Informace o bezpečnostním obsahu macOS Sierra 10.12.6, bezpečnostní aktualizace 2017-003 pro El Capitan a bezpečnostní aktualizace 2017-003 pro Yosemite

Tento dokument popisuje bezpečnostní obsah macOS Sierra 10.12.6, bezpečnostní aktualizace 2017-003 pro El Capitan a bezpečnostní aktualizace 2017-003 pro Yosemite.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Podrobnější informace o zabezpečení najdete na této stránce. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.

Pokud je to možné, bezpečnostní dokumenty Apple se na bezpečnostní slabiny odkazují prostřednictvím identifikátorů CVE-ID.

macOS Sierra 10.12.6, bezpečnostní aktualizace 2017-003 pro El Capitan a bezpečnostní aktualizace 2017-003 pro Yosemite

Vydáno 19. července 2017

afclip

K dispozici pro: macOS Sierra 10.12.5

Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-7016: riusksk (泉哥) z Tencent Security Platform Department

afclip

K dispozici pro: macOS Sierra 10.12.5

Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7033: riusksk (泉哥) z Tencent Security Platform Department

AppleGraphicsPowerManagement

K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7021: sss a Axis z týmu Qihoo 360 Nirvan

Zvuk

K dispozici pro: macOS Sierra 10.12.5

Dopad: Zpracování škodlivého zvukového souboru může odhalit obsah vyhrazené paměti.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7015: riusksk (泉哥) z Tencent Security Platform Department

Bluetooth

K dispozici pro: macOS Sierra 10.12.5

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7050: Min (Spark) Zheng ze společnosti Alibaba Inc.

CVE-2017-7051: Alex Plaskett ze společnosti MWR InfoSecurity

Bluetooth

K dispozici pro: macOS Sierra 10.12.5

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7054: Alex Plaskett ze společnosti MWR InfoSecurity, Lufeng Li z týmu Qihoo 360 Vulcan

Kontakty

K dispozici pro: macOS Sierra 10.12.5

Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

K dispozici pro: macOS Sierra 10.12.5

Dopad: Zpracování škodlivého filmového souboru může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením kontroly rozsahu.

CVE-2017-7008: Yangkang (@dnpushme) z týmu Qihoo 360 Qex

curl

K dispozici pro: macOS Sierra 10.12.5

Dopad: Několik problémů v knihovně curl.

Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 7.54.0.

CVE-2016-9586

CVE-2016-9594

CVE-2017-2629

CVE-2017-7468

Foundation

K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5

Dopad: Zpracování škodlivého souboru může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-7031: HappilyCoded (ant4g0nist a r3dsm0k3)

Import písem

K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5

Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-13850: John Villamil, Doyensec

Záznam přidán 31. října 2017

Ovladač grafiky Intel

K dispozici pro: macOS Sierra 10.12.5

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7014: Lee ze skupiny Minionz, Axis a sss z týmu Qihoo 360 Nirvan

CVE-2017-7017: chenqin z Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7035: shrek_wzw z týmu Qihoo 360 Nirvan

CVE-2017-7044: shrek_wzw z týmu Qihoo 360 Nirvan

Ovladač grafiky Intel

K dispozici pro: macOS Sierra 10.12.5

Dopad: Aplikaci se může podařit číst vyhrazenou paměť.

Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.

CVE-2017-7036: shrek_wzw z týmu Qihoo 360 Nirvan

CVE-2017-7045: shrek_wzw z týmu Qihoo 360 Nirvan

IOUSBFamily

K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7009: shrek_wzw z týmu Qihoo 360 Nirvan

Jádro

K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7022: anonymní výzkumník

CVE-2017-7024: anonymní výzkumník

Jádro

K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7023: anonymní výzkumník

Jádro

K dispozici pro: macOS Sierra 10.12.5

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7025: anonymní výzkumník

CVE-2017-7027: anonymní výzkumník

CVE-2017-7069: Proteas z týmu Qihoo 360 Nirvan

Jádro

K dispozici pro: macOS Sierra 10.12.5

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7026: anonymní výzkumník

Jádro

K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5

Dopad: Aplikaci se může podařit číst vyhrazenou paměť.

Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.

CVE-2017-7028: anonymní výzkumník

CVE-2017-7029: anonymní výzkumník

Jádro

K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5

Dopad: Aplikaci se může podařit číst vyhrazenou paměť.

Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.

CVE-2017-7067: shrek_wzw z týmu Qihoo 360 Nirvan

Nástroje kext

K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7032: Axis a sss z týmu Qihoo 360 Nirvan

libarchive

K dispozici pro: macOS Sierra 10.12.5

Dopad: Rozbalení škodlivého archivu může vést ke spuštění libovolného kódu.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.

CVE-2017-7068: nalezeno programem OSS-Fuzz

libxml2

K dispozici pro: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 a OS X Yosemite 10.10.5

Dopad: Parsování škodlivého XML dokumentu může vést k odhalení uživatelských informací.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2017-7010: Apple

CVE-2017-7013: nalezeno programem OSS-Fuzz

libxpc

K dispozici pro: macOS Sierra 10.12.5 a OS X El Capitan 10.11.6

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7047: Ian Beer z týmu Google Project Zero

Wi-Fi

K dispozici pro: macOS Sierra 10.12.5

Dopad: Útočníkovi v dosahu se může podařit spustit libovolný kód na čipu Wi-Fi.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7065: Gal Beniamini z týmu Google Project Zero

Záznam přidán 25. září 2017

Wi-Fi

K dispozici pro: macOS Sierra 10.12.5

Dopad: Útočníkovi v dosahu se může podařit spustit libovolný kód na čipu Wi-Fi.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-9417: Nitay Artenstein ze společnosti Exodus Intelligence

macOS Sierra 10.12.6, bezpečnostní aktualizace 2017-003 pro El Capitan a bezpečnostní aktualizace 2017-003 pro Yosemite zahrnují bezpečnostní obsah Safari 10.1.2.

Další poděkování

curl

Rádi bychom poděkovali za pomoc Davu Murdockovi ze společnosti Tangerine Element.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: