macOS Sierra 10.12'nin güvenlik içeriği hakkında
Bu belgede macOS Sierra 10.12'nin güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla soruşturma gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişiminizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.
Mümkün olduğunda, Apple güvenlik belgelerinde güvenlik açıklarından CVE Kimliği ile bahsedilir.
macOS Sierra 10.12
apache
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Uzaktaki bir saldırgan proxy trafiğine rastgele bir sunucudan erişebilir
Açıklama: HTTP_PROXY ortam değişkeninin işlenmesinde bir sorun vardı. Bu sorun, HTTP_PROXY ortam değişkenini CGI'dan ayarlamayarak giderildi.
CVE-2016-4694: Vend'den Dominic Scheirlinck ve Scott Geary
apache_mod_php
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: PHP'de birden çok sorun vardı. Bu sorunlardan en önemlisi, uygulamanın beklenmedik biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.
Açıklama: PHP'deki birden çok sorun, PHP'yi 5.6.24 sürümüne güncelleyerek giderildi.
CVE-2016-5768
CVE-2016-5769
CVE-2016-5770
CVE-2016-5771
CVE-2016-5772
CVE-2016-5773
CVE-2016-6174
CVE-2016-6288
CVE-2016-6289
CVE-2016-6290
CVE-2016-6291
CVE-2016-6292
CVE-2016-6294
CVE-2016-6295
CVE-2016-6296
CVE-2016-6297
Apple HSSPI Desteği
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4697: Trend Micro'nun Zero Day Initiative programı ile çalışan, KeenLab'den Qidan He (@flanker_hqd)
AppleEFIRuntime
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bir null işaretçi başvurusu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-4696: Qihoo 360 Nirvan Team'den Shrek_wzw
AppleMobileFileIntegrity
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Yerel bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Görev bağlantı noktası devralma politikasında bir doğrulama sorunu vardı. Bu sorun, işlem yetkilendirmesi ve Ekip Kimliğinin doğrulanması iyileştirilerek giderildi.
CVE-2016-4698: Pedro Vilaça
AppleUUC
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Birden çok bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-4699: Trend Micro'nun Zero Day Initiative programı ile çalışan, Trend Micro'dan Jack Tang (@jacktang310) ve Moony Li
CVE-2016-4700: Trend Micro'nun Zero Day Initiative programı ile çalışan, Trend Micro'dan Jack Tang (@jacktang310) ve Moony Li
Uygulama Güvenlik Duvarı
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Yerel bir kullanıcı, servis reddine neden olabilir
Açıklama: Güvenlik duvarı istemlerinin işlenmesinde bir doğrulama sorunu vardı. Bu sorun, SO_EXECPATH doğrulaması iyileştirilerek giderildi.
CVE-2016-4701: Google Güvenlik Ekibi'nden Meder Kydyraliev
ATS
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi, rastgele kod yürütülmesine neden olabilir
Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4779: Tencent Security Platform Department'tan riusksk
Ses
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir
Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4702: Yonsei Üniversitesi, Information Security Lab'den YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park ve Taekyoung Kwon.
Bluetooth
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bir bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-4703: Trend Micro'dan Juwei Lin (@fuzzerDOTcn)
cd9660
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Yerel bir kullanıcı, sistem servis reddine neden olabilir
Açıklama: Bir girdi doğrulama işlemi sorunu, bellek işleme iyileştirilerek giderildi.
CVE-2016-4706: BSI (Alman Federal Bilgi Güvenliği Ofisi) adına Recurity Labs
CFNetwork
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Yerel bir kullanıcı, bir kullanıcının ziyaret etmiş olduğu web sitelerini bulabilir
Açıklama: Yerel Depolama Alanı'nın silinmesinde bir sorun vardı. Bu sorun, Yerel Depolama Alanı temizleme işlemi iyileştirilerek giderildi.
CVE-2016-4707: anonim bir araştırmacı
CFNetwork
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kullanıcı bilgilerini tehlikeye atabilir
Açıklama: Çerez ayarlama başlığının ayrıştırılmasında bir girdi doğrulama sorunu vardı. Bu sorun, doğrulama denetimi iyileştirilerek giderildi.
CVE-2016-4708: Silesia Security Lab'den Dawid Czagan
CommonCrypto
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: CCrypt kullanan bir uygulama, çıkış ve giriş arabelleği aynıysa hassas düz metni gösterebilir
Açıklama: corecrypto'da bir girdi doğrulama sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-4711: Max Lohrmann
CoreCrypto
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, rastgele kod yürütebilir
Açıklama: Sınırların dışında bir yazma sorunu, savunmasız kod kaldırılarak giderildi.
CVE-2016-4712: Gergo Koteles
CoreDisplay
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Ekran paylaşımı olan bir kullanıcı, başka bir kullanıcının ekranını görebilir
Açıklama: Ekran paylaşım oturumlarının işlenmesinde bir oturum yönetim sorunu vardı. Bu sorun, iyileştirilmiş oturum takibiyle giderildi.
CVE-2016-4713: Ruggero Alberti
curl
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: curl'de birden çok sorun
Açıklama: curl'de 7.49.1 sürümünden önceki sürümlerde birden çok güvenlik sorunu vardı. Bu sorunlar, curl'i 7.49.1 sürümüne güncelleyerek giderildi.
CVE-2016-0755: Isaac Boukris
Tarih ve Saat Tercihleri Bölmesi
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Kötü amaçlı Bir uygulama, kullanıcının mevcut konumunu belirleyebilir
Açıklama: .GlobalPreferences dosyasının işlenmesinde bir sorun vardı. Bu sorun, doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-4715: ESIEA'dan (Paris) Taiki (@Taiki__San)
DiskArbitration
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: diskutil'de bir erişim sorunu vardı. Bu sorun, izin denetimi iyileştirilerek giderildi.
CVE-2016-4716: The North Carolina School of Science and Mathematics'ten Alexander Allen
Dosya Yer İşareti
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Yerel Bir uygulama, servis reddine neden olabilir
Açıklama: Kapsamlı yer işaretlerinin işlenmesinde bir kaynak yönetim sorunu vardı. Bu sorun, dosya tanımlayıcısının işlenmesi iyileştirilerek giderildi.
CVE-2016-4717: 71Squared Ltd'den Tom Bradley
FontParser
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir fontu işlemek işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE-2016-4718: Apple
IDS - Bağlantı
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, hizmet reddine neden olabilir
Açıklama: Arama Geçişi'nin işlenmesinde bir kimlik sahtekarlığı sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-4722: salesforce.com'dan Martin Vigo (@martin_vigo)
ImageIO
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: SGI görüntüsü ayrıştırmasında, sınırların dışında bir okuma sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE-2016-4682: Tencent Xuanwu Lab'den Ke Liu
Intel Grafik Sürücüsü
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4723: Minionz'dan daybreaker
Intel Grafik Sürücüsü
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Boşaltılan belleğin kullanılması sorunu bellek yönetimi iyileştirilerek giderildi.
CVE-2016-7582: Tencent KeenLab'den Liang Chen
IOAcceleratorFamily
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bir null işaretçi başvurusu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-4724: Team OverSky'dan Cererdlong, Eakerqiu
IOAcceleratorFamily
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Bir bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-4725: Plex, Inc'den Rodger Combs
IOAcceleratorFamily
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4726: anonim bir araştırmacı
IOThunderboltFamily
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4727: Trend Micro'nun Zero Day Initiative programı ile çalışan wmin
Kerberos v5 PAM modülü
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Uzaktaki bir saldırgan, kullanıcı hesaplarının varlığını belirleyebilir
Açıklama: Bir zamanlayıcı yan kanalının, bir saldırganın, sistemdeki kullanıcı hesaplarının varlığını belirlemesine izin verdiği tespit edildi. Bu sorun, sürekli zaman denetimleri eklenerek giderildi.
CVE-2016-4745: anonim bir araştırmacı
Çekirdek
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Yerel bir uygulama kısıtlanmış dosyalara erişebilir
Açıklama: Dizin yollarının işlenmesindeki bir ayrıştırma sorunu, yol doğrulaması iyileştirilerek giderildi.
CVE-2016-4771: MRG Effitas Araştırma Direktörü Balazs Bucsay
Çekirdek
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Uzaktaki bir saldırgan servis reddine neden olabilir
Açıklama: Bir kilit işleme sorunu, kilit işleme iyileştirilerek giderildi.
CVE-2016-4772: mh-sec'ten Marc Heuse
Çekirdek
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, çekirdek belleği düzenini belirleyebilir
Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan birden çok sınırların dışında okuma sorunu vardı. Bu sorunlar, girdi doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Çekirdek
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4775: Brandon Azad
Çekirdek
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Güvenilmeyen bir işaretçi başvurusu, etkilenen kod kaldırılarak giderildi.
CVE-2016-4777: Qihoo 360 Vulcan Team'den Lufeng Li
Çekirdek
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4778: CESG
libarchive
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: libarchive'da birden çok sorun
Açıklama: libarchive'da birden çok bellek bozulması sorunu vardı. Bu sorunlar, girdi doğrulaması iyileştirilerek giderildi.
CVE-2016-4736: Qihoo 360 Nirvan Team'den Proteas
libxml2
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: libxml2'de birden çok sorun vardı. Bu sorunlardan en önemlisi, uygulamanın beklenmedik biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxpc
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, korumalı alanını ihlal edebilir
Açıklama: launchctl kullanılarak yeni işlemler oluşturmada birden çok zayıflık vardı. Bu sorunlar, politika uygulaması iyileştirilerek giderildi.
CVE-2016-4617: BSI (Alman Federal Bilgi Güvenliği Ofisi) adına Recurity Labs'den Gregor Kopf
libxslt
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek, rastgele kod yürütülmesine neden olabilir
Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4738: Nick Wellnhofer
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Kötü amaçlı bir web sitesi servis reddine neden olabilir
Açıklama: Bir servis reddi sorunu, URL işlemesi iyileştirilerek giderildi.
CVE-2016-7580: Sabri Haddouche (@pwnsdx)
mDNSResponder
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Uzaktaki bir saldırgan, hassas bilgileri görebilir
Açıklama: VMnet.framework kullanan uygulamaların, bir DNS proxy'sinin tüm ağ arayüzlerini dinlemesine olanak verdiği tespit edildi. Bu sorun, DNS sorgu yanıtlarının yerel arayüzlerle kısıtlanmasıyla giderildi.
CVE-2016-4739: Docker, Inc.'den Magnus Skjegstad, David Scott ve Anil Madhavapeddy
NSSecureTextField
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Kötü amaçlı bir uygulama, kullanıcının kimlik bilgilerini sızdırabilir
Açıklama: NSSecureTextField'da, Güvenli Giriş'i etkinleştirmeyi önleyen bir durum yönetim sorunu vardı. Bu sorun, pencere yönetimi iyileştirilerek giderildi.
CVE-2016-4742: AgileBits'ten Rick Fillion, Red Sweater Software'den Daniel Jalkut
Perl
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Yerel bir kullanıcı, bulaşma koruma mekanizmasını atlatabilir
Açıklama: Ortam değişkenlerinin işlenmesinde bir sorun vardı. Bu sorun, ortam değişkenlerinin doğrulanması iyileştirilerek giderildi.
CVE-2016-4748: Stephane Chazelas
S2 Kamera
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4750: Trend Micro'nun Zero Day Initiative programı ile çalışan, Trend Micro'dan Jack Tang (@jacktang310) ve Moony Li
Güvenlik
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: SecKeyDeriveFromPassword'ü kullanan bir uygulama, belleği sızdırabilir
Açıklama: Anahtar türetme işleminin işlenmesinde bir kaynak yönetim sorunu vardı. Bu sorun, SecKeyDeriveFromPassword'e CF_RETURNS_RETAINED eklenerek giderildi.
CVE-2016-4752: PowerMapper Software'den Mark Rogers
Güvenlik
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: İmzalı disk görüntülerinde bir doğrulama sorunu vardı. Bu sorun, boyut doğrulama iyileştirilerek giderildi.
CVE-2016-4753: Google Inc.'den Mark Mentovai
Terminal
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Yerel bir kullanıcı, hassas kullanıcı bilgilerini sızdırabilir
Açıklama: .bash_history ve .bash_session'da bir izin sorunu vardı. Bu sorun, erişim sınırlamaları iyileştirilerek giderildi.
CVE-2016-4755: Axel Luttgens
WindowServer
İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri
Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir
Açıklama: Bir tür karışıklığı sorunu, belleğin işlenmesi iyileştirilerek giderildi.
CVE-2016-4709: Trend Micro'nun Zero Day Initiative programı ile çalışan anonim bir araştırmacı
CVE-2016-4710: Trend Micro'nun Zero Day Initiative programı ile çalışan anonim bir araştırmacı
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.