macOS Sierra 10.12.1, Güvenlik Güncellemesi 2016-002 El Capitan ve Güvenlik Güncellemesi 2016-006 Yosemite'nin güvenlik içeriği hakkında

Bu belgede macOS Sierra 10.12.1, Güvenlik Güncellemesi 2016-002 El Capitan ve Güvenlik Güncellemesi 2016-006 Yosemite'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla inceleme gerçekleştirilene ve yama ya da sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Güvenlik açıkları Apple güvenlik belgelerinde mümkünse CVE Kimliği ile yer alır.

macOS Sierra 10.12.1, Güvenlik Güncellemesi 2016-002 El Capitan ve Güvenlik Güncellemesi 2016-006 Yosemite

AppleGraphicsControl

İlgili sürümler: OS X Yosemite 10.10.5 ve OS X El Capitan 10.11.6

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek bozulması sorunu, kilit durumu denetimi iyileştirilerek giderildi.

CVE-2016-4662: Apple

AppleMobileFileIntegrity

İlgili sürümler: macOS Sierra 10.12

Etki: İmzalı bir yürütülebilir dosya aynı ekip kimliğiyle kodları değiştirilebilir

Açıklama: Kod imzalarının işlenmesinde bir doğrulama sorunu vardı. Bu sorun, ek doğrulama aracılığıyla giderildi.

CVE-2016-7584: Google Inc.'den Mark Mentovai ve Boris Vidolov

AppleSMC

İlgili sürümler: macOS Sierra 10.12

Etki: Yerel bir kullanıcı ayrıcalıkları yükseltebilir

Açıklama: Bir null işaretçi başvurusu, kilitleme işlemi iyileştirilerek giderildi.

CVE-2016-4678: Trend Micro Zero Day Initiative ile çalışan daybreaker@Minionz

ATS

İlgili sürümler: macOS Sierra 10.12

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4667: alipay'den Simon Huang (Thelongestusernameofall@gmail.com), TrendMicro'dan Moony Li (@Flyic)

ATS

İlgili sürümler: macOS Sierra 10.12

Etki: Yerel bir kullanıcı, ek ayrıcalıklarla rastgele kod yürütebilir

Açıklama: Bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4674: Qihoo 360 Nirvan Team'den Shrek_wzw

CFNetwork Proxy'ler

İlgili sürümler: macOS Sierra 10.12

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, hassas kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Proxy kimlik bilgilerinin işlenmesinde bir kimlik hırsızlığı sorunu vardı. Bu sorun, proxy'lere yönelik istenmeyen parola doğrulama istemleri kaldırılarak giderildi.

CVE-2016-7579: Jerry Decime

Core Image

İlgili sürümler: OS X El Capitan 10.11.6

Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasının görüntülenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bir bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4681: Tencent Xuanwu Lab'den Ke Liu

CoreGraphics

İlgili sürümler: macOS Sierra 10.12

Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasının görüntülenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4673: Tencent KeenLab'den (@keen_lab) Marco Grassi (@marcograss)

FaceTime

İlgili sürümler: macOS Sierra 10.12

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, sonlandırılmış gibi görünen aktarılan aramaların ses iletmeye devam etmesine neden olabilir

Açıklama: Kullanıcı arabiriminde, aktarılan aramaları işlemeyle ilgili tutarsızlıklar vardı. Bu sorunlar, protokol mantığı iyileştirilerek giderildi.

CVE-2016-7577: salesforce.com'dan Martin Vigo (@martin_vigo)

FontParser

İlgili sürümler: macOS Sierra 10.12

Etki: Kötü amaçlarla oluşturulmuş bir fontu ayrıştırmak, hassas kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Sınırların dışında okuma sorunu, sınırların denetimi iyileştirilerek giderildi.

CVE-2016-4660: Tencent Xuanwu Lab'den Ke Liu

FontParser

İlgili sürümler: macOS Sierra 10.12

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasını işlemek, rastgele kod yürütülmesine neden olabilir

Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE-2016-4688: Alipay firmasından Simon Huang, thelongestusernameofall@gmail.com

IDS - Bağlantı

İlgili sürümler: macOS Sierra 10.12

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, çok taraflı bir çağrıdaki kullanıcıyı diğer tarafla konuştuğunu düşünmesine neden olacak şekilde kandırabilir

Açıklama: Çağrı geçişlerinin işlenmesinde bir kimliğe bürünme sorunu vardı. Bu sorun, "arayan geçişi" bildirimlerinin işlenmesi iyileştirilerek giderildi.

CVE-2016-4721: salesforce.com'dan Martin Vigo (@martin_vigo)

ImageIO

İlgili sürümler: OS X El Capitan 10.11.6

Etki: Kötü amaçlarla oluşturulmuş bir PDF dosyasını ayrıştırmak, rastgele kod yürütülmesine neden olabilir

Açıklama: Sınırların dışında yazma sorunu, sınırların denetimi iyileştirilerek giderildi.

CVE-2016-4671: Tencent Xuanwu Lab'den Ke Liu, Juwei Lin (@fuzzerDOTcn)

ImageIO

İlgili sürümler: OS X Yosemite 10.10.5 ve OS X El Capitan 10.11.6

Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: SGI görüntüsü ayrıştırmasında sınırların dışında okuma sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE-2016-4682: Tencent Xuanwu Lab'den Ke Liu

ImageIO

İlgili sürümler: OS X El Capitan 10.11.6

Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir

Açıklama: SGI ayrıştırmasında, sınırların dışında okuma ve yazma sorunları vardı. Bu sorunlar, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4683: Tencent Xuanwu Lab'den Ke Liu

Çekirdek

İlgili sürümler: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ve macOS Sierra 10.12

Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir

Açıklama: MIG tarafından oluşturulmuş kodda, birden çok girdi doğrulama sorunu vardı. Bu sorunlar doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4669: Google Project Zero'dan Ian Beer

Çekirdek

İlgili sürümler: macOS Sierra 10.12

Etki: Yerel bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Yeni işlemlerin oluşturulmasında birden çok nesne yaşam süresi sorunu vardı. Bu sorunlar doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-7613: Google Project Zero'dan Ian Beer

libarchive

İlgili sürümler: macOS Sierra 10.12

Etki: Kötü amaçla oluşturulmuş bir arşiv, rastgele dosyaların üzerine yazabilir

Açıklama: Sembolik bağlantıların yol doğrulama mantığında bir sorun vardı. Bu sorun, yol temizleme işlemi iyileştirilerek giderildi.

CVE-2016-4679: enSilo Ltd'den Omer Medan

libxpc

İlgili sürümler: macOS Sierra 10.12

Etki: Bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bir mantık sorunu, ek sınırlamalarla giderildi.

CVE-2016-4675: Google Project Zero'dan Ian Beer

ntfs

İlgili sürümler: macOS Sierra 10.12

Etki: Bir uygulama, servis reddine neden olabilir

Açıklama: Disk görüntülerinin ayrıştırılmasında bir sorun vardı. Bu sorun doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4661: BSI (Alman Bilgi Güvenliği Federal Bürosu) adına Recurity Labs

NVIDIA Grafik Sürücüleri

İlgili sürümler: OS X Yosemite 10.10.5 ve OS X El Capitan 10.11.6

Etki: Bir uygulama, servis reddine neden olabilir

Açıklama: Bir bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4663: Apple

Güvenlik

İlgili sürümler: macOS Sierra 10.12

Etki: Yerel bir saldırgan, bir kullanıcı oturum açtığı sırada oturum açma parolasının uzunluğunu görebilir

Açıklama: Parolaların işlenmesinde bir kayda geçirme sorunu vardı. Bu sorun parola uzunluğunun kayda geçirilmesi kaldırılarak giderildi.

CVE-2016-4670: Red Sweater Software'den Daniel Jalkut

Thunderbolt

İlgili sürümler: macOS Sierra 10.12

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bir null işaretçi başvurusu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4780: Grayhash'ten sweetchip