เกี่ยวกับเนื้อหาความปลอดภัยของ OS X El Capitan v10.11.4 และรายการอัพเดทความปลอดภัย 2016-002

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ OS X El Capitan v10.11.4 และรายการอัพเดทความปลอดภัย 2016-002

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดูที่เว็บไซต์ ความปลอดภัยของผลิตภัณฑ์ Apple

สำหรับข้อมูลเกี่ยวกับคีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple โปรดดู วิธีใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เมื่อเป็นไปได้ จะใช้ CVE ID เพื่ออ้างอิงข้อมูลเพิ่มเติมของช่องโหว่ต่างๆ

หากต้องการเรียนรู้เกี่ยวกับรายการอัพเดทความปลอดภัยอื่นๆ โปรดดู รายการอัพเดทความปลอดภัยของ Apple

OS X El Capitan 10.11.4 และรายการอัพเดทความปลอดภัย 2016-002

  • apache_mod_php

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: การประมวลผลไฟล์ .png ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่จำนวนมากใน libpng เวอร์ชั่นก่อน 1.6.20 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท libpng ให้เป็นเวอร์ชั่น 1.6.20

    CVE-ID

    CVE-2015-8126: Adam Mariš

    CVE-2015-8472: Adam Mariš

  • AppleRAID

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1733: Proteas จาก Qihoo 360 Nirvan Team

  • AppleRAID

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1732: Proteas จาก Qihoo 360 Nirvan Team

  • AppleUSBNetworking

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: อุปกรณ์ USB อาจสามารถทำให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: มีปัญหาในการจัดการกับข้อผิดพลาดในการตรวจสอบแพคเก็ต ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1734: Andrea Barisani และ Andrej Rosano จาก Inverse Path

  • บลูทูธ

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1735: Jeonghoon Shin@A.D.D

    CVE-2016-1736: beist และ ABH จาก BoB

  • Carbon

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: การประมวลผลไฟล์ .dfont ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายหลายจุดในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1737 : HappilyCoded (ant4g0nist &r3dsm0k3)

  • dyld

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: ผู้โจมตีอาจเข้าไปรบกวนแอพพลิเคชั่นที่ลงชื่อรหัสเพื่อใช้รหัสโดยอำเภอใจในบริบทของแอพพลิเคชั่นได้

    คำอธิบาย: มีปัญหาในการตรวจสอบการลงชื่อรหัสใน dyld ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1738: beist และ ABH จาก BoB

  • FontParser

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: การเปิดไฟล์ PDF ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมายหรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1740: HappilyCoded (ant4g0nist และ r3dsm0k3) ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

  • HTTPProtocol

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่หลายแห่งใน nghttp2 เวอร์ชั่นก่อน 1.6.0 ซึ่งในกรณีร้ายแรงที่สุดอาจนำไปสู่การใช้รหัสระยะไกล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท nghttp2 ให้เป็นเวอร์ชั่น 1.6.0

    CVE-ID

    CVE-2015-8659

  • ไดรเวอร์กราฟิก Intel

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1743: Piotr Bania จาก Cisco Talos

    CVE-2016-1744: Ian Beer จาก Google Project Zero

  • IOFireWireFamily

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1745: sweetchip จาก Grayhash

  • IOGraphics

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1746: Peter Pi จาก Trend Micro ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

    CVE-2016-1747: Juwei Lin จาก Trend Micro ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

  • IOHIDFamily

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1748: Brandon Azad

  • IOUSBFamily

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1749: Ian Beer จาก Google Project Zero และ Juwei Lin จาก Trend Micro ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

  • เคอร์เนล

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1750: CESG

  • เคอร์เนล

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: มีสภาวะการแย่งชิงในระหว่างการสร้างกระบวนการใหม่ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1757: Ian Beer จาก Google Project Zero และ Pedro Vilaça

  • เคอร์เนล

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1756: Lufeng Li จาก Qihoo 360 Vulcan Team

  • เคอร์เนล

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1754: Lufeng Li จาก Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer จาก Google Project Zero

    CVE-2016-1759: lokihardt

  • เคอร์เนล

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

    คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1758: Brandon Azad

  • เคอร์เนล

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาการล้นของจำนวนเต็มจำนวนมากได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1753: Juwei Lin Trend Micro ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

  • เคอร์เนล

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจทำให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1752: CESG

  • libxml2

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: David Drysdale จาก Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany จาก Google

    CVE-2015-7942: Kostya Serebryany จาก Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

    CVE-2016-1762

  • ข้อความ

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: การคลิกที่ลิงก์ JavaScript สามารถแสดงข้อมูลผู้ใช้ที่มีความสำคัญได้

    คำอธิบาย: มีปัญหาในการประมวลผลลิงก์ JavaScript ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบนโยบายการรักษาความปลอดภัยเนื้อหาให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1764 : Matthew Bryant จาก Uber Security Team (ก่อนหน้านี้ทำงานให้กับ Bishop Fox), Joe DeMesy และ Shubham Shah จาก Bishop Fox

  • ข้อความ

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: ผู้โจมตีอาจสามารถอ่านไฟล์แนบได้หากสามารถข้ามการปักหมุดใบรับรองของ Apple, ขัดขวางการเชื่อมต่อ TLS, แทรกข้อความ และบันทึกข้อความประเภทไฟล์แนบที่เข้ารหัสเอาไว้ได้

    คำอธิบาย: ปัญหาการเข้ารหัสได้รับการแก้ไขแล้วโดยการปฏิเสธข้อความซํ้าในไคลเอนต์

    CVE-ID

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers และ Michael Rushanan จาก Johns Hopkins University

  • ไดรเวอร์กราฟิก NVIDIA

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1741: Ian Beer จาก Google Project Zero

  • OpenSSH

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: การเชื่อมต่อกับเซิร์ฟเวอร์อาจทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้ เช่น คีย์ส่วนบุคคลของไคลเอนต์

    คำอธิบาย: การโรมมิ่ง ซึ่งเปิดใช้งานตามค่าเริ่มต้นในไคลเอนต์ OpenSSH เสี่ยงต่อการรั่วไหลของข้อมูลและมีบัฟเฟอร์เกิน ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการปิดใช้งานการโรมมิ่งในไคลเอนต์

    CVE-ID

    CVE-2016-0777: Qualys

    CVE-2016-0778: Qualys

  • OpenSSH

    มีให้สำหรับ: OS X Mavericks v10.9.5 และ OS X Yosemite v10.10.5

    ผลกระทบ: มีช่องโหว่จำนวนมากใน LibreSSL

    คำอธิบาย: มีช่องโหว่จำนวนมากใน LibreSSL เวอร์ชั่นก่อน 2.1.8 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท LibreSSL ให้เป็นเวอร์ชั่น 2.1.8

    CVE-ID

    CVE-2015-5333: Qualys

    CVE-2015-5334: Qualys

  • OpenSSL

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการปฏิเสธการให้บริการได้

    คำอธิบาย: มีปัญหาหน่วยความจำรั่วไหลใน OpenSSL เวอร์ชั่นก่อน 0.9.8zh ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัพเดท OpenSSL ให้เป็นเวอร์ชั่น 0.9.8zh

    CVE-ID

    CVE-2015-3195

  • Python

    มีให้สำหรับ: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 และ OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: การประมวลผลไฟล์ .png ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่จำนวนมากใน libpng เวอร์ชั่นก่อน 1.6.20 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท libpng ให้เป็นเวอร์ชั่น 1.6.20

    CVE-ID

    CVE-2014-9495

    CVE-2015-0973

    CVE-2015-8126: Adam Mariš

    CVE-2015-8472: Adam Mariš

  • QuickTime

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: การประมวลผลภาพ FlashPix Bitmap ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1767: Francis Provencher จาก COSIG

    CVE-2016-1768: Francis Provencher จาก COSIG

  • QuickTime

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: การประมวลผลเอกสาร Photoshop ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: ปัญหาหน่วยความจำเสียหายหลายจุดได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1769: Francis Provencher จาก COSIG

  • เตือนความจำ

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: การคลิกที่ลิงก์โทรศัพท์สามารถโทรออกได้โดยไม่ต้องแจ้งผู้ใช้

    คำอธิบาย: ผู้ใช้ไม่ได้รับการแจ้งก่อนเรียกใช้การโทร ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบสิทธิ์ให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-1770: Guillaume Ross จาก Rapid7 และ Laurent Chouinard จาก Laurent.ca

  • Ruby

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: ผู้โจมตีในระบบอาจสามารถทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่ในการใช้งานสตริงที่มีจุดด่างพร้อยที่ไม่ปลอดภัยในเวอร์ชั่นก่อน 2.0.0-p648 ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัพเดทให้เป็นเวอร์ชั่น 2.0.0-p648

    CVE-ID

    CVE-2015-7551

  • ความปลอดภัย

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถตรวจสอบหาการมีอยู่ของไฟล์ Arbitrary ได้

    คำอธิบาย: มีปัญหาเกี่ยวกับการอนุญาตในเครื่องมือการลงชื่อรหัส ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสถานะความเป็นเจ้าของเพิ่มเติม

    CVE-ID

    CVE-2016-1773: Mark Mentovai จาก Google Inc.

  • ความปลอดภัย

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: การประมวลผลใบรับรองที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในตัวถอดรหัส ASN.1 ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

    CVE-ID

    CVE-2016-1950: Francis Gabriel จาก Quarkslab

  • Tcl

    มีให้สำหรับ: OS X Yosemite v10.10.5 และ OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: การประมวลผลไฟล์ .png ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีช่องโหว่จำนวนมากใน libpng เวอร์ชั่นก่อน 1.6.20 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการลบ libpng ออก

    CVE-ID

    CVE-2015-8126

  • TrueTypeScaler

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

    คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

    CVE-ID

    CVE-2016-1775: 0x1byte ซึ่งทำงานร่วมกับ Zero Day Initiative (ZDI) ของ Trend Micro

  • Wi-Fi

    มีให้สำหรับ: OS X El Capitan v10.11 ถึง v10.11.3

    ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถใช้รหัสโดยอำเภอใจได้

    คำอธิบาย: มีปัญหาการตรวจสอบเฟรมและหน่วยความจำเสียหายสำหรับ ethertype ที่กำหนด ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบ ethertype เพิ่มเติมและปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

    CVE-ID

    CVE-2016-0801: นักวิจัยที่ไม่ระบุชื่อ

    CVE-2016-0802: นักวิจัยที่ไม่ระบุชื่อ

OS X El Capitan 10.11.4 มีเนื้อหาความปลอดภัยของ Safari 9.1

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: