เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Sierra 10.12.2, รายการอัพเดทความปลอดภัย 2016-003 El Capitan และรายการอัพเดทความปลอดภัย 2016-007 Yosemite

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Sierra 10.12.2, รายการอัพเดทความปลอดภัย 2016-003 El Capitan และรายการอัพเดทความปลอดภัย 2016-007 Yosemite

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการที่เปิดตัวใหม่ให้ใช้งาน รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

macOS Sierra 10.12.2, รายการอัพเดทความปลอดภัย 2016-003 El Capitan และรายการอัพเดทความปลอดภัย 2016-007 Yosemite

เปิดตัวเมื่อวันที่ 13 ธันวาคม 2016

apache_mod_php

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ภัยคุกคามระยะไกลอาจทำให้หยุดแอพพลิเคชั่นโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหลายประการใน PHP เวอร์ชั่นก่อน 5.6.26 ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท PHP ให้เป็นเวอร์ชั่น 5.6.26

CVE-2016-7411

CVE-2016-7412

CVE-2016-7413

CVE-2016-7414

CVE-2016-7416

CVE-2016-7417

CVE-2016-7418

AppleGraphicsPowerManagement

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ระบบปฏิเสธการบริการ

คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7609: daybreaker@Minionz ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

สินทรัพย์

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจแก้ไขแอสเซ็ทของอุปกรณ์มือถือที่ดาวน์โหลดไว้

คำอธิบาย: มีปัญหาเกี่ยวกับสิทธิ์อนุญาตในแอสเซ็ทของอุปกรณ์มือถือ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2016-7628: Marcel Bresink ของ Marcel Bresink Software-Systeme

อัพเดทรายการเมื่อวันที่ 15 ธันวาคม 2016

เสียง

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7658: Haohao Kong จาก Keen Lab (@keen_lab) ของ Tencent

CVE-2016-7659: Haohao Kong จาก Keen Lab (@keen_lab) ของ Tencent

บลูทูธ

มีให้สำหรับ: macOS Sierra 10.12.1, OS X El Capitan v10.11.6 และ OS X Yosemite v10.10.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ 

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7596: Pekka Oikarainen, Matias Karhumaa และ Marko Laakso จาก Synopsys Software Integrity Group

อัพเดทรายการเมื่อวันที่ 14 ธันวาคม 2016

บลูทูธ

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: แอพพลิเคชั่นอาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7605: daybreaker จาก Minionz

บลูทูธ

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7617: Radu Motspan ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro และ Ian Beer จาก Google Project Zero

CoreCapture

มีให้สำหรับ: macOS Sierra 10.12.1 และ OS X El Capitan v10.11.6

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ระบบปฏิเสธการบริการ

คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2016-7604: daybreaker จาก Minionz

อัพเดทรายการเมื่อวันที่ 14 ธันวาคม 2016

CoreFoundation

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: การประมวลผลสตริงที่ประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด หรือทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลสตริง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2016-7663: นักวิจัยนิรนาม

CoreGraphics

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด

คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

จอภาพภายนอกของ CoreMedia

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: แอพพลิเคชั่นเฉพาะที่อาจสามารถใช้รหัสในบริบทของ mediaserver daemon ได้โดยอำเภอใจ

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7655: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CoreMedia Playback

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: การประมวลผลไฟล์ .mp4 ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7588: dragonltx จาก Huawei 2012 Laboratories

CoreStorage

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ระบบปฏิเสธการบริการ

คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7603: daybreaker@Minionz ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CoreText

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การเรียกใช้รหัสโดยพลการ

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2016-7595: riusksk (泉哥) จาก Tencent Security Platform Department

CoreText

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: การประมวลผลสตริงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการ

คำอธิบาย: ปัญหาในขณะเรนเดอร์ช่วงสัญญาณที่ซ้อนทับกันได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Saif Al-Hinai (welcom_there) จาก Digital Unit (dgunit.com)

เพิ่มรายการเมื่อวันที่ 15 ธันวาคม 2016

curl

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้

คำอธิบาย: มีปัญหาหลายประการใน curl ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัพเดท curl เป็นเวอร์ชั่น 7.51.0

CVE-2016-5419

CVE-2016-5420

CVE-2016-5421

CVE-2016-7141

CVE-2016-7167

CVE-2016-8615

CVE-2016-8616

CVE-2016-8617

CVE-2016-8618

CVE-2016-8619

CVE-2016-8620

CVE-2016-8621

CVE-2016-8622

CVE-2016-8623

CVE-2016-8624

CVE-2016-8625

บริการสารบบ

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7633: Ian Beer จาก Google Project Zero

ภาพดิสก์

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7616: daybreaker@Minionz ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

FontParser

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การเรียกใช้รหัสโดยพลการ

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำในการจัดการไฟล์แบบอักษร ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2016-4691: riusksk (泉哥) จาก Tencent Security Platform Department

Foundation

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: การเปิดไฟล์ .gcx ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด หรือทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7618: riusksk (泉哥) จาก Tencent Security Platform Department

Grapher

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: การเปิดไฟล์ .gcx ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดคิด หรือทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7622: riusksk (泉哥) จาก Tencent Security Platform Department

ICU

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7594: André Bargull

ImageIO

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้โจมตีจากระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2016-7643: Yangkang (@dnpushme) จาก Qihoo360 Qex Team

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ 

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7602: daybreaker@Minionz ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

IOFireWireFamily

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7608: Brandon Azad

IOAcceleratorFamily

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหน่วยความจำที่แชร์ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7624: Qidan He (@flanker_hqd) จาก KeenLab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

IOHIDFamily

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: แอพพลิเคชั่นเฉพาะที่ที่มีสิทธิ์ในระดับระบบอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7591: daybreaker จาก Minionz

IOKit

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7657: Keen Lab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

IOKit

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหน่วยความจำที่แชร์ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7625: Qidan He (@flanker_hqd) จาก KeenLab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

IOKit

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหน่วยความจำที่แชร์ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7714: Qidan He (@flanker_hqd) จาก KeenLab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 25 มกราคม 2017

IOSurface

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหน่วยความจำที่แชร์ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7620: Qidan He (@flanker_hqd) จาก KeenLab ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ 

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7606: @cocoahuke, Chen Qin จาก Topsec Alpha Team (topsec.com)

CVE-2016-7612: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการเตรียมใช้งานที่ไม่เพียงพอได้รับการแก้ไขแล้วโดยการเตรียมใช้งานหน่วยความจำอย่างถูกต้องกลับไปที่ User Space

CVE-2016-7607: Brandon Azad

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ระบบปฏิเสธการบริการ

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7615: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจทำให้ระบบหยุดโดยไม่คาดคิดหรือการใช้รหัสโดยอำเภอใจในเคอร์เนล

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7621: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7637: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: แอพพลิเคชั่นเฉพาะที่ที่มีสิทธิ์ในระดับระบบอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7644: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: แอพพลิเคชั่นอาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-7647: Lufeng Li จาก Qihoo 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 17 พฤษภาคม 2017

kext tools

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ 

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-7629: @cocoahuke

libarchive

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถเขียนทับไฟล์ที่มีอยู่แล้วได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น

CVE-2016-7619: นักวิจัยนิรนาม

LibreSSL

มีให้สำหรับ: macOS Sierra 10.12.1 และ OS X El Capitan v10.11.6

ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการในการเติบโตที่ไม่จำกัดของ OCSP ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-6304

อัพเดทรายการเมื่อวันที่ 14 ธันวาคม 2016

OpenLDAP

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้โจมตีอาจสามารถใช้จุดอ่อนในอัลกอริทึมการเข้ารหัส RC4 ได้

คำอธิบาย: RC4 ถูกเอาออกจากการเป็น cipher ตามค่าเริ่มต้นแล้ว

CVE-2016-1777: Pepi Zawodsky

OpenPAM

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะที่ที่ไม่มีสิทธิ์อาจสามารถเข้าถึงแอพพลิเคชั่นที่มีสิทธิ์ได้

คำอธิบาย: ไม่สามารถตรวจสอบความถูกต้อง PAM ภายในแอพพลิเคชั่นใน Sandbox อย่างปลอดภัยได้สำเร็จ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น

CVE-2016-7600: Perette Barella จาก DeviousFish.com

OpenSSL

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสได้โดยอำเภอใจ

คำอธิบาย: มีปัญหาการล้นเกิดขึ้นใน MDC2_Update() ปัญหานี้ได้รับการแก้ไขผ่านการตรวจสอบอินพุตที่ดีขึ้น

CVE-2016-6303

OpenSSL

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้โจมตีที่มีตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการในการเติบโตที่ไม่จำกัดของ OCSP ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-6304

การจัดการพลังงาน

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหาในข้อมูลอ้างอิงชื่อ Mach port ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-7661: Ian Beer จาก Google Project Zero

ความปลอดภัย

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้โจมตีอาจสามารถใช้จุดอ่อนในอัลกอริทึมการเข้ารหัส 3DES ได้

คำอธิบาย: 3DES ถูกเอาออกจากการเป็น cipher ตามค่าเริ่มต้นแล้ว

CVE-2016-4693: Gaëtan Leurent และ Karthikeyan Bhargavan จาก INRIA Paris

ความปลอดภัย

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจทำให้เกิดการปฏิเสธการให้บริการได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการของ URL ตัวตอบสนองของ OCSP ปัญหานี้ได้รับการแก้ไขแล้วโดยการตรวจสอบสถานะการเพิกถอน OCSP หลังจากตรวจสอบ CA และจำกัดจำนวนคำขอ OCSP ต่อใบรับรองหนึ่งใบแล้ว

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

ความปลอดภัย

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ใบรับรองอาจได้รับการประเมินว่าเชื่อถือได้โดยไม่คาดคิด

คำอธิบาย: มีปัญหาการประเมินใบรับรองในการตรวจสอบใบรับรอง ปัญหานี้ได้รับการแก้ไขแล้วผ่านการตรวจสอบใบรับรองเพิ่มเติม

CVE-2016-7662: Apple

syslog

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถได้รับสิทธิ์ในระดับรูทได้

คำอธิบาย: ปัญหาในข้อมูลอ้างอิงชื่อ Mach port ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-7660: Ian Beer จาก Google Project Zero

WiFi

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถดูข้อมูลการกำหนดค่าเครือข่ายที่สำคัญได้

คำอธิบาย: การกำหนดค่าเครือข่ายกลายเป็นแบบสากลโดยไม่คาดคิด ปัญหานี้ได้รับการแก้ไขแล้วโดยการเคลื่อนย้ายการกำหนดค่าเครือข่ายที่สำคัญไปยังการตั้งค่าของผู้ใช้แต่ละคน

CVE-2016-7761: Peter Loos จากคาร์ลสรูเออ เยอรมัน

เพิ่มรายการเมื่อวันที่ 24 มกราคม 2017

xar

มีให้สำหรับ: macOS Sierra 10.12.1

ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: การใช้ตัวแปรที่ไม่ได้รับการกำหนดค่าเริ่มต้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2016-7742: Gareth Evans จาก Context Information Security

เพิ่มรายการเมื่อวันที่ 10 มกราคม 2017

macOS Sierra 10.12.2, รายการอัพเดทความปลอดภัย 2016-003 El Capitan และรายการอัพเดทความปลอดภัย 2016-007 Yosemite ประกอบไปด้วยเนื้อหาด้านความปลอดภัยเกี่ยวกับ Safari 10.0.2

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: