OS X El Capitan v10.11.4 ve Güvenlik Güncellemesi 2016-002'nin güvenlik içeriği hakkında

Bu belgede OS X El Capitan v10.11.4 ve Güvenlik Güncellemesi 2016-002'nin güvenlik içeriği açıklanmaktadır.

Apple, müşterilerini korumak amacıyla tam bir inceleme gerçekleştirilip gerekli yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Apple Ürün Güvenliği hakkında daha fazla bilgi almak için Apple Ürün Güvenliği web sitesine bakın.

Apple Ürün Güvenliği PGP Anahtarı hakkında bilgi için Apple Ürün Güvenliği PGP Anahtarı'nı kullanma başlıklı makaleye bakın.

Mümkün olduğunda daha fazla bilgi sağlamak amacıyla güvenlik açıklarından söz edilirken CVE Kimlikleri kullanılır.

Diğer güvenlik güncellemeleri hakkında daha fazla bilgi almak için Apple güvenlik güncellemeleri başlıklı makaleye bakın.

OS X El Capitan 10.11.4 ve Güvenlik Güncellemesi 2016-002

  • apache_mod_php

    İlgili sürümler: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11 - v10.11.3

    Etki: Kötü amaçlarla oluşturulmuş .png dosyasını işlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: 1.6.20'den önceki libpng sürümlerinde birden çok güvenlik açığı vardı. Bu güvenlik açıkları, libpng sürümünün 1.6.20'ye güncellenmesiyle giderildi.

    CVE kimliği

    CVE-2015-8126: Adam Mariš

    CVE-2015-8472: Adam Mariš

  • AppleRAID

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Bir bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1733: Qihoo 360 Nirvan Team'den Proteas

  • AppleRAID

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir

    Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan sınırların dışında bir okuma sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1732: Qihoo 360 Nirvan Team'den Proteas

  • AppleUSBNetworking

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir USB aygıtı servis reddine neden olabilir

    Açıklama: Paket doğrulamada bir hata işleme sorunu tespit edildi. Bu sorun, iyileştirilmiş hata işlemeyle giderildi.

    CVE kimliği

    CVE-2016-1734: Inverse Path'ten Andrea Barisani ve Andrej Rosano

  • Bluetooth

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1735: Jeonghoon Shin@A.D.D

    CVE-2016-1736: BoB'den beist ve ABH

  • Carbon

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Kötü amaçlarla oluşturulmuş .dfont dosyasını işlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar, sınırların denetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1737: HappilyCoded (ant4g0nist &r3dsm0k3)

  • dyld

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir saldırgan, uygulamanın bağlamında rastgele kod yürütmek için kod imzalı uygulamaları kurcalayabilir

    Açıklama: dyld'de kod imzalama doğrulama sorunu vardı. Bu sorun, doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1738: BoB'den beist ve ABH

  • FontParser

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını açmak, uygulamanın beklenmedik şekilde sona ermesine veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1740: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan HappilyCoded (ant4g0nist ve r3dsm0k3)

  • HTTPProtocol

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: İşletim sistemine uzaktan erişen bir saldırgan rastgele kod yürütebilir

    Açıklama: 1.6.0'dan önceki nghttp2 sürümlerinde, aralarında en ciddi olanı rastgele kod yürütülmesine neden olan birden çok güvenlik açığı vardı. Bu güvenlik açıkları nghttp2 1.6.0 sürümüne güncellenerek giderildi.

    CVE kimliği

    CVE-2015-8659

  • Intel Grafik Sürücüsü

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1743: Cisco Talos'tan Piotr Bania

    CVE-2016-1744: Google Project Zero'dan Ian Beer

  • IOFireWireFamily

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Yerel bir kullanıcı servis reddine neden olabilir

    Açıklama: Null işaretçi başvurusu, doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1745: Grayhash'ten sweetchip

  • IOGraphics

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Bir bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1746: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan Trend Micro'dan Peter Pi

    CVE-2016-1747: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan Trend Micro'dan Juwei Lin

  • IOHIDFamily

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama, çekirdek belleği düzenini belirleyebilir

    Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1748: Brandon Azad

  • IOUSBFamily

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1749: Google Project Zero'dan Ian Beer ve Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan Trend Micro'dan Juwei Lin

  • Çekirdek

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Boşaltılan belleğin kullanılması sorunu, bellek yönetimi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1750: CESG

  • Çekirdek

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Yeni işlemlerin oluşturulması sırasında yarış durumu vardı. Bu sorun, durum işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1757: Pedro Vilaça ve Google Project Zero'dan Ian Beer

  • Çekirdek

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Null işaretçi başvurusu girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1756: Qihoo 360 Vulcan Team'den Lufeng Li

  • Çekirdek

    İlgili sürümler: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1754: Qihoo 360 Vulcan Team'den Lufeng Li

    CVE-2016-1755: Google Project Zero'dan Ian Beer

    CVE-2016-1759: lokihardt

  • Çekirdek

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama, çekirdek belleği düzenini belirleyebilir

    Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan sınırların dışında bir okuma sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1758: Brandon Azad

  • Çekirdek

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Birden çok tam sayı taşması, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1753: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan Trend Micro'dan Juwei Lin

  • Çekirdek

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama servis reddine neden olabilir

    Açıklama: Servis reddi sorunu, doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1752: CESG

  • libxml2

    İlgili sürümler: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11 - v10.11.3

    Etki: Kötü amaçlarla oluşturulmuş XML dosyasını işlemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2015-1819

    CVE-2015-5312: Google'dan David Drysdale

    CVE-2015-7499

    CVE-2015-7500: Google'dan Kostya Serebryany

    CVE-2015-7942: Google'dan Kostya Serebryany

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan wol0xff

    CVE-2016-1762

  • Mesajlar

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: JavaScript bağlantısını tıklamak hassas kullanıcı bilgilerini açığa çıkarabilir

    Açıklama: JavaScript bağlantılarının işlenmesinde sorun vardı. Bu sorun, içerik güvenliği politikası denetimleri iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1764: Uber Security Team'den Matthew Bryant (önceden Bishop Fox), Bishop Fox'tan Joe DeMesy ve Shubham Shah

  • Mesajlar

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Apple'ın sertifika iğnelemesini atlayabilen, TLS bağlantılarını ele geçirebilen, mesaj ekleyebilen ve şifreli ek türü mesajları kayıt altına alabilen bir saldırgan ekleri okuyabilir

    Açıklama: Şifreleme sorunu, istemcideki yinelenen mesajları reddederek giderildi.

    CVE kimliği

    CVE-2016-1788: Johns Hopkins University'den Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers ve Michael Rushanan

  • NVIDIA Grafik Sürücüleri

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

    Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1741: Google Project Zero'dan Ian Beer

  • OpenSSH

    İlgili sürümler: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11 - v10.11.3

    Etki: Sunucuya bağlanmak istemcinin özel anahtarları gibi hassas kullanıcı bilgilerini sızdırabilir

    Açıklama: OpenSSH istemcisinde saptanmış olarak açık olan dolaşım, bilgi sızıntısını ve arabellek taşmasını ortaya çıkardı. Bu sorunlar, istemcideki dolaşım etkisizleştirilerek giderildi.

    CVE kimliği

    CVE-2016-0777: Qualys

    CVE-2016-0778: Qualys

  • OpenSSH

    İlgili işletim sistemleri: OS X Mavericks v10.9.5 ve OS X Yosemite v10.10.5

    Etki: LibreSSL'de birden çok güvenlik açığı

    Açıklama: 2.1.8'den önceki LibreSSL sürümlerinde birden çok güvenlik açığı vardı. Bu güvenlik açıkları, LibreSSL sürümü 2.1.8'e güncellenerek giderildi.

    CVE kimliği

    CVE-2015-5333: Qualys

    CVE-2015-5334: Qualys

  • OpenSSL

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: İşletim sistemine uzaktan erişen bir saldırgan servis reddine neden olabilir

    Açıklama: 0.9.8zh'den önceki OpenSSL sürümlerinde bellek sızıntısı vardı. Bu sorun, OpenSSL'in 0.9.8zh sürümüne güncellenmesiyle giderildi.

    CVE kimliği

    CVE-2015-3195

  • Python

    İlgili sürümler: OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 ve OS X El Capitan v10.11 - v10.11.3

    Etki: Kötü amaçlarla oluşturulmuş .png dosyasını işlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: 1.6.20'den önceki libpng sürümlerinde birden çok güvenlik açığı vardı. Bu güvenlik açıkları, libpng sürümünün 1.6.20'ye güncellenmesiyle giderildi.

    CVE kimliği

    CVE-2014-9495

    CVE-2015-0973

    CVE-2015-8126: Adam Mariš

    CVE-2015-8472: Adam Mariš

  • QuickTime

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Kötü amaçlarla oluşturulmuş FlashPix Bitmap Görüntüsü'nü işlemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1767: COSIG'den Francis Provencher

    CVE-2016-1768: COSIG'den Francis Provencher

  • QuickTime

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Kötü amaçlarla oluşturulmuş Photoshop belgesini işlemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1769: COSIG'den Francis Provencher

  • Anımsatıcılar

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Telefon bağlantısını tıklamak kullanıcıya sorulmadan arama yapılmasına neden olabilir.

    Açıklama: Arama başlatılmadan önce kullanıcıya sorulmuyordu. Bu sorun, yetki denetimleri iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1770: Rapid7'den Guillaume Ross ve Laurent.ca'dan Laurent Chouinard

  • Ruby

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Yerel bir saldırgan uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

    Açıklama: 2.0.0-p648'den önceki sürümlerde güvenli olmayan, bozuk dizi kullanımı güvenlik açığı vardı. Bu sorun, 2.0.0p-648 sürümüne güncellenerek giderildi.

    CVE kimliği

    CVE-2015-7551

  • Güvenlik

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Yerel bir kullanıcı rastgele dosyaların varlığını kontrol edebilir

    Açıklama: Kod imzalama araçlarında izin sorunu vardı. Bu sorun, ek sahiplik denetimleriyle giderildi.

    CVE kimliği

    CVE-2016-1773: Google Inc.'den Mark Mentovai

  • Güvenlik

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Kötü amaçlarla oluşturulmuş bir sertifikayı işlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: ASN.1 kod çözücüsünde bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1950: Quarkslab'den Francis Gabriel

  • Tcl

    İlgili sürümler: OS X Yosemite v10.10.5 ve OS X El Capitan v10.11 - v10.11.3

    Etki: Kötü amaçlarla oluşturulmuş .png dosyasını işlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: 1.6.20'den önceki libpng sürümlerinde birden çok güvenlik açığı vardı. Bu güvenlik açıkları, libpng kaldırılarak giderildi.

    CVE kimliği

    CVE-2015-8126

  • TrueTypeScaler

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek rastgele kod yürütülmesine neden olabilir

    Açıklama: Font dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-1775: Trend Micro's Zero Day Initiative (ZDI) ile birlikte çalışan 0x1byte

  • Wi-Fi

    İlgili sürümler: OS X El Capitan v10.11 - v10.11.3

    Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan rastgele kod yürütebilir

    Açıklama: Belirli bir ethertype için çerçeve doğrulaması ve bellek bozulması sorunu vardı. Bu sorun, ek ethertype doğrulamasıyla ve belleğin işlenmesi iyileştirilerek giderildi.

    CVE kimliği

    CVE-2016-0801: anonim bir araştırmacı

    CVE-2016-0802: anonim bir araştırmacı

OS X El Capitan 10.11.4'te Safari 9.1'in güvenlik içeriği bulunur.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: