macOS Sierra 10.12.2, Güvenlik Güncellemesi 2016-003 El Capitan ve Güvenlik Güncellemesi 2016-007 Yosemite'nin güvenlik içeriği hakkında

Bu belgede macOS Sierra 10.12.2, Güvenlik Güncellemesi 2016-003 El Capitan ve Güvenlik Güncellemesi 2016-007 Yosemite'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Mümkün olduğunda, Apple güvenlik belgelerinde güvenlik açıklarından CVE Kimliği ile bahsedilir.

macOS Sierra 10.12.2, Güvenlik Güncellemesi 2016-003 El Capitan ve Güvenlik Güncellemesi 2016-007 Yosemite

Yayınlanma tarihi: 13 Aralık 2016

apache_mod_php

İlgili sürümler: macOS Sierra 10.12.1

Etki: Uzaktaki bir saldırgan, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: 5.6.26 sürümünden önce PHP'de birden fazla sorun vardı. Bu sorunlar, PHP'nin 5.6.26 sürümüne güncellenmesiyle giderildi.

CVE-2016-7411

CVE-2016-7412

CVE-2016-7413

CVE-2016-7414

CVE-2016-7416

CVE-2016-7417

CVE-2016-7418

AppleGraphicsPowerManagement

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir kullanıcı, sistem servis reddine neden olabilir

Açıklama: Bir null işaretçi başvurusu sorunu, giriş doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-7609: Trend Micro'nun Zero Day Initiative programında çalışan daybreaker@Minionz

Varlıklar

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir saldırgan indirilen mobil varlıkları değiştirebilir

Açıklama: Mobil varlıklarda bir izin sorunu vardı. Bu sorun, erişim sınırlamaları iyileştirilerek giderildi.

CVE-2016-7628: Marcel Bresink Software-Systeme'den Marcel Bresink

Giriş güncellenme tarihi: 15 Aralık 2016

Ses

İlgili sürümler: macOS Sierra 10.12.1

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi, rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7658: Tencent bünyesindeki Keen Lab'den (@keen_lab) Haohao Kong

CVE-2016-7659: Tencent bünyesindeki Keen Lab'den (@keen_lab) Haohao Kong

Bluetooth

İlgili sürümler: macOS Sierra 10.12.1, OS X El Capitan v10.11.6 ve OS X Yosemite v10.10.5

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir 

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7596: Synopsys Software Integrity Group'tan Pekka Oikarainen, Matias Karhumaa ve Marko Laakso

Giriş güncellenme tarihi: 14 Aralık 2016

Bluetooth

İlgili sürümler: macOS Sierra 10.12.1

Etki: Bir uygulama, servis reddine neden olabilir

Açıklama: Bir null işaretçi başvurusu sorunu, giriş doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-7605: Minionz'dan daybreaker

Bluetooth

İlgili sürümler: macOS Sierra 10.12.1

Etki: Bir uygulama, sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir tür karışıklığı sorunu giderildi.

CVE-2016-7617: Trend Micro'nun Zero Day Initiative programında çalışan Radu Motspan, Google Project Zero'dan Ian Beer

CoreCapture

İlgili sürümler: macOS Sierra 10.12.1 ve OS X El Capitan v10.11.6

Etki: Yerel bir kullanıcı, sistem servis reddine neden olabilir

Açıklama: Durum yönetimi işlemi iyileştirilerek bir null işaretçi başvurusu sorunu giderildi.

CVE-2016-7604: Minionz'dan daybreaker

Giriş güncellenme tarihi: 14 Aralık 2016

CoreFoundation

İlgili sürümler: macOS Sierra 10.12.1

Etki: Kötü amaçlı dizelerin işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Dizelerin işlenmesinde bir bellek bozulması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE-2016-7663: anonim bir araştırmacı

CoreGraphics

İlgili sürümler: macOS Sierra 10.12.1

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: Bir null işaretçi başvurusu sorunu, giriş doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-7627: TRAPMINE Inc. ve Meysam Firouzi @R00tkitSMM

CoreMedia Harici Ekranlar

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir uygulama, mediaserver arka plan programı bağlamında rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir tür karışıklığı sorunu giderildi.

CVE-2016-7655: Trend Micro'nun Zero Day Initiative programında çalışan Keen Lab

CoreMedia Oynatma

İlgili sürümler: macOS Sierra 10.12.1

Etki: Kötü amaçlarla oluşturulmuş bir .mp4 dosyasının işlenmesi, rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7588: Huawei 2012 Laboratories'den dragonltx

CoreStorage

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir kullanıcı, sistem servis reddine neden olabilir

Açıklama: Bir null işaretçi başvurusu sorunu, giriş doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-7603: Trend Micro'nun Zero Day Initiative programında çalışan daybreaker@Minionz

CoreText

İlgili sürümler: macOS Sierra 10.12.1

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi, rastgele kod yürütülmesine neden olabilir

Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar sınır denetimi iyileştirilerek giderildi.

CVE-2016-7595: Tencent Güvenlik Platformu Departmanı'ndan riusksk(泉哥)

CoreText

İlgili sürümler: macOS Sierra 10.12.1

Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi, servis reddine yol açabilir

Açıklama: Örtüşen aralıkların işlenmesiyle ilgili bir sorun, doğrulama işleminin iyileştirilmesiyle giderildi.

CVE-2016-7667: Nasser Al-Hadhrami (@fast_hack), Digital Unit'ten (dgunit.com) Saif Al-Hinai (welcom_there)

Giriş eklenme tarihi: 15 Aralık 2016

curl

İlgili sürümler: macOS Sierra 10.12.1

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Curl'de birden fazla sorun vardı. Bu sorunlar, Curl sürümünün 7.51.0'a güncellenmesiyle giderildi.

CVE-2016-5419

CVE-2016-5420

CVE-2016-5421

CVE-2016-7141

CVE-2016-7167

CVE-2016-8615

CVE-2016-8616

CVE-2016-8617

CVE-2016-8618

CVE-2016-8619

CVE-2016-8620

CVE-2016-8621

CVE-2016-8622

CVE-2016-8623

CVE-2016-8624

CVE-2016-8625

Dizin Servisleri

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2016-7633: Google Project Zero'dan Ian Beer

Disk Görüntüleri

İlgili sürümler: macOS Sierra 10.12.1

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7616: Trend Micro'nun Zero Day Initiative programında çalışan daybreaker@Minionz

FontParser

İlgili sürümler: macOS Sierra 10.12.1

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi, rastgele kod yürütülmesine neden olabilir

Açıklama: Font dosyalarının işlenmesinde birden çok bellek bozulması sorunu vardı. Bu sorunlar sınır denetimi iyileştirilerek giderildi.

CVE-2016-4691: Tencent Güvenlik Platformu Departmanı'ndan riusksk(泉哥)

Foundation

İlgili sürümler: macOS Sierra 10.12.1

Etki: Kötü amaçlarla oluşturulmuş bir .gcx dosyasının açılması, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7618: Tencent Güvenlik Platformu Departmanı'ndan riusksk(泉哥)

Grafik Çizer

İlgili sürümler: macOS Sierra 10.12.1

Etki: Kötü amaçlarla oluşturulmuş bir .gcx dosyasının açılması, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7622: Tencent Güvenlik Platformu Departmanı'ndan riusksk(泉哥)

ICU

İlgili sürümler: macOS Sierra 10.12.1

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi, rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7594: André Bargull

ImageIO

İlgili sürümler: macOS Sierra 10.12.1

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Sınır denetimi iyileştirilerek, sınırların dışında okuma sorunu giderildi.

CVE-2016-7643: Qihoo360 Qex Team'den Yangkang (@dnpushme)

Intel Grafik Sürücüsü

İlgili sürümler: macOS Sierra 10.12.1

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir 

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7602: Trend Micro'nun Zero Day Initiative programında çalışan daybreaker@Minionz

IOFireWireFamily

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir saldırgan, çekirdek belleğini okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7608: Brandon Azad

IOAcceleratorFamily

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir kullanıcı, çekirdek belleği düzenini belirleyebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir paylaşımlı bellek sorunu giderildi.

CVE-2016-7624: Trend Micro'nun Zero Day Initiative programında çalışan KeenLab'den Qidan He (@flanker_hqd)

IOHIDFamily

İlgili sürümler: macOS Sierra 10.12.1

Etki: Sistem ayrıcalıklarına sahip yerel bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2016-7591: Minionz'dan daybreaker

IOKit

İlgili sürümler: macOS Sierra 10.12.1

Etki: Bir uygulama, çekirdek belleğini okuyabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7657: Trend Micro'nun Zero Day Initiative programında çalışan Keen Lab

IOKit

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir kullanıcı, çekirdek belleği düzenini belirleyebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir paylaşımlı bellek sorunu giderildi.

CVE-2016-7625: Trend Micro'nun Zero Day Initiative programında çalışan KeenLab'den Qidan He (@flanker_hqd)

IOKit

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir kullanıcı, çekirdek belleği düzenini belirleyebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir paylaşımlı bellek sorunu giderildi.

CVE-2016-7714: Trend Micro'nun Zero Day Initiative programında çalışan KeenLab'den Qidan He (@flanker_hqd)

Giriş eklenme tarihi: 25 Ocak 2017

IOSurface

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir kullanıcı, çekirdek belleği düzenini belirleyebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir paylaşımlı bellek sorunu giderildi.

CVE-2016-7620: Trend Micro'nun Zero Day Initiative programında çalışan KeenLab'den Qidan He (@flanker_hqd)

Çekirdek

İlgili sürümler: macOS Sierra 10.12.1

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir 

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2016-7606: @cocoahuke, Topsec Alpha Team'den (topsec.com) Chen Qin

CVE-2016-7612: Google Project Zero'dan Ian Beer

Çekirdek

İlgili sürümler: macOS Sierra 10.12.1

Etki: Bir uygulama, çekirdek belleğini okuyabilir

Açıklama: Bir yetersiz başlatma sorunu, kullanıcı alanına dönen belleğin uygun şekilde başlatılmasıyla giderildi.

CVE-2016-7607: Brandon Azad

Çekirdek

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir kullanıcı, sistem servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2016-7615: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Çekirdek

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir kullanıcı, sistemin beklenmeyen şekilde sonlandırılmasına veya çekirdekte rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2016-7621: Google Project Zero'dan Ian Beer

Çekirdek

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7637: Google Project Zero'dan Ian Beer

Çekirdek

İlgili sürümler: macOS Sierra 10.12.1

Etki: Sistem ayrıcalıklarına sahip yerel bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2016-7644: Google Project Zero'dan Ian Beer

Çekirdek

İlgili sürümler: macOS Sierra 10.12.1

Etki: Bir uygulama, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2016-7647: Qihoo 360 Vulcan Team'den Lufeng Li

Giriş eklenme tarihi: 17 Mayıs 2017

kext araçları

İlgili sürümler: macOS Sierra 10.12.1

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir 

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2016-7629: @cocoahuke

libarchive

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir saldırgan, mevcut dosyaların üzerine yazabilir

Açıklama: Sembolik bağlantıların işlenmesinde, doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2016-7619: anonim bir araştırmacı

LibreSSL

İlgili sürümler: macOS Sierra 10.12.1 ve OS X El Capitan v10.11.6

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek, sınırı olmayan OCSP genişlemesindeki bir servis reddi sorunu giderildi.

CVE-2016-6304

Giriş güncellenme tarihi: 14 Aralık 2016

OpenLDAP

İlgili sürümler: macOS Sierra 10.12.1

Etki: Bir saldırgan, RC4 şifreleme algoritmasındaki açıktan yararlanabilir

Açıklama: RC4, saptanmış şifreler arasından kaldırıldı.

CVE-2016-1777: Pepi Zawodsky

OpenPAM

İlgili sürümler: macOS Sierra 10.12.1

Etki: Ayrıcalıksız yerel bir kullanıcı, ayrıcalıklı uygulamalara erişim elde edebilir

Açıklama: Korumalı alanda çalışan uygulamalardaki PAM kimlik doğrulaması güvensiz şekilde başarısız oluyordu. Bu sorun, hata işleme iyileştirilerek giderildi.

CVE-2016-7600: DeviousFish.com'dan Perette Barella

OpenSSL

İlgili sürümler: macOS Sierra 10.12.1

Etki: Bir uygulama rastgele kod yürütebilir

Açıklama: MDC2_Update()'te bir taşma sorunu vardı. Bu sorun, giriş doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-6303

OpenSSL

İlgili sürümler: macOS Sierra 10.12.1

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servis reddine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek, sınırı olmayan OCSP genişlemesindeki bir servis reddi sorunu giderildi.

CVE-2016-6304

Güç Yönetimi

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir

Açıklama: "Mach port" ad referanslarındaki bir sorun, doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-7661: Google Project Zero'dan Ian Beer

Güvenlik

İlgili sürümler: macOS Sierra 10.12.1

Etki: Bir saldırgan 3DES şifreleme algoritmasındaki açıktan yararlanabilir

Açıklama: 3DES, saptanmış şifreler arasından kaldırıldı.

CVE-2016-4693: INRIA Paris'ten Gaëtan Leurent ve Karthikeyan Bhargavan

Güvenlik

İlgili sürümler: macOS Sierra 10.12.1

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, servis reddine neden olabilir

Açıklama: OCSP yanıtlayıcı URL'lerinin işlenmesinde bir doğrulama sorunu vardı. Bu sorun, CA doğrulamasından sonra OCSP iptal durumunun doğrulanmasıyla ve sertifika başına OCSP isteği sayısının sınırlanmasıyla giderildi.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Güvenlik

İlgili sürümler: macOS Sierra 10.12.1

Etki: Sertifikalar beklenmeyen şekilde güvenilir olarak değerlendirilebilir

Açıklama: Sertifika doğrulamasında bir sertifika değerlendirme sorunu vardı. Bu sorun sertifikalara ek doğrulama yapılarak giderildi.

CVE-2016-7662: Apple

syslog

İlgili sürümler: macOS Sierra 10.12.1

Etki: Yerel bir kullanıcı, kök ayrıcalıkları elde edebilir

Açıklama: "Mach port" ad referanslarındaki bir sorun, doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-7660: Google Project Zero'dan Ian Beer

WiFi

İlgili sürümler: macOS Sierra 10.12.1

Etki: Kötü amaçlı bir yerel kullanıcı, gizli ağ konfigürasyonu bilgilerini görüntüleyebilir

Açıklama: Ağ konfigürasyonu beklenmedik şekilde genel hale geliyordu. Bu sorun, gizli ağ konfigürasyonunun kullanıcıya özgü ayarlara taşınmasıyla giderildi.

CVE-2016-7761: Peter Loos, Karlsruhe, Almanya

Giriş eklenme tarihi: 24 Ocak 2017

xar

İlgili sürümler: macOS Sierra 10.12.1

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması, rastgele kod yürütülmesine neden olabilir

Açıklama: Başlatılmamış bir değişkenin kullanılmasıyla ilgili sorun, doğrulama işlemi iyileştirilerek giderildi.

CVE-2016-7742: Context Information Security'den Gareth Evans

Giriş eklenme tarihi: 10 Ocak 2017

macOS Sierra 10.12.2, Güvenlik Güncellemesi 2016-003 El Capitan ve Güvenlik Güncellemesi 2016-007 Yosemite, Safari 10.0.2'nin güvenlik içeriğini kapsar.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: