Informace o bezpečnostním obsahu macOS Sierra 10.12.6, bezpečnostní aktualizace 2017-003 pro El Capitan a bezpečnostní aktualizace 2017-003 pro Yosemite
Tento dokument popisuje bezpečnostní obsah macOS Sierra 10.12.6, bezpečnostní aktualizace 2017-003 pro El Capitan a bezpečnostní aktualizace 2017-003 pro Yosemite.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Podrobnější informace o zabezpečení najdete na této stránce. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.
Pokud je to možné, bezpečnostní dokumenty Apple se na bezpečnostní slabiny odkazují prostřednictvím identifikátorů CVE-ID.
macOS Sierra 10.12.6, bezpečnostní aktualizace 2017-003 pro El Capitan a bezpečnostní aktualizace 2017-003 pro Yosemite
afclip
K dispozici pro: macOS Sierra 10.12.5
Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-7016: riusksk (泉哥) z Tencent Security Platform Department
afclip
K dispozici pro: macOS Sierra 10.12.5
Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7033: riusksk (泉哥) z Tencent Security Platform Department
AppleGraphicsPowerManagement
K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7021: sss a Axis z týmu Qihoo 360 Nirvan
Zvuk
K dispozici pro: macOS Sierra 10.12.5
Dopad: Zpracování škodlivého zvukového souboru může odhalit obsah vyhrazené paměti.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7015: riusksk (泉哥) z Tencent Security Platform Department
Bluetooth
K dispozici pro: macOS Sierra 10.12.5
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7050: Min (Spark) Zheng ze společnosti Alibaba Inc.
CVE-2017-7051: Alex Plaskett ze společnosti MWR InfoSecurity
Bluetooth
K dispozici pro: macOS Sierra 10.12.5
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7054: Alex Plaskett ze společnosti MWR InfoSecurity, Lufeng Li z týmu Qihoo 360 Vulcan
Kontakty
K dispozici pro: macOS Sierra 10.12.5
Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
K dispozici pro: macOS Sierra 10.12.5
Dopad: Zpracování škodlivého filmového souboru může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením kontroly rozsahu.
CVE-2017-7008: Yangkang (@dnpushme) z týmu Qihoo 360 Qex
curl
K dispozici pro: macOS Sierra 10.12.5
Dopad: Několik problémů v knihovně curl.
Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 7.54.0.
CVE-2016-9586
CVE-2016-9594
CVE-2017-2629
CVE-2017-7468
Foundation
K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5
Dopad: Zpracování škodlivého souboru může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-7031: HappilyCoded (ant4g0nist a r3dsm0k3)
Import písem
K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5
Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-13850: John Villamil, Doyensec
Ovladač grafiky Intel
K dispozici pro: macOS Sierra 10.12.5
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7014: Lee ze skupiny Minionz, Axis a sss z týmu Qihoo 360 Nirvan
CVE-2017-7017: chenqin z Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7035: shrek_wzw z týmu Qihoo 360 Nirvan
CVE-2017-7044: shrek_wzw z týmu Qihoo 360 Nirvan
Ovladač grafiky Intel
K dispozici pro: macOS Sierra 10.12.5
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2017-7036: shrek_wzw z týmu Qihoo 360 Nirvan
CVE-2017-7045: shrek_wzw z týmu Qihoo 360 Nirvan
IOUSBFamily
K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7009: shrek_wzw z týmu Qihoo 360 Nirvan
Jádro
K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7022: anonymní výzkumník
CVE-2017-7024: anonymní výzkumník
Jádro
K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7023: anonymní výzkumník
Jádro
K dispozici pro: macOS Sierra 10.12.5
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7025: anonymní výzkumník
CVE-2017-7027: anonymní výzkumník
CVE-2017-7069: Proteas z týmu Qihoo 360 Nirvan
Jádro
K dispozici pro: macOS Sierra 10.12.5
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7026: anonymní výzkumník
Jádro
K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2017-7028: anonymní výzkumník
CVE-2017-7029: anonymní výzkumník
Jádro
K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2017-7067: shrek_wzw z týmu Qihoo 360 Nirvan
Nástroje kext
K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7032: Axis a sss z týmu Qihoo 360 Nirvan
libarchive
K dispozici pro: macOS Sierra 10.12.5
Dopad: Rozbalení škodlivého archivu může vést ke spuštění libovolného kódu.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.
CVE-2017-7068: nalezeno programem OSS-Fuzz
libxml2
K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5
Dopad: Parsování škodlivého XML dokumentu může vést k odhalení uživatelských informací.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2017-7010: Apple
CVE-2017-7013: nalezeno programem OSS-Fuzz
libxpc
K dispozici pro: macOS Sierra 10.12.5 a OS X El Capitan 10.11.6
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7047: Ian Beer z týmu Google Project Zero
Wi-Fi
K dispozici pro: macOS Sierra 10.12.5
Dopad: Útočníkovi v dosahu se může podařit spustit libovolný kód na čipu Wi-Fi.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7065: Gal Beniamini z týmu Google Project Zero
Wi-Fi
K dispozici pro: macOS Sierra 10.12.5
Dopad: Útočníkovi v dosahu se může podařit spustit libovolný kód na čipu Wi-Fi.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-9417: Nitay Artenstein ze společnosti Exodus Intelligence
Další poděkování
curl
Rádi bychom poděkovali za pomoc Davu Murdockovi ze společnosti Tangerine Element.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.