Tietoja macOS Sierra 10.12.1:n, suojauspäivitys 2016-002 El Capitanin ja suojauspäivitys 2016-006 Yosemiten turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Sierra 10.12.1:n, suojauspäivitys 2016-002 El Capitanin ja suojauspäivitys 2016-006 Yosemiten turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
macOS Sierra 10.12.1, suojauspäivitys 2016-002 El Capitan ja suojauspäivitys 2016-006 Yosemite
AppleGraphicsControl
Saatavuus: OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla lukituksen tilan tarkistamista.
CVE-2016-4662: Apple
AppleMobileFileIntegrity
Saatavuus: macOS Sierra 10.12.
Vaikutus: Allekirjoitettu suoritettava tiedosto saattoi korvata koodia samalla ryhmätunnuksella.
Kuvaus: Koodiallekirjoitusten käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu lisäämällä tarkistusta.
CVE-2016-7584: Mark Mentovai ja Boris Vidolov (Google Inc.)
AppleSMC
Saatavuus: macOS Sierra 10.12.
Vaikutus: Paikallinen käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla lukitusta.
CVE-2016-4678: Trend Micron Zero Day Initiativen parissa työskentelevä daybreaker@Minionz
ATS
Saatavuus: macOS Sierra 10.12.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4667: Simon Huang (alipay), Thelongestusernameofall@gmail.com, Moony Li (TrendMicro), @Flyic
ATS
Saatavuus: macOS Sierra 10.12.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia lisäkäyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4674: Shrek_wzw (Qihoo 360 Nirvan Team)
CFNetwork-välipalvelimet
Saatavuus: macOS Sierra 10.12.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.
Kuvaus: Välipalvelimen tunnistetietojen käsittelyssä ilmeni tietojenkalasteluongelma. Ongelma korjattiin poistamalla pyytämättömät välipalvelimen salasanan vahvistuskehotukset.
CVE-2016-7579: Jerry Decime
Core Image
Saatavuus: OS X El Capitan 10.11.6.
Vaikutus: Haitallisen JPEG-tiedoston katsominen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2016-4681: Ke Liu (Tencentin Xuanwu Lab)
CoreGraphics
Saatavuus: macOS Sierra 10.12.
Vaikutus: Haitallisen JPEG-tiedoston katsominen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2016-4673: Marco Grassi (@marcograss) (KeenLab) (@keen_lab), Tencent
FaceTime
Saatavuus: macOS Sierra 10.12.
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi saada välitetyn puhelun jatkamaan äänen lähettämistä, vaikka näytti, että puhelu oli jo päättynyt.
Kuvaus: Välitettyjen puheluiden käsittelyyn liittyi käyttöliittymän ristiriitaisuuksia. Ongelmat on ratkaistu parantamalla protokollalogiikkaa.
CVE-2016-7577: Martin Vigo (@martin_vigo) (salesforce.com)
FontParser
Saatavuus: macOS Sierra 10.12.
Vaikutus: Haitallisen fontin jäsentäminen saattaa paljastaa arkaluonteisia käyttäjätietoja.
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2016-4660: Ke Liu (Tencentin Xuanwu Lab)
FontParser
Saatavuus: macOS Sierra 10.12.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-2016-4688: Simon Huang (Alipay), thelongestusernameofall@gmail.com
IDS – yhdistettävyys
Saatavuus: macOS Sierra 10.12.
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä hämäämään ryhmäpuhelun osallistujaa luulemaan, että tämä puhuu keskustelukumppanille.
Kuvaus: Puhelunkytkennän käsittelyssä oli tekeytymiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla puhelunkytkennän ilmoitusten käsittelyä.
CVE-2016-4721: Martin Vigo (@martin_vigo) (salesforce.com)
ImageIO
Saatavuus: OS X El Capitan 10.11.6.
Vaikutus: Haitallisen PDF-tiedoston jäsentäminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolinen kirjoittaminen käsiteltiin rajojen tarkistuksen parannuksella.
CVE-2016-4671: Ke Liu (Tencentin Xuanwu Lab), Juwei Lin (@fuzzerDOTcn)
ImageIO
Saatavuus: OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6.
Vaikutus: Haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: SGI-kuvan jäsentämisessä ilmeni rajojen ulkopuolisen lukemisen ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-2016-4682: Ke Liu (Tencentin Xuanwu Lab)
ImageIO
Saatavuus: OS X El Capitan 10.11.6.
Vaikutus: Etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.
Kuvaus: SGI-tiedostojen jäsentämisessä ilmeni useita rajojen ulkopuolisen lukemisen ja kirjoittamisen ongelmia. Ongelmat on ratkaistu parantamalla syötön validointia.
CVE-2016-4683: Ke Liu (Tencentin Xuanwu Lab)
Kernel
Saatavuus: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 ja macOS Sierra 10.12.
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen kernelissä.
Kuvaus: MIG-generoidussa koodissa ilmeni useita syötön vahvistuksen ongelmia. Ongelmat on ratkaistu parantamalla tarkistamista.
CVE-2016-4669: Ian Beer (Google Project Zero)
Kernel
Saatavuus: macOS Sierra 10.12.
Vaikutus: Paikallinen ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Uusien prosessien luonnissa esiintyi useita objektien elinkaareen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla tarkistusta.
CVE-2016-7613: Ian Beer (Google Project Zero)
libarchive
Saatavuus: macOS Sierra 10.12.
Vaikutus: Haitallinen arkisto saattoi pystyä korvaamaan mielivaltaisia tiedostoja.
Kuvaus: Symbolisten linkkien polun validointilogiikassa oli ongelma. Ongelma on ratkaistu parantamalla polkujen siivoamista.
CVE-2016-4679: Omer Medan (enSilo Ltd)
libxpc
Saatavuus: macOS Sierra 10.12.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.
Kuvaus: Logiikkaongelma korjattiin lisäämällä rajoituksia.
CVE-2016-4675: Ian Beer (Google Project Zero)
ntfs
Saatavuus: macOS Sierra 10.12.
Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.
Kuvaus: Levytiedostojen jäsentämisessä oli ongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2016-4661: Recurity Labs, BSI:n (Saksan tietoturvallisuusvirasto) puolesta
NVIDIA-näytönohjaimet
Saatavuus: OS X Yosemite 10.10.5 ja OS X El Capitan 10.11.6.
Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2016-4663: Apple
Suojaus
Saatavuus: macOS Sierra 10.12.
Vaikutus: Paikallinen hyökkääjä saattoi nähdä kirjautumissalasanan pituuden, kun käyttäjä kirjautui sisään.
Kuvaus: Salasanojen käsittelyssä ilmeni kirjaamisongelma. Ongelma korjattiin poistamalla salasanojen pituuden kirjaaminen.
CVE-2016-4670: Daniel Jalkut (Red Sweater Software)
Thunderbolt
Saatavuus: macOS Sierra 10.12.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.
CVE-2016-4780: sweetchip (Grayhash)
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.