macOS Sierra 10.12.2, Güvenlik Güncellemesi 2016-003 El Capitan ve Güvenlik Güncellemesi 2016-007 Yosemite'nin güvenlik içeriği hakkında
Bu belgede macOS Sierra 10.12.2, Güvenlik Güncellemesi 2016-003 El Capitan ve Güvenlik Güncellemesi 2016-007 Yosemite'nin güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarını kullanarak şifreleyebilirsiniz.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
macOS Sierra 10.12.2, Güvenlik Güncellemesi 2016-003 El Capitan ve Güvenlik Güncellemesi 2016-007 Yosemite
apache_mod_php
İlgili sürümler: macOS Sierra 10.12.1
Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: 5.6.26 sürümünden önce PHP'de birden fazla sorun vardı. Bu sorunlar, PHP'nin 5.6.26 sürümüne güncellenmesiyle giderildi.
CVE-2016-7411
CVE-2016-7412
CVE-2016-7413
CVE-2016-7414
CVE-2016-7416
CVE-2016-7417
CVE-2016-7418
AppleGraphicsPowerManagement
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2016-7609: Trend Micro'nun Zero Day Initiative programında çalışan daybreaker@Minionz
Varlıklar
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir saldırgan indirilen mobil varlıkları değiştirebilir
Açıklama: Mobil varlıklarda bir izin sorunu vardı. Erişim sınırlamaları iyileştirilerek bu sorun giderildi.
CVE-2016-7628: Marcel Bresink Software-Systeme'den Marcel Bresink
Ses
İlgili sürümler: macOS Sierra 10.12.1
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7658: Tencent Keen Lab'den (@keen_lab) Haohao Kong
CVE-2016-7659: Tencent Keen Lab'den (@keen_lab) Haohao Kong
Bluetooth
İlgili sürümler: macOS Sierra 10.12.1, OS X El Capitan v10.11.6 ve OS X Yosemite v10.10.5
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7596: Synopsys Software Integrity Group'tan Pekka Oikarainen, Matias Karhumaa ve Marko Laakso
Bluetooth
İlgili sürümler: macOS Sierra 10.12.1
Etki: Bir uygulama, servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2016-7605: Minionz'dan daybreaker
Bluetooth
İlgili sürümler: macOS Sierra 10.12.1
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2016-7617: Trend Micro'nun Zero Day Initiative programında çalışan Radu Motspan, Google Project Zero'dan Ian Beer
CoreCapture
İlgili sürümler: macOS Sierra 10.12.1 ve OS X El Capitan v10.11.6
Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir
Açıklama: Durum yönetimi işlemi iyileştirilerek bir null işaretçi başvurusu sorunu giderildi.
CVE-2016-7604: Minionz'dan daybreaker
CoreFoundation
İlgili sürümler: macOS Sierra 10.12.1
Etki: Kötü amaçlı dizelerin işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Dizelerin işlenmesinde bir bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-2016-7663: anonim bir araştırmacı
CoreGraphics
İlgili sürümler: macOS Sierra 10.12.1
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2016-7627: TRAPMINE Inc. ve Meysam Firouzi @R00tkitSMM
CoreMedia Harici Ekranlar
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir uygulama, mediaserver arka plan programı bağlamında rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2016-7655: Keen Lab (Trend Micro'nun Zero Day Initiative programıyla)
CoreMedia Oynatma
İlgili sürümler: macOS Sierra 10.12.1
Etki: Kötü amaçlarla oluşturulmuş bir .mp4 dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7588: Huawei 2012 Laboratories'den dragonltx
CoreStorage
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2016-7603: Trend Micro'nun Zero Day Initiative programında çalışan daybreaker@Minionz
CoreText
İlgili sürümler: macOS Sierra 10.12.1
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.
CVE-2016-7595: Tencent Güvenlik Platformu Departmanı'ndan riusksk(泉哥)
CoreText
İlgili sürümler: macOS Sierra 10.12.1
Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi servis reddine yol açabilir
Açıklama: Doğrulama işlemi iyileştirilerek, örtüşen aralıkların işlenmesiyle ilgili bir sorun giderildi.
CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Digital Unit'ten (dgunit.com) Saif Al-Hinai (welcom_there)
curl
İlgili sürümler: macOS Sierra 10.12.1
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Curl'de birden fazla sorun vardı. Bu sorunlar, Curl sürümünün 7.51.0'a güncellenmesiyle giderildi.
CVE-2016-5419
CVE-2016-5420
CVE-2016-5421
CVE-2016-7141
CVE-2016-7167
CVE-2016-8615
CVE-2016-8616
CVE-2016-8617
CVE-2016-8618
CVE-2016-8619
CVE-2016-8620
CVE-2016-8621
CVE-2016-8622
CVE-2016-8623
CVE-2016-8624
CVE-2016-8625
Dizin Servisleri
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2016-7633: Google Project Zero'dan Ian Beer
Disk Görüntüleri
İlgili sürümler: macOS Sierra 10.12.1
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7616: daybreaker@Minionz (Trend Micro'nun Zero Day Initiative programıyla)
FontParser
İlgili sürümler: macOS Sierra 10.12.1
Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Sınır denetimi iyileştirilerek bu sorunlar giderildi.
CVE-2016-4691: Tencent Güvenlik Platformu Departmanı'ndan riusksk(泉哥)
Foundation
İlgili sürümler: macOS Sierra 10.12.1
Etki: Kötü amaçlarla oluşturulmuş bir .gcx dosyasının açılması, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7618: Tencent Güvenlik Platformu Departmanı'ndan riusksk(泉哥)
Grafik Çizer
İlgili sürümler: macOS Sierra 10.12.1
Etki: Kötü amaçlarla oluşturulmuş bir .gcx dosyasının açılması, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7622: Tencent Güvenlik Platformu Departmanı'ndan riusksk(泉哥)
ICU
İlgili sürümler: macOS Sierra 10.12.1
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7594: André Bargull
ImageIO
İlgili sürümler: macOS Sierra 10.12.1
Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2016-7643: Qihoo360 Qex Team'den Yangkang (@dnpushme)
Intel Grafik Sürücüsü
İlgili sürümler: macOS Sierra 10.12.1
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7602: Trend Micro'nun Zero Day Initiative programında çalışan daybreaker@Minionz
IOFireWireFamily
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir saldırgan, çekirdek belleğini okuyabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7608: Brandon Azad
IOAcceleratorFamily
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir paylaşımlı bellek sorunu giderildi.
CVE-2016-7624: Trend Micro'nun Zero Day Initiative programında çalışan KeenLab'den Qidan He (@flanker_hqd)
IOHIDFamily
İlgili sürümler: macOS Sierra 10.12.1
Etki: Sistem ayrıcalıklarına sahip yerel bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2016-7591: Minionz'dan daybreaker
IOKit
İlgili sürümler: macOS Sierra 10.12.1
Etki: Bir uygulama, çekirdek belleğini okuyabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7657: Keen Lab (Trend Micro'nun Zero Day Initiative programıyla)
IOKit
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir paylaşımlı bellek sorunu giderildi.
CVE-2016-7625: Trend Micro'nun Zero Day Initiative programında çalışan KeenLab'den Qidan He (@flanker_hqd)
IOKit
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir paylaşımlı bellek sorunu giderildi.
CVE-2016-7714: KeenLab'den Qidan He (@flanker_hqd) (Trend Micro'nun Zero Day Initiative programıyla)
IOSurface
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir paylaşımlı bellek sorunu giderildi.
CVE-2016-7620: Trend Micro'nun Zero Day Initiative programında çalışan KeenLab'den Qidan He (@flanker_hqd)
Çekirdek
İlgili sürümler: macOS Sierra 10.12.1
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-7606: @cocoahuke, Topsec Alpha Team'den (topsec.com) Chen Qin
CVE-2016-7612: Google Project Zero'dan Ian Beer
Çekirdek
İlgili sürümler: macOS Sierra 10.12.1
Etki: Bir uygulama, çekirdek belleğini okuyabilir
Açıklama: Kullanıcı alanına dönen belleğin doğru şekilde ilklendirilmesi sağlanarak yetersiz bir ilklendirme sorunu giderildi.
CVE-2016-7607: Brandon Azad
Çekirdek
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.
CVE-2016-7615: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)
Çekirdek
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2016-7621: Google Project Zero'dan Ian Beer
Çekirdek
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7637: Google Project Zero'dan Ian Beer
Çekirdek
İlgili sürümler: macOS Sierra 10.12.1
Etki: Sistem ayrıcalıklarına sahip yerel bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2016-7644: Google Project Zero'dan Ian Beer
Çekirdek
İlgili sürümler: macOS Sierra 10.12.1
Etki: Bir uygulama, servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.
CVE-2016-7647: Qihoo 360 Vulcan Team'den Lufeng Li
kext araçları
İlgili sürümler: macOS Sierra 10.12.1
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7629: @cocoahuke
libarchive
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir saldırgan, mevcut dosyaların üzerine yazabilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2016-7619: anonim bir araştırmacı
LibreSSL
İlgili sürümler: macOS Sierra 10.12.1 ve OS X El Capitan v10.11.6
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek, sınırı olmayan OCSP genişlemesindeki bir servis reddi sorunu giderildi.
CVE-2016-6304
OpenLDAP
İlgili sürümler: macOS Sierra 10.12.1
Etki: Bir saldırgan, RC4 şifreleme algoritmasındaki zayıflıktan yararlanabilir
Açıklama: RC4, saptanmış şifreler arasından kaldırıldı.
CVE-2016-1777: Pepi Zawodsky
OpenPAM
İlgili sürümler: macOS Sierra 10.12.1
Etki: Ayrıcalıksız yerel bir kullanıcı, ayrıcalıklı uygulamalara erişim elde edebilir
Açıklama: Korumalı alanda çalışan uygulamalardaki PAM kimlik doğrulaması güvensiz şekilde başarısız oluyordu. Bu sorun, hata işleme iyileştirilerek giderildi.
CVE-2016-7600: DeviousFish.com'dan Perette Barella
OpenSSL
İlgili sürümler: macOS Sierra 10.12.1
Etki: Bir uygulama rastgele kod yürütebilir
Açıklama: MDC2_Update()'te bir taşma sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-6303
OpenSSL
İlgili sürümler: macOS Sierra 10.12.1
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek, sınırı olmayan OCSP genişlemesindeki bir servis reddi sorunu giderildi.
CVE-2016-6304
Güç Yönetimi
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir
Açıklama: Doğrulama işlemi iyileştirilerek "Mach port" ad referanslarındaki bir sorun giderildi.
CVE-2016-7661: Google Project Zero'dan Ian Beer
Güvenlik
İlgili sürümler: macOS Sierra 10.12.1
Etki: Bir saldırgan 3DES şifreleme algoritmasındaki açıktan yararlanabilir
Açıklama: 3DES, saptanmış şifreler arasından kaldırıldı.
CVE-2016-4693: INRIA Paris'ten Gaëtan Leurent ve Karthikeyan Bhargavan
Güvenlik
İlgili sürümler: macOS Sierra 10.12.1
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servis reddine neden olabilir
Açıklama: OCSP yanıtlayıcı URL'lerinin işlenmesinde bir doğrulama sorunu vardı. CA doğrulamasından sonra OCSP iptal durumunun doğrulanması sağlanarak ve sertifika başına OCSP isteği sayısı sınırlanarak bu sorun giderildi.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Güvenlik
İlgili sürümler: macOS Sierra 10.12.1
Etki: Sertifikalar beklenmeyen şekilde güvenilir olarak değerlendirilebilir
Açıklama: Sertifika doğrulamasında bir sertifika değerlendirme sorunu vardı. Sertifikalara ek doğrulama yapılarak bu sorun giderildi.
CVE-2016-7662: Apple
syslog
İlgili sürümler: macOS Sierra 10.12.1
Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir
Açıklama: Doğrulama işlemi iyileştirilerek "Mach port" ad referanslarındaki bir sorun giderildi.
CVE-2016-7660: Google Project Zero'dan Ian Beer
Wi-Fi
İlgili sürümler: macOS Sierra 10.12.1
Etki: Kötü amaçlı yerel bir kullanıcı hassas ağ konfigürasyonu bilgilerini görüntüleyebilir
Açıklama: Ağ konfigürasyonu beklenmedik şekilde genel hale geliyordu. Bu sorun, hassas ağ konfigürasyonunun kullanıcıya özgü ayarlara taşınmasıyla giderildi.
CVE-2016-7761: Peter Loos, Karlsruhe, Almanya
xar
İlgili sürümler: macOS Sierra 10.12.1
Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması, rastgele kod yürütülmesine neden olabilir
Açıklama: İlklendirilmemiş bir değişkenin kullanımı sorunu doğrulama işlemi iyileştirilerek giderildi.
CVE-2016-7742: Context Information Security'den Gareth Evans
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.