แอพพลิเคชั่นอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-7647: Lufeng Li จาก Qihoo 360 Vulcan Team
เครื่องมือ kexts
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-7629: @cocoahuke
libarchive
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถเขียนทับไฟล์ที่มีอยู่แล้วได้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น
CVE-2016-7619: นักวิจัยนิรนาม
LibreSSL
มีให้สำหรับ: macOS Sierra 10.12.1 และ OS X El Capitan v10.11.6
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาการปฏิเสธการให้บริการในการเติบโตที่ไม่จำกัดของ OCSP ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-6304
OpenLDAP
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้โจมตีอาจสามารถใช้จุดอ่อนในอัลกอริทึมการเข้ารหัส RC4 ได้
คำอธิบาย: RC4 ถูกเอาออกจากการเป็น cipher ตามค่าเริ่มต้นแล้ว
CVE-2016-1777: Pepi Zawodsky
OpenPAM
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะที่ที่ไม่มีสิทธิ์อาจสามารถเข้าถึงแอพพลิเคชั่นที่มีสิทธิ์ได้
คำอธิบาย: ไม่สามารถตรวจสอบความถูกต้อง PAM ภายในแอพพลิเคชั่นใน Sandbox อย่างปลอดภัยได้สำเร็จ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น
CVE-2016-7600: Perette Barella จาก DeviousFish.com
OpenSSL
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาการล้นเกิดขึ้นใน MDC2_Update() ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2016-6303
OpenSSL
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้เกิดการปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาการปฏิเสธการให้บริการในการเติบโตที่ไม่จำกัดของ OCSP ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2016-6304
การจัดการพลังงาน
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถได้รับสิทธิ์ในระดับราก
คำอธิบาย: ปัญหาในข้อมูลอ้างอิงชื่อ Mach port ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-7661: Ian Beer จาก Google Project Zero
ความปลอดภัย
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้โจมตีอาจสามารถใช้จุดอ่อนในอัลกอริทึมการเข้ารหัส 3DES ได้
คำอธิบาย: 3DES ถูกลบออกจากการเป็น cipher ตามค่าเริ่มต้นแล้ว
CVE-2016-4693: Gaëtan Leurent และ Karthikeyan Bhargavan จาก INRIA Paris
ความปลอดภัย
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการของ URL ตัวตอบสนองของ OCSP ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสถานะการเพิกถอน OCSP หลังจากตรวจสอบ CA และจำกัดจำนวนคำขอ OCSP ต่อใบรับรองหนึ่งใบแล้ว
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
ความปลอดภัย
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ใบรับรองอาจได้รับการประเมินว่าเชื่อถือได้โดยไม่คาดคิด
คำอธิบาย: มีปัญหาการประเมินใบรับรองในการตรวจสอบใบรับรอง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบใบรับรองเพิ่มเติม
CVE-2016-7662: Apple
syslog
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถได้รับสิทธิ์ในระดับราก
คำอธิบาย: ปัญหาในข้อมูลอ้างอิงชื่อ Mach port ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-7660: Ian Beer จาก Google Project Zero
Wi-Fi
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถดูข้อมูลการกำหนดค่าเครือข่ายที่สำคัญได้
คำอธิบาย: การกำหนดค่าเครือข่ายกลายเป็นแบบสากลโดยไม่คาดคิด ปัญหานี้ได้รับการแก้ไขแล้วโดยการเคลื่อนย้ายการกำหนดค่าเครือข่ายที่สำคัญไปยังการตั้งค่าของผู้ใช้แต่ละคน
CVE-2016-7761: Peter Loos จากคาร์ลสรูเออ เยอรมัน
xar
มีให้สำหรับ: macOS Sierra 10.12.1
ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: การใช้ตัวแปรที่ไม่ได้รับการกำหนดค่าเริ่มต้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2016-7742: Gareth Evans จาก Context Information Security
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม