Informace o bezpečnostním obsahu macOS Sierry 10.12.4, bezpečnostní aktualizaci 2017-001 pro El Capitan a bezpečnostní aktualizaci 2017-001 pro Yosemite
Tento dokument popisuje bezpečnostní obsah macOS Sierry 10.12.4, bezpečnostní aktualizaci 2017-001 pro El Capitan a bezpečnostní aktualizaci 2017-001 pro Yosemite.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Podrobnější informace o zabezpečení najdete na této stránce. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.
Pokud je to možné, bezpečnostní dokumenty Apple se na bezpečnostní slabiny odkazují prostřednictvím identifikátorů CVE-ID.
macOS Sierra 10.12.4, bezpečnostní aktualizace 2017-001 pro El Capitan a bezpečnostní aktualizace 2017-001 pro Yosemite
apache
K dispozici pro: macOS Sierra 10.12.3
Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.
Popis: V softwaru Apache starší verze než 2.4.25 existovalo několik problémů. Ty byly vyřešeny aktualizací softwaru Apache na verzi 2.4.25.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
apache_mod_php
K dispozici pro: macOS Sierra 10.12.3
Dopad: V PHP starší verze než 5.6.30 existovalo několik problémů.
Popis: V PHP starší verze než 5.6.30 existovalo několik problémů. Ty byly vyřešeny aktualizací PHP na verzi 5.6.30.
CVE-2016-10158
CVE-2016-10159
CVE-2016-10160
CVE-2016-10161
CVE-2016-9935
AppleGraphicsPowerManagement
K dispozici pro: macOS Sierra 10.12.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se souběhem byl vyřešen vylepšením správy paměti.
CVE-2017-2421: @cocoahuke
AppleRAID
K dispozici pro: macOS Sierra 10.12.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2017-2438: sss a Axis z týmu 360 Nirvan
Zvuk
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2430: anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro
CVE-2017-2462: anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro
Bluetooth
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa a Marko Laakso ze společnosti Synopsys Software Integrity Group
Bluetooth
K dispozici pro: macOS Sierra 10.12.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-2427: Axis a sss z týmu Qihoo 360 Nirvan
Bluetooth
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2017-2449: sss a Axis z týmu 360 Nirvan
Carbon
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého souboru .dfont může vést ke spuštění libovolného kódu.
Popis: Ve zpracování souborů písem existoval problém s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2017-2379: riusksk(泉哥) z Tencent Security Platform Department, John Villamil, Doyensec
CoreGraphics
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služby.
Popis: Nekonečná rekurze byla vyřešena vylepšením správy stavu.
CVE-2017-2417: riusksk(泉哥) z oddělení Tencent Security Platform Department
CoreMedia
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého souboru .mov může vést ke spuštění libovolného kódu.
Popis: Ve zpracování souborů .mov existoval problém s poškozením paměti. Tento problém byl vyřešen vylepšením správy paměti.
CVE-2017-2431: kimyok z Tencent Security Platform Department
CoreText
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2435: John Villamil, Doyensec
CoreText
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2450: John Villamil, Doyensec
CoreText
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracovávání škodlivé textové zprávy může vést k útoku typu odmítnutí služby vedeném na aplikaci.
Popis: Problém s vyčerpáním prostředků byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2461: Isaac Archambault z IDAoADI, anonymní výzkumník
curl
K dispozici pro: macOS Sierra 10.12.3
Dopad: Škodlivý uživatelský vstup do API libcurl může umožňovat spuštění libovolného kódu.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.
CVE-2016-9586: Daniel Stenberg ze společnosti Mozilla
EFI
K dispozici pro: macOS Sierra 10.12.3
Dopad: Škodlivému adaptéru Thunderbolt se může podařit obnovit heslo šifrování FileVault 2.
Popis: Existoval problém ve zpracování DMA. Tento problém byl vyřešen zapnutím režimu VT-d ve firmwaru EFI.
CVE-2016-7585: Ulf Frisk (@UlfFrisk)
FinderKit
K dispozici pro: macOS Sierra 10.12.3
Dopad: Při posílání odkazů se můžou neočekávaně obnovit oprávnění.
Popis: Ve zpracování funkce Poslat odkaz při Sdílení na iCloudu existoval problém s oprávněním. Tento problém byl vyřešen vylepšením kontroly oprávnění.
CVE-2017-2429: Raymond Wong DO ze společnosti Arnot Ogden Medical Center
FontParser
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.
CVE-2017-2487: riusksk(泉哥) z oddělení Tencent Security Platform Department
CVE-2017-2406: riusksk(泉哥) z oddělení Tencent Security Platform Department
FontParser
K dispozici pro: macOS Sierra 10.12.3
Dopad: Parsování škodlivého souboru písma může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.
CVE-2017-2407: riusksk(泉哥) z oddělení Tencent Security Platform Department
FontParser
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2439: John Villamil, Doyensec
FontParser
K dispozici pro: OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5
Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.
Popis: Ve zpracování souborů písem existoval problém s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2016-4688: Simon Huang ze společnosti Alipay
HTTPProtocol
K dispozici pro: macOS Sierra 10.12.3
Dopad: Škodlivému serveru HTTP/2 se může podařit způsobit nedefinované chování.
Popis: V knihovně nghttp2 starší verze než 1.17.0 existovalo několik problémů. Tyto problémy byly vyřešeny aktualizací knihovny nghttp2 na verzi 1.17.0.
CVE-2017-2428
Hypervisor
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikace používající framework Hypervisor můžou neočekávaně způsobit únik informací z kontrolního registru CR8 mezi hostem a hostitelem.
Popis: Problém s únikem informací byl vyřešen vylepšením správy stavu.
CVE-2017-2418: Alex Fishman a Izik Eidus z Veertu Inc.
iBooks
K dispozici pro: macOS Sierra 10.12.3
Dopad: Parsování škodlivého souboru iBooks může vést k odhalení místního souboru.
Popis: Ve zpracování URL adres souborů existoval únik informací. Problém byl vyřešen vylepšením zpracování URL adres.
CVE-2017-2426: Craig Arendt ze společnosti Stratum Security, Jun Kokatsu (@shhnjk)
ImageIO
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) z KeenLab, Tencent
ImageIO
K dispozici pro: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5
Dopad: Zobrazení škodlivého souboru JPEG může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2432: anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro
ImageIO
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2467
ImageIO
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého obrázku může vést k neočekávanému ukončení aplikace.
Popis: Ve verzích knihovny LibTIFF starších než 4.0.7 existoval problém se čtením mimo rozsah. Tento problém byl vyřešen aktualizací knihovny LibTIFF ve třídě ImageIO na verzi 4.0.7.
CVE-2016-3619
Ovladač grafiky Intel
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2443: Ian Beer z týmu Google Project Zero
Ovladač grafiky Intel
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2017-2489: Ian Beer z týmu Google Project Zero
IOATAFamily
K dispozici pro: macOS Sierra 10.12.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-2408: Yangkang (@dnpushme) z týmu Qihoo360 Qex
IOFireWireAVC
K dispozici pro: macOS Sierra 10.12.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2436: Orr A, IBM Security
IOFireWireAVC
K dispozici pro: macOS Sierra 10.12.3
Dopad: Místnímu útočníkovi se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2437: Benjamin Gnahm (@mitp0sh) ze společnosti Blue Frost Security
IOFireWireFamily
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit způsobit odmítnutí služby.
Popis: Přístup přes nulový ukazatel byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2388: Brandon Azad, anonymní výzkumník
Jádro
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2398: Lufeng Li z týmu Qihoo 360 Vulcan
CVE-2017-2401: Lufeng Li z týmu Qihoo 360 Vulcan
Jádro
K dispozici pro: macOS Sierra 10.12.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: V jádru existoval problém s ověřováním vstupů. Tento problém byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2410: Apple
Jádro
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Přetečení celých čísel bylo vyřešeno vylepšením ověřování vstupů.
CVE-2017-2440: anonymní výzkumník
Jádro
K dispozici pro: macOS Sierra 10.12.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s kořenovými oprávněnými.
Popis: Problém se souběhem byl vyřešen vylepšením správy paměti.
CVE-2017-2456: lokihardt z týmu Google Project Zero
Jádro
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2017-2472: Ian Beer z týmu Google Project Zero
Jádro
K dispozici pro: macOS Sierra 10.12.3
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2473: Ian Beer z týmu Google Project Zero
Jádro
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Chyba spočívající v použití hodnoty o jednotku menší nebo větší byla vyřešena vylepšením kontroly rozsahu.
CVE-2017-2474: Ian Beer z týmu Google Project Zero
Jádro
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se souběhem byl vyřešen vylepšením zamykání.
CVE-2017-2478: Ian Beer z týmu Google Project Zero
Jádro
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.
CVE-2017-2482: Ian Beer z týmu Google Project Zero
CVE-2017-2483: Ian Beer z týmu Google Project Zero
Jádro
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit spustit libovolný kód s navýšenými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-2490: Ian Beer z týmu Google Project Zero, Národní centrum Spojeného království pro kyberbezpečnost (NCSC)
Jádro
K dispozici pro: macOS Sierra 10.12.3
Dopad: Obrazovka může po zavření víka nečekaně zůstat odemčená.
Popis: Problém s nedostatečným zamykáním byl vyřešen vylepšením správy stavu.
CVE-2017-7070: Ed McKenzie
Klávesnice
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit spustit libovolný kód.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.
CVE-2017-2458: Shashank (@cyberboyIndia)
Klíčenka
K dispozici pro: macOS Sierra 10.12.3
Dopad: Útočníkovi, který dokáže zachytávat TLS spojení, se může podařit číst tajné informace chráněné Klíčenkou na iCloudu.
Popis: Klíčenka na iCloudu v některých případech neověřovala pravost paketů OTR. Problém byl vyřešen vylepšením ověřování.
CVE-2017-2448: Alex Radocea ze společnosti Longterm Security, Inc.
libarchive
K dispozici pro: macOS Sierra 10.12.3
Dopad: Místnímu útočníkovi se může podařit změnit oprávnění souborového systému u libovolných adresářů.
Popis: Ve zpracování symbolických odkazů existoval problém s ověřováním. Problém byl vyřešen vylepšením ověřování symbolických odkazů.
CVE-2017-2390: Omer Medan z enSilo Ltd
libc++abi
K dispozici pro: macOS Sierra 10.12.3
Dopad: Dekódování názvů funkcí škodlivé aplikace v C++ může vést ke spuštění libovolného kódu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2017-2441
LibreSSL
K dispozici pro: macOS Sierra 10.12.3 a OS X El Capitan v10.11.6
Dopad: Místnímu uživateli se může podařit odhalit citlivá uživatelská data.
Popis: Útok časovou analýzou pomocí postranního kanálu útočníkovi umožňoval obnovit klíče. Tento problém byl vyřešen zavedením neustálých časových výpočtů.
CVE-2016-7056: Cesar Pereida García a Billy Brumley (Tampere University of Technology)
libxslt
K dispozici pro: OS X El Capitan 10.11.6
Dopad: Několik bezpečnostních slabin v knihovně libxslt.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2017-2477
libxslt
K dispozici pro: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5
Dopad: Několik bezpečnostních slabin v knihovně libxslt.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2017-5029: Holger Fuhrmannek
Klient MCX
K dispozici pro: macOS Sierra 10.12.3
Dopad: Odstranění konfiguračního profilu s několika datovými částmi nemusí odstranit důvěryhodnost certifikátu Active Directory.
Popis: V odinstalaci profilu existoval problém. Tento problém byl vyřešen vylepšením čištění.
CVE-2017-2402: anonymní výzkumník
Nabídky
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit odhalit obsah procesní paměti.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2409: Sergej Bylochov
Multi-Touch
K dispozici pro: macOS Sierra 10.12.3
Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-2422: @cocoahuke
OpenSSH
K dispozici pro: macOS Sierra 10.12.3
Dopad: Několik problémů v OpenSSH
Popis: V OpenSSH starší verze než 7.4 existovalo několik problémů. Ty byly vyřešeny aktualizací OpenSSH na verzi 7.4.
CVE-2016-10009
CVE-2016-10010
CVE-2016-10011
CVE-2016-10012
OpenSSL
K dispozici pro: macOS Sierra 10.12.3
Dopad: Místnímu uživateli se může podařit odhalit citlivá uživatelská data.
Popis: Problém s útokem časovou analýzou pomocí postranního kanálu byl vyřešen zavedením neustálých časových výpočtů.
CVE-2016-7056: Cesar Pereida García a Billy Brumley (Tampere University of Technology)
Tisk
K dispozici pro: macOS Sierra 10.12.3
Dopad: Kliknutí na škodlivý odkaz IPP(S) může vést ke spuštění libovolného kódu.
Popis: Problém s nekontrolovaným formátovacím řetězcem byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2403: beist of GrayHash
Python
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého archivu zip pomocí Pythonu může vést ke spuštění libovolného kódu.
Popis: Ve zpracování archivů zip existoval problém s poškozením paměti. Tento problém byl vyřešen vylepšením ověřování vstupů.
CVE-2016-5636
QuickTime
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zobrazení škodlivého mediálního souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: V QuickTimu docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.
CVE-2017-2413: Simon Huang(@HuangShaomang) a pjf z týmu IceSword Lab společnosti Qihoo 360
Zabezpečení
K dispozici pro: macOS Sierra 10.12.3
Dopad: Může neočekávaně uspět ověřování prázdných podpisů s funkcí SecKeyRawVerify().
Popis: Existoval problém s ověřováním volání kryptografického API. Tento problém byl vyřešen vylepšením ověřování parametrů.
CVE-2017-2423: anonymní výzkumník
Zabezpečení
K dispozici pro: macOS Sierra 10.12.3
Dopad: Aplikaci se může podařit spustit libovolný kód s kořenovými oprávněními.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.
CVE-2017-2451: Alex Radocea ze společnosti Longterm Security, Inc.
Zabezpečení
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého certifikátu x509 může vést ke spuštění libovolného kódu.
Popis: Při parsování certifikátů docházelo k problému s poškozením paměti. Tento problém byl vyřešen vylepšením ověřování vstupů.
CVE-2017-2485: Aleksandar Nikolic z týmu Cisco Talos
SecurityFoundation
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého certifikátu může vést ke spuštění libovolného kódu.
Popis: Problém s dvojitým použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2017-2425: kimyok z Tencent Security Platform Department
sudo
K dispozici pro: macOS Sierra 10.12.3
Dopad: Uživateli se jménem „admin“ ve skupině v síťovém adresáři se může podařit neočekávaně zvýšit oprávnění příkazem sudo.
Popis: V příkazu sudo existoval problém s přístupem. Problém byl vyřešen vylepšením kontroly oprávnění.
CVE-2017-2381
Ochrana integrity systému
K dispozici pro: macOS Sierra 10.12.3
Dopad: Škodlivé aplikaci se může podařit změnit umístění chráněných disků.
Popis: Ve zpracování instalace systému existoval problém s ověřováním. Tento problém byl vyřešen vylepšením zpracování a ověřování při procesu instalace.
CVE-2017-6974: Patrick Wardle ze společnosti Synack
tcpdump
K dispozici pro: macOS Sierra 10.12.3
Dopad: Útočníkovi s vysokými oprávněními v síti se může s pomocí uživatele podařit spustit libovolný kód.
Popis: V softwaru tcpdump starší verze než 4.9.0 existovalo několik problémů. Ty byly vyřešeny aktualizací softwaru tcpdump na verzi 4.9.0.
CVE-2016-7922
CVE-2016-7923
CVE-2016-7924
CVE-2016-7925
CVE-2016-7926
CVE-2016-7927
CVE-2016-7928
CVE-2016-7929
CVE-2016-7930
CVE-2016-7931
CVE-2016-7932
CVE-2016-7933
CVE-2016-7934
CVE-2016-7935
CVE-2016-7936
CVE-2016-7937
CVE-2016-7938
CVE-2016-7939
CVE-2016-7940
CVE-2016-7973
CVE-2016-7974
CVE-2016-7975
CVE-2016-7983
CVE-2016-7984
CVE-2016-7985
CVE-2016-7986
CVE-2016-7992
CVE-2016-7993
CVE-2016-8574
CVE-2016-8575
CVE-2017-5202
CVE-2017-5203
CVE-2017-5204
CVE-2017-5205
CVE-2017-5341
CVE-2017-5342
CVE-2017-5482
CVE-2017-5483
CVE-2017-5484
CVE-2017-5485
CVE-2017-5486
tiffutil
K dispozici pro: macOS Sierra 10.12.3
Dopad: Zpracování škodlivého obrázku může vést k neočekávanému ukončení aplikace.
Popis: Ve verzích knihovny LibTIFF starších než 4.0.7 existoval problém se čtením mimo rozsah. Tento problém byl vyřešen aktualizací knihovny LibTIFF v součásti AKCmds na verzi 4.0.7.
CVE-2016-3619
CVE-2016-9533
CVE-2016-9535
CVE-2016-9536
CVE-2016-9537
CVE-2016-9538
CVE-2016-9539
CVE-2016-9540
Další poděkování
XNU
Poděkování za pomoc si zaslouží Lufeng Li z týmu Qihoo 360 Vulcan.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.