Informace o bezpečnostním obsahu macOS Sierry 10.12.4, bezpečnostní aktualizaci 2017-001 pro El Capitan a bezpečnostní aktualizaci 2017-001 pro Yosemite

Tento dokument popisuje bezpečnostní obsah macOS Sierry 10.12.4, bezpečnostní aktualizaci 2017-001 pro El Capitan a bezpečnostní aktualizaci 2017-001 pro Yosemite.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Podrobnější informace o zabezpečení najdete na této stránce. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.

Pokud je to možné, bezpečnostní dokumenty Apple se na bezpečnostní slabiny odkazují prostřednictvím identifikátorů CVE-ID.

macOS Sierra 10.12.4, bezpečnostní aktualizace 2017-001 pro El Capitan a bezpečnostní aktualizace 2017-001 pro Yosemite

Vydáno 27. března 2017

apache

K dispozici pro: macOS Sierra 10.12.3

Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.

Popis: V softwaru Apache starší verze než 2.4.25 existovalo několik problémů. Ty byly vyřešeny aktualizací softwaru Apache na verzi 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Záznam aktualizován 28. března 2017

apache_mod_php

K dispozici pro: macOS Sierra 10.12.3

Dopad: V PHP starší verze než 5.6.30 existovalo několik problémů.

Popis: V PHP starší verze než 5.6.30 existovalo několik problémů. Ty byly vyřešeny aktualizací PHP na verzi 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

K dispozici pro: macOS Sierra 10.12.3

Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém se souběhem byl vyřešen vylepšením správy paměti.

CVE-2017-2421: @cocoahuke

AppleRAID

K dispozici pro: macOS Sierra 10.12.3

Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2017-2438: sss a Axis z týmu 360 Nirvan

Zvuk

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2430: anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro

CVE-2017-2462: anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro

Bluetooth

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa a Marko Laakso ze společnosti Synopsys Software Integrity Group

Bluetooth

K dispozici pro: macOS Sierra 10.12.3

Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-2427: Axis a sss z týmu Qihoo 360 Nirvan

Bluetooth

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2017-2449: sss a Axis z týmu 360 Nirvan

Carbon

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého souboru .dfont může vést ke spuštění libovolného kódu.

Popis: Ve zpracování souborů písem existoval problém s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2017-2379: riusksk(泉哥) z Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služby.

Popis: Nekonečná rekurze byla vyřešena vylepšením správy stavu.

CVE-2017-2417: riusksk(泉哥) z oddělení Tencent Security Platform Department

CoreMedia

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého souboru .mov může vést ke spuštění libovolného kódu.

Popis: Ve zpracování souborů .mov existoval problém s poškozením paměti. Tento problém byl vyřešen vylepšením správy paměti.

CVE-2017-2431: kimyok z Tencent Security Platform Department

CoreText

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2435: John Villamil, Doyensec

CoreText

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2450: John Villamil, Doyensec

CoreText

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracovávání škodlivé textové zprávy může vést k útoku typu odmítnutí služby vedeném na aplikaci.

Popis: Problém s vyčerpáním prostředků byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2461: Isaac Archambault z IDAoADI, anonymní výzkumník

curl

K dispozici pro: macOS Sierra 10.12.3

Dopad: Škodlivý uživatelský vstup do API libcurl může umožňovat spuštění libovolného kódu.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.

CVE-2016-9586: Daniel Stenberg ze společnosti Mozilla

EFI

K dispozici pro: macOS Sierra 10.12.3

Dopad: Škodlivému adaptéru Thunderbolt se může podařit obnovit heslo šifrování FileVault 2.

Popis: Existoval problém ve zpracování DMA. Tento problém byl vyřešen zapnutím režimu VT-d ve firmwaru EFI.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

K dispozici pro: macOS Sierra 10.12.3

Dopad: Při posílání odkazů se můžou neočekávaně obnovit oprávnění.

Popis: Ve zpracování funkce Poslat odkaz při Sdílení na iCloudu existoval problém s oprávněním. Tento problém byl vyřešen vylepšením kontroly oprávnění.

CVE-2017-2429: Raymond Wong DO ze společnosti Arnot Ogden Medical Center

Záznam aktualizován 23. srpna 2017

FontParser

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.

CVE-2017-2487: riusksk(泉哥) z oddělení Tencent Security Platform Department

CVE-2017-2406: riusksk(泉哥) z oddělení Tencent Security Platform Department

FontParser

K dispozici pro: macOS Sierra 10.12.3

Dopad: Parsování škodlivého souboru písma může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.

CVE-2017-2407: riusksk(泉哥) z oddělení Tencent Security Platform Department

FontParser

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2439: John Villamil, Doyensec

FontParser

K dispozici pro: OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5

Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.

Popis: Ve zpracování souborů písem existoval problém s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2016-4688: Simon Huang ze společnosti Alipay

Záznam přidán 11. dubna 2017

HTTPProtocol

K dispozici pro: macOS Sierra 10.12.3

Dopad: Škodlivému serveru HTTP/2 se může podařit způsobit nedefinované chování.

Popis: V knihovně nghttp2 starší verze než 1.17.0 existovalo několik problémů. Tyto problémy byly vyřešeny aktualizací knihovny nghttp2 na verzi 1.17.0.

CVE-2017-2428

Záznam aktualizován 28. března 2017

Hypervisor

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikace používající framework Hypervisor můžou neočekávaně způsobit únik informací z kontrolního registru CR8 mezi hostem a hostitelem.

Popis: Problém s únikem informací byl vyřešen vylepšením správy stavu.

CVE-2017-2418: Alex Fishman a Izik Eidus z Veertu Inc.

iBooks

K dispozici pro: macOS Sierra 10.12.3

Dopad: Parsování škodlivého souboru iBooks může vést k odhalení místního souboru.

Popis: Ve zpracování URL adres souborů existoval únik informací. Problém byl vyřešen vylepšením zpracování URL adres.

CVE-2017-2426: Craig Arendt ze společnosti Stratum Security, Jun Kokatsu (@shhnjk)

ImageIO

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) z KeenLab, Tencent

ImageIO

K dispozici pro: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5

Dopad: Zobrazení škodlivého souboru JPEG může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2432: anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro

ImageIO

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2467

ImageIO

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého obrázku může vést k neočekávanému ukončení aplikace.

Popis: Ve verzích knihovny LibTIFF starších než 4.0.7 existoval problém se čtením mimo rozsah. Tento problém byl vyřešen aktualizací knihovny LibTIFF ve třídě ImageIO na verzi 4.0.7.

CVE-2016-3619

Ovladač grafiky Intel

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru. 

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2443: Ian Beer z týmu Google Project Zero

Ovladač grafiky Intel

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.

Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.

CVE-2017-2489: Ian Beer z týmu Google Project Zero

Záznam přidán 31. března 2017

IOATAFamily

K dispozici pro: macOS Sierra 10.12.3

Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-2408: Yangkang (@dnpushme) z týmu Qihoo360 Qex

IOFireWireAVC

K dispozici pro: macOS Sierra 10.12.3

Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2436: Orr A, IBM Security

IOFireWireAVC

K dispozici pro: macOS Sierra 10.12.3

Dopad: Místnímu útočníkovi se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) ze společnosti Blue Frost Security

IOFireWireFamily

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Přístup přes nulový ukazatel byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2388: Brandon Azad, anonymní výzkumník

Jádro

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2398: Lufeng Li z týmu Qihoo 360 Vulcan

CVE-2017-2401: Lufeng Li z týmu Qihoo 360 Vulcan

Jádro

K dispozici pro: macOS Sierra 10.12.3

Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: V jádru existoval problém s ověřováním vstupů. Tento problém byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2410: Apple

Jádro

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Přetečení celých čísel bylo vyřešeno vylepšením ověřování vstupů.

CVE-2017-2440: anonymní výzkumník

Jádro

K dispozici pro: macOS Sierra 10.12.3

Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s kořenovými oprávněnými.

Popis: Problém se souběhem byl vyřešen vylepšením správy paměti.

CVE-2017-2456: lokihardt z týmu Google Project Zero

Jádro

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2017-2472: Ian Beer z týmu Google Project Zero

Jádro

K dispozici pro: macOS Sierra 10.12.3

Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2473: Ian Beer z týmu Google Project Zero

Jádro

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Chyba spočívající v použití hodnoty o jednotku menší nebo větší byla vyřešena vylepšením kontroly rozsahu.

CVE-2017-2474: Ian Beer z týmu Google Project Zero

Jádro

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém se souběhem byl vyřešen vylepšením zamykání.

CVE-2017-2478: Ian Beer z týmu Google Project Zero

Jádro

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.

CVE-2017-2482: Ian Beer z týmu Google Project Zero

CVE-2017-2483: Ian Beer z týmu Google Project Zero

Jádro

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit spustit libovolný kód s navýšenými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-2490: Ian Beer z týmu Google Project Zero, Národní centrum Spojeného království pro kyberbezpečnost (NCSC)

Záznam přidán 31. března 2017

Jádro

K dispozici pro: macOS Sierra 10.12.3

Dopad: Obrazovka může po zavření víka nečekaně zůstat odemčená.

Popis: Problém s nedostatečným zamykáním byl vyřešen vylepšením správy stavu.

CVE-2017-7070: Ed McKenzie

Záznam přidán 10. srpna 2017

Klávesnice

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit spustit libovolný kód.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.

CVE-2017-2458: Shashank (@cyberboyIndia)

Klíčenka

K dispozici pro: macOS Sierra 10.12.3

Dopad: Útočníkovi, který dokáže zachytávat TLS spojení, se může podařit číst tajné informace chráněné Klíčenkou na iCloudu.

Popis: Klíčenka na iCloudu v některých případech neověřovala pravost paketů OTR. Problém byl vyřešen vylepšením ověřování.

CVE-2017-2448: Alex Radocea ze společnosti Longterm Security, Inc.

Záznam aktualizován 30. března 2017

libarchive

K dispozici pro: macOS Sierra 10.12.3

Dopad: Místnímu útočníkovi se může podařit změnit oprávnění souborového systému u libovolných adresářů.

Popis: Ve zpracování symbolických odkazů existoval problém s ověřováním. Problém byl vyřešen vylepšením ověřování symbolických odkazů.

CVE-2017-2390: Omer Medan z enSilo Ltd

libc++abi

K dispozici pro: macOS Sierra 10.12.3

Dopad: Dekódování názvů funkcí škodlivé aplikace v C++ může vést ke spuštění libovolného kódu.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2017-2441

LibreSSL

K dispozici pro: macOS Sierra 10.12.3 a OS X El Capitan v10.11.6

Dopad: Místnímu uživateli se může podařit odhalit citlivá uživatelská data.

Popis: Útok časovou analýzou pomocí postranního kanálu útočníkovi umožňoval obnovit klíče. Tento problém byl vyřešen zavedením neustálých časových výpočtů.

CVE-2016-7056: Cesar Pereida García a Billy Brumley (Tampere University of Technology)

libxslt

K dispozici pro: OS X El Capitan 10.11.6

Dopad: Několik bezpečnostních slabin v knihovně libxslt.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2017-2477

Záznam přidán 30. března 2017

libxslt

K dispozici pro: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5

Dopad: Několik bezpečnostních slabin v knihovně libxslt.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2017-5029: Holger Fuhrmannek

Záznam přidán 28. března 2017

Klient MCX

K dispozici pro: macOS Sierra 10.12.3

Dopad: Odstranění konfiguračního profilu s několika datovými částmi nemusí odstranit důvěryhodnost certifikátu Active Directory.

Popis: V odinstalaci profilu existoval problém. Tento problém byl vyřešen vylepšením čištění.

CVE-2017-2402: anonymní výzkumník

Nabídky

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit odhalit obsah procesní paměti.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2409: Sergej Bylochov

Multi-Touch

K dispozici pro: macOS Sierra 10.12.3

Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-2422: @cocoahuke

OpenSSH

K dispozici pro: macOS Sierra 10.12.3

Dopad: Několik problémů v OpenSSH

Popis: V OpenSSH starší verze než 7.4 existovalo několik problémů. Ty byly vyřešeny aktualizací OpenSSH na verzi 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

K dispozici pro: macOS Sierra 10.12.3

Dopad: Místnímu uživateli se může podařit odhalit citlivá uživatelská data.

Popis: Problém s útokem časovou analýzou pomocí postranního kanálu byl vyřešen zavedením neustálých časových výpočtů.

CVE-2016-7056: Cesar Pereida García a Billy Brumley (Tampere University of Technology)

Tisk

K dispozici pro: macOS Sierra 10.12.3

Dopad: Kliknutí na škodlivý odkaz IPP(S) může vést ke spuštění libovolného kódu.

Popis: Problém s nekontrolovaným formátovacím řetězcem byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2403: beist of GrayHash

Python

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého archivu zip pomocí Pythonu může vést ke spuštění libovolného kódu.

Popis: Ve zpracování archivů zip existoval problém s poškozením paměti. Tento problém byl vyřešen vylepšením ověřování vstupů.

CVE-2016-5636

QuickTime

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zobrazení škodlivého mediálního souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: V QuickTimu docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

CVE-2017-2413: Simon Huang(@HuangShaomang) a pjf z týmu IceSword Lab společnosti Qihoo 360

Zabezpečení

K dispozici pro: macOS Sierra 10.12.3

Dopad: Může neočekávaně uspět ověřování prázdných podpisů s funkcí SecKeyRawVerify().

Popis: Existoval problém s ověřováním volání kryptografického API. Tento problém byl vyřešen vylepšením ověřování parametrů.

CVE-2017-2423: anonymní výzkumník

Zabezpečení

K dispozici pro: macOS Sierra 10.12.3

Dopad: Aplikaci se může podařit spustit libovolný kód s kořenovými oprávněními.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.

CVE-2017-2451: Alex Radocea ze společnosti Longterm Security, Inc.

Zabezpečení

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého certifikátu x509 může vést ke spuštění libovolného kódu.

Popis: Při parsování certifikátů docházelo k problému s poškozením paměti. Tento problém byl vyřešen vylepšením ověřování vstupů.

CVE-2017-2485: Aleksandar Nikolic z týmu Cisco Talos

SecurityFoundation

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého certifikátu může vést ke spuštění libovolného kódu.

Popis: Problém s dvojitým použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2017-2425: kimyok z Tencent Security Platform Department

sudo

K dispozici pro: macOS Sierra 10.12.3

Dopad: Uživateli se jménem „admin“ ve skupině v síťovém adresáři se může podařit neočekávaně zvýšit oprávnění příkazem sudo.

Popis: V příkazu sudo existoval problém s přístupem. Problém byl vyřešen vylepšením kontroly oprávnění.

CVE-2017-2381

Ochrana integrity systému

K dispozici pro: macOS Sierra 10.12.3

Dopad: Škodlivé aplikaci se může podařit změnit umístění chráněných disků.

Popis: Ve zpracování instalace systému existoval problém s ověřováním. Tento problém byl vyřešen vylepšením zpracování a ověřování při procesu instalace.

CVE-2017-6974: Patrick Wardle ze společnosti Synack

tcpdump

K dispozici pro: macOS Sierra 10.12.3

Dopad: Útočníkovi s vysokými oprávněními v síti se může s pomocí uživatele podařit spustit libovolný kód.

Popis: V softwaru tcpdump starší verze než 4.9.0 existovalo několik problémů. Ty byly vyřešeny aktualizací softwaru tcpdump na verzi 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

K dispozici pro: macOS Sierra 10.12.3

Dopad: Zpracování škodlivého obrázku může vést k neočekávanému ukončení aplikace.

Popis: Ve verzích knihovny LibTIFF starších než 4.0.7 existoval problém se čtením mimo rozsah. Tento problém byl vyřešen aktualizací knihovny LibTIFF v součásti AKCmds na verzi 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

macOS Sierra 10.12.4, bezpečnostní aktualizace 2017-001 pro El Capitan a bezpečnostní aktualizace 2017-001 pro Yosemite zahrnují bezpečnostní obsah Safari 10.1.

Další poděkování

XNU

Poděkování za pomoc si zaslouží Lufeng Li z týmu Qihoo 360 Vulcan.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: