เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Sierra 10.12

เอกสารนี้จะอธิบายเนื้อหาความปลอดภัยของ macOS Sierra 10.12

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสืบสวนโดยละเอียด และมีแพตช์หรือมีการเปิดตัวที่จำเป็นออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

macOS Sierra 10.12

เปิดตัวเมื่อวันที่ 20 กันยายน 2016

apache

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถใช้งานพร็อกซี่ผ่านเซิร์ฟเวอร์ตามอำเภอใจได้

คำอธิบาย: มีปัญหาในการจัดการตัวแปรสภาพแวดล้อม HTTP_PROXY ปัญหานี้ได้รับการแก้ไขโดยการไม่ตั้งค่าตัวแปรสภาพแวดล้อม HTTP_PROXY จาก CGI

CVE-2016-4694: Dominic Scheirlinck และ Scott Geary จาก Vend

apache_mod_php

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: มีปัญหาหลายประการใน PHP ปัญหาที่สำคัญที่สุดอาจก่อให้เกิดการหยุดแอพพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการใน PHP ได้รับการแก้ไขแล้วโดยการอัพเดท PHP ให้เป็นเวอร์ชั่น 5.6.24

CVE-2016-5768

CVE-2016-5769

CVE-2016-5770

CVE-2016-5771

CVE-2016-5772

CVE-2016-5773

CVE-2016-6174

CVE-2016-6288

CVE-2016-6289

CVE-2016-6290

CVE-2016-6291

CVE-2016-6292

CVE-2016-6294

CVE-2016-6295

CVE-2016-6296

CVE-2016-6297

บริการช่วยเหลือของ Apple HSSPI

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4697: Qidan He (@flanker_hqd) จาก KeenLab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

AppleEFIRuntime

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4696: Shrek_wzw จาก Qihoo 360 Nirvan Team

AppleMobileFileIntegrity

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: มีปัญหาในการตรวจสอบนโยบายการถ่ายโอนพอร์ตงาน ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบของกระบวนการสิทธิ์และ Team ID ที่ดียิ่งขึ้น

CVE-2016-4698: Pedro Vilaça

AppleUUC

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4699: Jack Tang (@jacktang310) และ Moony Li จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2016-4700: Jack Tang (@jacktang310) และ Moony Li จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

แอพพลิเคชั่นไฟร์วอลล์

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้ใช้เฉพาะที่อาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการข้อความแจ้งไฟร์วอลล์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบ SO_EXECPATH ให้ดียิ่งขึ้น

CVE-2016-4701: Meder Kydyraliev Google Security Team

ATS

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การเรียกใช้รหัสโดยพลการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4779: riusksk จาก Tencent Security Platform Department

เสียง

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถใช้รหัสได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park และ Taekyoung Kwon จาก Information Security Lab, Yonsei University

บลูทูธ

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4703: Juwei Lin(@fuzzerDOTcn) จาก Trend Micro

cd9660

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ระบบปฏิเสธการบริการ

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4706: Recurity Labs ในนามของ BSI (German Federal Office for Information Security)

CFNetwork

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถค้นพบเว็บไซต์ที่ผู้ใช้ได้เยี่ยมชมได้

คำอธิบาย: มีปัญหาในการลบพื้นที่จัดเก็บภายใน ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการล้างพื้นที่เก็บข้อมูลภายในให้ดียิ่งขึ้น

CVE-2016-4707: นักวิจัยนิรนาม

CFNetwork

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ข้อมูลของผู้ใช้ไม่ปลอดภัย

คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในการแยกวิเคราะห์ส่วนหัว Set-Cookie ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบความถูกต้องให้ดียิ่งขึ้น

CVE-2016-4708: Dawid Czagan จาก Silesia Security Lab

CommonCrypto

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นที่ใช้ CCrypt อาจเปิดเผยข้อความธรรมดาที่สำคัญหากบัฟเฟอร์อินพุตและเอาท์พุตพร้อมกัน

คำอธิบาย: มีปัญหาในการตรวจสอบอินพุตใน Corecrypto ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

CVE-2016-4711: Max Lohrmann

CoreCrypto

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการเขียนนอกขอบเขตได้รับการแก้ไขแล้วโดยการลบรหัสที่เป็นอันตรายออก

CVE-2016-4712: Gergo Koteles

CoreDisplay

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้ใช้ที่มีสิทธิ์เข้าถึงการแชร์หน้าจออาจสามารถดูหน้าจอของผู้ใช้คนอื่นได้

คำอธิบาย: มีปัญหาการจัดการเซสชั่นในการจัดการเซสชั่นการแชร์หน้าจอ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการติดตามเซสชั่นที่ปรับปรุงให้ดีขึ้น

CVE-2016-4713: Ruggero Alberti

curl

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: มีปัญหาหลายประการใน curl

คำอธิบาย: มีปัญหาความปลอดภัยหลายประการใน curl ก่อนเวอร์ชั่น 7.49.1 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท curl เป็นเวอร์ชั่น 7.49.1

CVE-2016-0755: Isaac Boukris

บานหน้าต่างการตั้งค่าวันที่และเวลา

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถระบุตำแหน่งที่ตั้งปัจจุบันของผู้ใช้ได้

คำอธิบาย: มีปัญหาในการจัดการไฟล์ .GlobalPreferences ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-4715: Taiki (@Taiki__San) ที่ ESIEA (Paris)

DiskArbitration

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: มีปัญหาการเข้าถึงใน diskutil ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบสิทธิ์อนุญาตให้ดียิ่งขึ้น

CVE-2016-4716: Alexander Allen จาก The North Carolina School of Science and Mathematics

ที่คั่นหน้าไฟล์

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถทำให้เกิดการปฏิเสธการบริการ

คำอธิบาย: มีปัญหาการจัดการแหล่งข้อมูลในการจัดการที่คั่นหน้าที่อยู่ในระยะ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการตัวอธิบายไฟล์ให้ดียิ่งขึ้น

CVE-2016-4717: Tom Bradley จาก 71Squared Ltd

FontParser

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: มีบัฟเฟอร์ล้นในการจัดการไฟล์แบบอักษร ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2016-4718: Apple

IDS - การเชื่อมต่อ

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้โจมตีที่มีสิทธิ์ในระดับเครือข่ายอาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: มีปัญหาการปลอมแปลงในการจัดการการส่งต่อสายโทร ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

CVE-2016-4722: Martin Vigo (@martin_vigo) จาก salesforce.com

ImageIO

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: มีปัญหาการอ่านนอกขอบเขตในการแยกวิเคราะห์ภาพ SGI ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2016-4682: Ke Liu จาก Xuanwu Lab ของ Tencent

เพิ่มรายการเมื่อวันที่ 24 ตุลาคม 2016

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4723: daybreaker จาก Minionz

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย : ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7582: Liang Chen จาก Tencent KeenLab

เพิ่มรายการเมื่อวันที่ 14 พฤศจิกายน 2016

IOAcceleratorFamily

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4724: Cererdlong, Eakerqiu จาก Team OverSky

IOAcceleratorFamily

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4725: Rodger Combs จาก Plex, Inc

IOAcceleratorFamily

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4726: นักวิจัยนิรนาม

IOThunderboltFamily

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4727: wmin ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

โมดูล Kerberos v5 PAM

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้โจมตีระยะไกลอาจระบุการมีอยู่ของบัญชีผู้ใช้

คำอธิบาย: Timing side channel อนุญาตให้ผู้โจมตีระบุการมีอยู่ของบัญชีผู้ใช้ในระบบได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการเพิ่มการตรวจสอบเวลาอย่างต่อเนื่อง

CVE-2016-4745: นักวิจัยนิรนาม

เคอร์เนล

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถเข้าถึงไฟล์ที่จำกัดสิทธิ์ได้

คำอธิบาย: ปัญหาการแยกวิเคราะห์ในการจัดการเส้นทางไดเรกทอรีได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบเส้นทางให้ดียิ่งขึ้น

CVE-2016-4771: Balazs Bucsay, Research Director จาก MRG Effitas

เคอร์เนล

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการจัดการล็อคได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการล็อคให้ดียิ่งขึ้น

CVE-2016-4772: Marc Heuse จาก mh-sec

เคอร์เนล

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาหลายประการในการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

เคอร์เนล

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4775: Brandon Azad

เคอร์เนล

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ช่องโหว่แบบ Pointer Dereference ที่ไม่น่าไว้วางใจได้รับการแก้ไขแล้วโดยการเอารหัสที่ได้รับผลกระทบออก

CVE-2016-4777: Lufeng Li จาก Qihoo 360 Vulcan Team

เคอร์เนล

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4778: CESG

libarchive

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: มีปัญหาหลายประการใน libarchive

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน libarchive ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-4736: Proteas จาก Qihoo 360 Nirvan Team

libxml2

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: มีปัญหาหลายประการใน libxml2 ปัญหาที่สำคัญที่สุดอาจก่อให้เกิดการหยุดแอพพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

libxpc

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: มีจุดอ่อนหลายรายการในการวางกระบวนการใหม่ๆ โดยใช้ launchctl ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการบังคับใช้นโยบายให้ดียิ่งขึ้น

CVE-2016-4617: Gregor Kopf จาก Recurity Labs ในนามของ BSI (German Federal Office for Information Security)

เพิ่มรายการเมื่อวันที่ 24 ตุลาคม 2016

libxslt

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4738: Nick Wellnhofer

เมล

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: เว็บไซต์ประสงค์ร้ายอาจสามารถสร้างการปฏิเสธการให้บริการ

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการ URL

CVE-2016-7580: Sabri Haddouche (@pwnsdx)

เพิ่มรายการเมื่อวันที่ 1 ธันวาคม 2016

mDNSResponder

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถดูข้อมูลที่ละเอียดอ่อนได้

คำอธิบาย: แอพพลิเคชั่นที่ใช้ VMnet.framework ได้เปิดใช้งานพร็อกซี่ DNS ที่ฟังบนอินเทอร์เฟซเครือข่ายทั้งหมด ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดการตอบสนองข้อสอบถาม DNS ต่ออินเทอร์เฟซภายใน

CVE-2016-4739: Magnus Skjegstad, David Scott และ Anil Madhavapeddy จาก Docker, Inc.

NSSecureTextField

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถทำให้ข้อมูลประจำตัวของผู้ใช้รั่วไหลได้

คำอธิบาย: มีปัญหาการจัดการสถานะใน NSSecureTextField ซึ่งไม่สามารถเปิดใช้งานการป้อนข้อมูลอย่างปลอดภัยได้สำเร็จ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน้าต่างให้ดียิ่งขึ้น

CVE-2016-4742: Rick Fillion จาก AgileBits, Daniel Jalkut จาก Red Sweater Software

Perl

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถเลี่ยงกลไกการป้องกันที่บกพร่องได้

คำอธิบาย: มีปัญหาในการแยกวิเคราะห์ตัวแปรสภาพแวดล้อม ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบตัวแปรสภาพแวดล้อมให้ดียิ่งขึ้น

CVE-2016-4748 : Stephane Chazelas

กล้อง S2

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4750: Jack Tang (@jacktang310) และ Moony Li จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ความปลอดภัย

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นที่ใช้ SecKeyDeriveFromPassword อาจทำให้หน่วยความจำรั่วไหล

คำอธิบาย: มีปัญหาการจัดการแหล่งข้อมูลในการจัดการแหล่งที่มาหลัก ปัญหานี้ได้รับการแก้ไขแล้วโดยการเพิ่ม CF_RETURNS_RETAINED ไปที่ SecKeyDeriveFromPassword

CVE-2016-4752: Mark Rogers จาก PowerMapper Software

ความปลอดภัย

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: มีปัญหาในการตรวจสอบภาพดิสก์ที่ลงชื่อ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2016-4753: Mark Mentovai จาก Google Inc.

Terminal

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตใน .bash_history และ .bash_session ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2016-4755: Axel Luttgens

WindowServer

มีให้สำหรับ: OS X Lion v10.7.5 ขึ้นไป

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-4709: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2016-4710: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 15 พฤศจิกายน 2016
macOS Sierra 10.12 มีเนื้อหาความปลอดภัยของ Safari 10

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: