OS X El Capitan 10.11.6'nın ve Güvenlik Güncellemesi 2016-004'ün güvenlik içeriği hakkında
Bu belgede OS X El Capitan 10.11.6'nın ve Güvenlik Güncellemesi 2016-004'ün güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
OS X El Capitan 10.11.6 ve Güvenlik Güncellemesi 2016-004
apache_mod_php
İlgili sürümler: OS X Yosemite 10.10.5 ve OS X El Capitan 10.11 ve sonrası
Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir
Açıklama: 5.5.36 sürümünden önceki PHP sürümlerinde birden fazla sorun vardı. PHP sürümü 5.5.36'ya güncellenerek bu sorunlar giderildi.
CVE-2016-5093
CVE-2016-5094
CVE-2016-5096
CVE-2013-7456
Ses
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2016-4649: Trend Micro'dan Juwei Lin(@fuzzerDOTcn)
Ses
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4647: Trend Micro'dan Juwei Lin(@fuzzerDOTcn)
Ses
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Yerel bir kullanıcı çekirdek belleği düzenini belirleyebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2016-4648: Trend Micro'dan Juwei Lin(@fuzzerDOTcn); Trend Micro'dan Jack Tang ve Moony Li (Trend Micro'nun Zero Day Initiative programıyla)
Ses
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2016-4646: Source Incite'tan Steven Seeley (Trend Micro'nun Zero Day Initiative programıyla)
bsdiff
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Yerel bir saldırgan uygulamanın beklenmeyen bir biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: bspatch'te bir tam sayı taşması vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.
CVE-2014-9862: anonim bir araştırmacı
CFNetwork
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Yerel bir kullanıcı hassas kullanıcı bilgilerini görüntüleyebilir
Açıklama: Web tarayıcısı çerezlerinin işlenmesiyle ilgili bir izin sorunu vardı. Kısıtlamalar iyileştirilerek bu sorun giderildi.
CVE-2016-4645: Zscaler Inc. şirketinden Abhinav Bansal
CFNetwork Kimlik Bilgileri
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Anahtar Zinciri'ne kaydedilmiş HTTP kimlik doğrulama bilgilerinde eski sürüme düşürme sorunu vardı. Kimlik doğrulama türleri kimlik bilgileriyle birlikte depolanarak bu sorun giderildi.
CVE-2016-4644: CERT tarafından koordine edilen Jerry Decime
CFNetwork Proxy'ler
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: 407 yanıtlarının ayrıştırılmasında bir doğrulama sorunu vardı. Yanıt doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4643: Tsinghua Üniversitesi Blue Lotus Ekibinden Xiaofeng Zheng; CERT tarafından koordine edilen Jerry Decime
CFNetwork Proxy'ler
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Bir uygulama farkında olmadan bir parolayı ağ üzerinden şifrelemeden gönderebilir
Açıklama: Proxy kimlik doğrulama, kimlik bilgilerinin HTTP proxy'ler tarafından güvenli olarak alındığı şeklinde yanlış bir bildirimde bulundu. Uyarılar iyileştirilerek bu sorun giderildi.
CVE-2016-4642: CERT tarafından koordine edilen Jerry Decime
CoreGraphics
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Yerel bir kullanıcı ayrıcalıkları yükseltebilir
Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Girdi doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4652: Tencent KeenLab'den Yubin Fu (Trend Micro'nun Zero Day Initiative programıyla)
CoreGraphics
İlgili sürümler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ve OS X El Capitan 10.11 ve sonrası
Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4637: Cisco Talos'tan (talosintel.com/vulnerability-reports) Tyler Bohan
FaceTime
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, aktarılan bir arama sonlandırılmış gibi görünürken sesin iletilmeye devam etmesine neden olabilir
Açıklama: Kullanıcı arabiriminde aktarılan aramaların işlenmesiyle ilgili tutarsızlıklar vardı. FaceTime görüntüleme mantığı iyileştirilerek bu sorunlar giderildi.
CVE-2016-4635: Martin Vigo
Grafik Sürücüleri
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4634: SektionEins'tan Stefan Esser
ImageIO
İlgili sürümler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ve OS X El Capitan 10.11 ve sonrası
Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-4629: Cisco Talos'tan Tyler Bohan (talosintel.com/vulnerability-reports)
CVE-2016-4630: Cisco Talos'tan Tyler Bohan (talosintel.com/vulnerability-reports)
ImageIO
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.
CVE-2016-4632: Yandex'ten Evgeny Sidorov
ImageIO
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-4631: Cisco Talos'tan (talosintel.com/vulnerability-reports) Tyler Bohan
ImageIO
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-7705: Tripwire VERT'den Craig Young
Intel Grafik Sürücüsü
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-4633: Tencent KeenLab'den (@keen_lab) Marco Grassi (@marcograss)
IOHIDFamily
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2016-4626: SektionEins'tan Stefan Esser
IOSurface
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2016-4625: Google Project Zero'dan Ian Beer
Çekirdek
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Yerel bir kullanıcı çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-1863: Google Project Zero'dan Ian Beer
CVE-2016-4653: Trend Micro'dan Ju Zhu
CVE-2016-4582: Qihoo 360 Nirvan Team'den Shrek_wzw ve Proteas
Çekirdek
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Yerel bir kullanıcı sistemde servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.
CVE-2016-1865: CESG, Tencent KeenLab'den (@keen_lab) Marco Grassi (@marcograss)
Libc
İlgili sürümler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ve OS X El Capitan 10.11 ve sonrası
Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: linkaddr.c'deki "link_ntoa()" işlevinde bir arabellek taşması sorunu vardı. Ek sınır denetimleriyle bu sorun giderildi.
CVE-2016-6559: Apple
libc++abi
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Bir uygulama kök ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-4621: anonim bir araştırmacı
libexpat
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş XML dosyasını işlemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-0718: Gustavo Grieco
LibreSSL
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir
Açıklama: LibreSSL 2.2.7 sürümünden önce birden çok sorun vardı. LibreSSi 2.2.7 sürümüne güncellenerek bu sorunlar giderildi.
CVE-2016-2108: Huzaifa Sidhpurwala (Red Hat), Hanno Böck, David Benjamin (Google), Google Project Zero'dan Mark Brand ve Ian Beer
CVE-2016-2109: Brian Carpenter
libxml2
İlgili sürümler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ve OS X El Capitan 10.11 ve sonrası
Etki: libxml2'de birden çok güvenlik açığı
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2015-8317: Hanno Boeck
CVE-2016-1836: Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang
CVE-2016-4447: Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxml2
İlgili sürümler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ve OS X El Capitan 10.11 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir XML belgesini ayrıştırmak kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Kötü amaçlarla oluşturulmuş XML dosyalarının ayrıştırılmasıyla ilgili bir sorun vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2016-4449: Kostya Serebryany
libxslt
İlgili sürümler: OS X Mavericks 10.9.5, OS X Yosemite 10.10.5 ve OS X El Capitan 10.11 ve sonrası
Etki: libxslt'de birden çok güvenlik açığı
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Oturum Açma Penceresi
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2016-4638: Tencent KeenLab'den Yubin Fu (Trend Micro'nun Zero Day Initiative programıyla)
Oturum Açma Penceresi
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Kötü amaçlı bir uygulama rastgele kod yürüterek kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4640: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)
Oturum Açma Penceresi
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Kötü amaçlı bir uygulama rastgele kod yürüterek kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir tür karışıklığı sorunu giderildi.
CVE-2016-4641: Tencent KeenLab'den Yubin Fu (Trend Micro'nun Zero Day Initiative programıyla)
Oturum Açma Penceresi
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Yerel bir kullanıcı servis reddine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek başlatma sorunu giderildi.
CVE-2016-4639: Tencent KeenLab'den Yubin Fu (Trend Micro'nun Zero Day Initiative programıyla)
OpenSSL
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir
Açıklama: OpenSSL'de birden fazla sorun vardı. OpenSSL 1.0.2h/1.0.1'deki düzeltmeler OpenSSL 0.9.8'e aktarılarak bu sorunlar giderildi.
CVE-2016-2105: Guido Vranken
CVE-2016-2106: Guido Vranken
CVE-2016-2107: Juraj Somorovsky
CVE-2016-2108: Huzaifa Sidhpurwala (Red Hat), Hanno Böck, David Benjamin (Google), Google Project Zero'dan Mark Brand ve Ian Beer
CVE-2016-2109: Brian Carpenter
CVE-2016-2176: Guido Vranken
QuickTime
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir SGI dosyasını işlemek rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4601: Tencent Xuanwu Lab'den Ke Liu
QuickTime
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir Photoshop belgesini işlemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4599: Tencent Xuanwu Lab'den Ke Liu
QuickTime
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir FlashPix Bitmap Resmini işlemek, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2016-4596: Tencent Xuanwu Lab'den Ke Liu
CVE-2016-4597: Tencent Xuanwu Lab'den Ke Liu
CVE-2016-4600: Tencent Xuanwu Lab'den Ke Liu
CVE-2016-4602: Tencent Xuanwu Lab'den Ke Liu
QuickTime
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2016-4598: Tencent Xuanwu Lab'den Ke Liu
Safari'de Oturum Açma Sırasında Otomatik Doldurma
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Kullanıcı parolası ekranda görünebilir
Açıklama: Safari'nin parolayı otomatik doldurma özelliğiyle ilgili bir sorun vardı. Form alanlarının eşlenmesi iyileştirilerek bu sorun giderildi.
CVE-2016-4595: DeARX Services (PTY) LTD'den Jonathan Lewis
Korumalı Alan Profilleri
İlgili sürümler: OS X El Capitan 10.11 ve sonrası
Etki: Yerel bir uygulama, işlem listesine erişebilir
Açıklama: Ayrıcalıklı API çağrılarında bir erişim sorunu vardı. Ek kısıtlamalarla bu sorun giderildi.
CVE-2016-4594: SektionEins'tan Stefan Esser
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.