macOS Sierra 10.12'nin güvenlik içeriği hakkında

Bu belgede macOS Sierra 10.12'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla soruşturma gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişiminizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Mümkün olduğunda, Apple güvenlik belgelerinde güvenlik açıklarından CVE Kimliği ile bahsedilir.

macOS Sierra 10.12

apache

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Uzaktaki bir saldırgan proxy trafiğine rastgele bir sunucudan erişebilir

Açıklama: HTTP_PROXY ortam değişkeninin işlenmesinde bir sorun vardı. Bu sorun, HTTP_PROXY ortam değişkenini CGI'dan ayarlamayarak giderildi.

CVE-2016-4694: Vend'den Dominic Scheirlinck ve Scott Geary

apache_mod_php

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: PHP'de birden çok sorun vardı. Bu sorunlardan en önemlisi, uygulamanın beklenmedik biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir.

Açıklama: PHP'deki birden çok sorun, PHP'yi 5.6.24 sürümüne güncelleyerek giderildi.

CVE-2016-5768

CVE-2016-5769

CVE-2016-5770

CVE-2016-5771

CVE-2016-5772

CVE-2016-5773

CVE-2016-6174

CVE-2016-6288

CVE-2016-6289

CVE-2016-6290

CVE-2016-6291

CVE-2016-6292

CVE-2016-6294

CVE-2016-6295

CVE-2016-6296

CVE-2016-6297

Apple HSSPI Desteği

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4697: Trend Micro'nun Zero Day Initiative programı ile çalışan, KeenLab'den Qidan He (@flanker_hqd)

AppleEFIRuntime

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bir null işaretçi başvurusu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4696: Qihoo 360 Nirvan Team'den Shrek_wzw

AppleMobileFileIntegrity

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Yerel bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Görev bağlantı noktası devralma politikasında bir doğrulama sorunu vardı. Bu sorun, işlem yetkilendirmesi ve Ekip Kimliğinin doğrulanması iyileştirilerek giderildi.

CVE-2016-4698: Pedro Vilaça

AppleUUC

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Birden çok bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4699: Trend Micro'nun Zero Day Initiative programı ile çalışan, Trend Micro'dan Jack Tang (@jacktang310) ve Moony Li

CVE-2016-4700: Trend Micro'nun Zero Day Initiative programı ile çalışan, Trend Micro'dan Jack Tang (@jacktang310) ve Moony Li

Uygulama Güvenlik Duvarı

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Yerel bir kullanıcı, servis reddine neden olabilir

Açıklama: Güvenlik duvarı istemlerinin işlenmesinde bir doğrulama sorunu vardı. Bu sorun, SO_EXECPATH doğrulaması iyileştirilerek giderildi.

CVE-2016-4701: Google Güvenlik Ekibi'nden Meder Kydyraliev

ATS

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi, rastgele kod yürütülmesine neden olabilir

Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4779: Tencent Security Platform Department'tan riusksk

Ses

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Uzaktaki bir saldırgan rastgele kod yürütebilir

Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4702: Yonsei Üniversitesi, Information Security Lab'den YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park ve Taekyoung Kwon.

Bluetooth

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bir bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4703: Trend Micro'dan Juwei Lin (@fuzzerDOTcn)

cd9660

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Yerel bir kullanıcı, sistem servis reddine neden olabilir

Açıklama: Bir girdi doğrulama işlemi sorunu, bellek işleme iyileştirilerek giderildi.

CVE-2016-4706: BSI (Alman Federal Bilgi Güvenliği Ofisi) adına Recurity Labs

CFNetwork

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Yerel bir kullanıcı, bir kullanıcının ziyaret etmiş olduğu web sitelerini bulabilir

Açıklama: Yerel Depolama Alanı'nın silinmesinde bir sorun vardı. Bu sorun, Yerel Depolama Alanı temizleme işlemi iyileştirilerek giderildi.

CVE-2016-4707: anonim bir araştırmacı

CFNetwork

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, kullanıcı bilgilerini tehlikeye atabilir

Açıklama: Çerez ayarlama başlığının ayrıştırılmasında bir girdi doğrulama sorunu vardı. Bu sorun, doğrulama denetimi iyileştirilerek giderildi.

CVE-2016-4708: Silesia Security Lab'den Dawid Czagan

CommonCrypto

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: CCrypt kullanan bir uygulama, çıkış ve giriş arabelleği aynıysa hassas düz metni gösterebilir

Açıklama: corecrypto'da bir girdi doğrulama sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4711: Max Lohrmann

CoreCrypto

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, rastgele kod yürütebilir

Açıklama: Sınırların dışında bir yazma sorunu, savunmasız kod kaldırılarak giderildi.

CVE-2016-4712: Gergo Koteles

CoreDisplay

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Ekran paylaşımı olan bir kullanıcı, başka bir kullanıcının ekranını görebilir

Açıklama: Ekran paylaşım oturumlarının işlenmesinde bir oturum yönetim sorunu vardı. Bu sorun, iyileştirilmiş oturum takibiyle giderildi.

CVE-2016-4713: Ruggero Alberti

curl

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: curl'de birden çok sorun

Açıklama: curl'de 7.49.1 sürümünden önceki sürümlerde birden çok güvenlik sorunu vardı. Bu sorunlar, curl'i 7.49.1 sürümüne güncelleyerek giderildi.

CVE-2016-0755: Isaac Boukris

Tarih ve Saat Tercihleri Bölmesi

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Kötü amaçlı Bir uygulama, kullanıcının mevcut konumunu belirleyebilir

Açıklama: .GlobalPreferences dosyasının işlenmesinde bir sorun vardı. Bu sorun, doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4715: ESIEA'dan (Paris) Taiki (@Taiki__San)

DiskArbitration

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Yerel bir kullanıcı, sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: diskutil'de bir erişim sorunu vardı. Bu sorun, izin denetimi iyileştirilerek giderildi.

CVE-2016-4716: The North Carolina School of Science and Mathematics'ten Alexander Allen

Dosya Yer İşareti

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Yerel Bir uygulama, servis reddine neden olabilir

Açıklama: Kapsamlı yer işaretlerinin işlenmesinde bir kaynak yönetim sorunu vardı. Bu sorun, dosya tanımlayıcısının işlenmesi iyileştirilerek giderildi.

CVE-2016-4717: 71Squared Ltd'den Tom Bradley

FontParser

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Kötü amaçlarla oluşturulmuş bir fontu işlemek işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE-2016-4718: Apple

IDS - Bağlantı

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, hizmet reddine neden olabilir

Açıklama: Arama Geçişi'nin işlenmesinde bir kimlik sahtekarlığı sorunu vardı. Bu sorun, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4722: salesforce.com'dan Martin Vigo (@martin_vigo)

ImageIO

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Kötü amaçlarla oluşturulmuş bir görüntüyü işlemek, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: SGI görüntüsü ayrıştırmasında, sınırların dışında bir okuma sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE-2016-4682: Tencent Xuanwu Lab'den Ke Liu

Intel Grafik Sürücüsü

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4723: Minionz'dan daybreaker

Intel Grafik Sürücüsü

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Boşaltılan belleğin kullanılması sorunu bellek yönetimi iyileştirilerek giderildi.

CVE-2016-7582: Tencent KeenLab'den Liang Chen

IOAcceleratorFamily

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bir null işaretçi başvurusu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4724: Team OverSky'dan Cererdlong, Eakerqiu

IOAcceleratorFamily

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Bir bellek bozulması sorunu, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4725: Plex, Inc'den Rodger Combs

IOAcceleratorFamily

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4726: anonim bir araştırmacı

IOThunderboltFamily

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4727: Trend Micro'nun Zero Day Initiative programı ile çalışan wmin

Kerberos v5 PAM modülü

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Uzaktaki bir saldırgan, kullanıcı hesaplarının varlığını belirleyebilir

Açıklama: Bir zamanlayıcı yan kanalının, bir saldırganın, sistemdeki kullanıcı hesaplarının varlığını belirlemesine izin verdiği tespit edildi. Bu sorun, sürekli zaman denetimleri eklenerek giderildi.

CVE-2016-4745: anonim bir araştırmacı

Çekirdek

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Yerel bir uygulama kısıtlanmış dosyalara erişebilir

Açıklama: Dizin yollarının işlenmesindeki bir ayrıştırma sorunu, yol doğrulaması iyileştirilerek giderildi.

CVE-2016-4771: MRG Effitas Araştırma Direktörü Balazs Bucsay

Çekirdek

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Uzaktaki bir saldırgan servis reddine neden olabilir

Açıklama: Bir kilit işleme sorunu, kilit işleme iyileştirilerek giderildi.

CVE-2016-4772: mh-sec'ten Marc Heuse

Çekirdek

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, çekirdek belleği düzenini belirleyebilir

Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan birden çok sınırların dışında okuma sorunu vardı. Bu sorunlar, girdi doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Çekirdek

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Yerel bir kullanıcı, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4775: Brandon Azad

Çekirdek

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Güvenilmeyen bir işaretçi başvurusu, etkilenen kod kaldırılarak giderildi.

CVE-2016-4777: Qihoo 360 Vulcan Team'den Lufeng Li

Çekirdek

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4778: CESG

libarchive

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: libarchive'da birden çok sorun

Açıklama: libarchive'da birden çok bellek bozulması sorunu vardı. Bu sorunlar, girdi doğrulaması iyileştirilerek giderildi.

CVE-2016-4736: Qihoo 360 Nirvan Team'den Proteas

libxml2

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: libxml2'de birden çok sorun vardı. Bu sorunlardan en önemlisi, uygulamanın beklenmedik biçimde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Birden çok bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

libxpc

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, korumalı alanını ihlal edebilir

Açıklama: launchctl kullanılarak yeni işlemler oluşturmada birden çok zayıflık vardı. Bu sorunlar, politika uygulaması iyileştirilerek giderildi.

CVE-2016-4617: BSI (Alman Federal Bilgi Güvenliği Ofisi) adına Recurity Labs'den Gregor Kopf

libxslt

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Kötü amaçlarla oluşturulmuş web içeriğini işlemek, rastgele kod yürütülmesine neden olabilir

Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4738: Nick Wellnhofer

Mail

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Kötü amaçlı bir web sitesi servis reddine neden olabilir

Açıklama: Bir servis reddi sorunu, URL işlemesi iyileştirilerek giderildi.

CVE-2016-7580: Sabri Haddouche (@pwnsdx)

mDNSResponder

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Uzaktaki bir saldırgan, hassas bilgileri görebilir

Açıklama: VMnet.framework kullanan uygulamaların, bir DNS proxy'sinin tüm ağ arayüzlerini dinlemesine olanak verdiği tespit edildi. Bu sorun, DNS sorgu yanıtlarının yerel arayüzlerle kısıtlanmasıyla giderildi.

CVE-2016-4739: Docker, Inc.'den Magnus Skjegstad, David Scott ve Anil Madhavapeddy

NSSecureTextField

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Kötü amaçlı bir uygulama, kullanıcının kimlik bilgilerini sızdırabilir

Açıklama: NSSecureTextField'da, Güvenli Giriş'i etkinleştirmeyi önleyen bir durum yönetim sorunu vardı. Bu sorun, pencere yönetimi iyileştirilerek giderildi.

CVE-2016-4742: AgileBits'ten Rick Fillion, Red Sweater Software'den Daniel Jalkut

Perl

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Yerel bir kullanıcı, bulaşma koruma mekanizmasını atlatabilir

Açıklama: Ortam değişkenlerinin işlenmesinde bir sorun vardı. Bu sorun, ortam değişkenlerinin doğrulanması iyileştirilerek giderildi.

CVE-2016-4748: Stephane Chazelas

S2 Kamera

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bir bellek bozulması sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4750: Trend Micro'nun Zero Day Initiative programı ile çalışan, Trend Micro'dan Jack Tang (@jacktang310) ve Moony Li

Güvenlik

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: SecKeyDeriveFromPassword'ü kullanan bir uygulama, belleği sızdırabilir

Açıklama: Anahtar türetme işleminin işlenmesinde bir kaynak yönetim sorunu vardı. Bu sorun, SecKeyDeriveFromPassword'e CF_RETURNS_RETAINED eklenerek giderildi.

CVE-2016-4752: PowerMapper Software'den Mark Rogers

Güvenlik

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: İmzalı disk görüntülerinde bir doğrulama sorunu vardı. Bu sorun, boyut doğrulama iyileştirilerek giderildi.

CVE-2016-4753: Google Inc.'den Mark Mentovai

Terminal

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Yerel bir kullanıcı, hassas kullanıcı bilgilerini sızdırabilir

Açıklama: .bash_history ve .bash_session'da bir izin sorunu vardı. Bu sorun, erişim sınırlamaları iyileştirilerek giderildi.

CVE-2016-4755: Axel Luttgens

WindowServer

İlgili sürümler: OS X Lion v10.7.5 ve sonraki sürümleri

Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir

Açıklama: Bir tür karışıklığı sorunu, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2016-4709: Trend Micro'nun Zero Day Initiative programı ile çalışan anonim bir araştırmacı

CVE-2016-4710: Trend Micro'nun Zero Day Initiative programı ile çalışan anonim bir araştırmacı