Om sikkerhedsindholdet i macOS Sierra 10.12.5, sikkerhedsopdatering 2017-002 El Capitan og sikkerhedsopdatering 2017-002 Yosemite
I dette dokument beskrives sikkerhedsindholdet i macOS Sierra 10.12.5, sikkerhedsopdatering 2017-002 El Capitan og sikkerhedsopdatering 2017-002 Yosemite.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
macOS Sierra 10.12.5, sikkerhedsopdatering 2017-002 El Capitan og sikkerhedsopdatering 2017-002 Yosemite
802.1X
Fås til: macOS Sierra 10.12.4
Effekt: Et skadeligt netværk med 802.1X-godkendelse kan registrere legitimationsoplysninger til brugernetværk
Beskrivelse: Der var et problem med certifikatgodkendelse i EAP-TLS, når et certifikat blev ændret. Problemet er løst ved forbedret certifikatgodkendelse.
CVE-2017-6988: Tim Cappalli fra Aruba, der er en Hewlett Packard Enterprise-virksomhed
Tilgængelighedsframework
Fås til: macOS Sierra 10.12.4
Effekt: Et program kan få adgang til systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-6978: Ian Beer fra Google Project Zero
CoreAnimation
Fås til: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Effekt: Behandling af skadelige data kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med hukommelsesforbrug, som er løst ved forbedret hukommelseshåndtering.
CVE-2017-2527: Ian Beer fra Google Project Zero
CoreAudio
Fås til: macOS Sierra 10.12.4
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2017-2502: Yangkang (@dnpushme) fra Qihoo360 Qex Team
CoreFoundation
Fås til: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Effekt: Parsing af skadelige data kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2522: Ian Beer fra Google Project Zero
CoreText
Fås til: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Effekt: Behandling af et skadeligt arkiv kan medføre programlukning
Beskrivelse: Et problem med afvisning af service blev rettet gennem forbedret validering.
CVE-2017-7003: Jake Davis fra SPYSCAPE (@DoubleJake)
DiskArbitration
Fås til: macOS Sierra 10.12.4 og OS X El Capitan 10.11.6
Effekt: Et program kan få adgang til systemrettigheder
Beskrivelse: En race condition er løst med yderligere begrænsninger af arkivsystemet.
CVE-2017-2533: Samuel Groß og Niklas Baumstark, der arbejder med Trend Micros Zero Day Initiative
Foundation
Fås til: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Effekt: Parsing af skadelige data kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2523: Ian Beer fra Google Project Zero
HFS
Fås til: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2017-6990: Chaitin Security Research Lab (@ChaitinTech), der arbejder med Trend Micros Zero Day Initiative
iBooks
Fås til: macOS Sierra 10.12.4
Effekt: En skadelig bog kan åbne vilkårlige websteder uden brugertilladelse
Beskrivelse: Et problem med behandling af URL-adresser er løst via forbedret statusadministration.
CVE-2017-2497: Jun Kokatsu (@shhnjk)
iBooks
Fås til: macOS Sierra 10.12.4
Effekt: Et program kan muligvis køre en vilkårlig kode med rodrettigheder
Beskrivelse: Der var et problem med stigodkendelseslogikken for symbolske links. Problemet blev løst via forbedret stirensning.
CVE-2017-6981: evi1m0 fra YSRC (sec.ly.com)
iBooks
Fås til: macOS Sierra 10.12.4
Effekt: Et program kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-6986: evi1m0 fra YSRC (sec.ly.com) og Heige (SuperHei) fra Knownsec 404 Security Team
Intel Graphics Driver
Fås til: macOS Sierra 10.12.4
Effekt: Et program kan muligvis få adgang til kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2503: sss og Axis fra Qihoo 360 Nirvan Team
IOGraphics
Fås til: macOS Sierra 10.12.4
Effekt: Et program kan muligvis få adgang til kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2545: 360 Security (@mj0011sec), der arbejder med Trend Micros Zero Day Initiative
IOSurface
Fås til: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Effekt: Et program kan muligvis få adgang til kernerettigheder
Beskrivelse: En race condition er løst ved forbedret låsning.
CVE-2017-6979: Adam Donenfeld (@doadam) fra Zimperium zLabs Team
Kernel
Fås til: macOS Sierra 10.12.4
Effekt: Et program kan muligvis få adgang til kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2494: Jann Horn fra Google Project Zero
Kernel
Fås til: macOS Sierra 10.12.4
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: En race condition er løst ved forbedret låsning.
CVE-2017-2501: Ian Beer fra Google Project Zero
Kernel
Fås til: macOS Sierra 10.12.4
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2017-2507: Ian Beer fra Google Project Zero
CVE-2017-2509: Jann Horn fra Google Project Zero
CVE-2017-6987: Patrick Wardle fra Synack
Kernel
Fås til: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2017-2516: Jann Horn fra Google Project Zero
Kernel
Fås til: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Effekt: Et program kan muligvis få adgang til kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2546: Chaitin Security Research Lab (@ChaitinTech), der arbejder med Trend Micros Zero Day Initiative
Multi-Touch
Fås til: macOS Sierra 10.12.4
Effekt: Et program kan muligvis få adgang til kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2542: 360 Security (@mj0011sec), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-2543: 360 Security (@mj0011sec), der arbejder med Trend Micros Zero Day Initiative
NVIDIA-grafikkortdrivere
Fås til: macOS Sierra 10.12.4
Effekt: Et program kan muligvis få adgang til kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-6985: Axis og sss fra Qihoo 360 Nirvan Team og Simon Huang (@HuangShaomang) fra Qihoo 360 IceSword Lab
Sandbox
Fås til: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Effekt: Et program kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2512: Federico Bento fra Faculty of Sciences, University of Porto
Sikkerhed
Fås til: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Effekt: Et program kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Et problem med opbrugte ressourcer blev rettet gennem forbedret inputvalidering.
CVE-2017-2535: Samuel Groß og Niklas Baumstark, der arbejder med Trend Micros Zero Day Initiative
Taleframework
Fås til: macOS Sierra 10.12.4
Effekt: Et program kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Et adgangsproblem er løst via yderligere sandboxbegrænsninger.
CVE-2017-2534: Samuel Groß og Niklas Baumstark, der arbejder med Trend Micros Zero Day Initiative
Taleframework
Fås til: macOS Sierra 10.12.4
Effekt: Et program kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-6977: Samuel Groß og Niklas Baumstark, der arbejder med Trend Micros Zero Day Initiative
SQLite
Fås til: macOS Sierra 10.12.4
Effekt: En skadelig SQL-forespørgsel kan medføre kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2017-2513: Fundet af OSS-Fuzz
SQLite
Fås til: macOS Sierra 10.12.4
Effekt: En skadelig SQL-forespørgsel kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.
CVE-2017-2518: Fundet af OSS-Fuzz
CVE-2017-2520: Fundet af OSS-Fuzz
SQLite
Fås til: macOS Sierra 10.12.4
Effekt: En skadelig SQL-forespørgsel kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2519: Fundet af OSS-Fuzz
SQLite
Fås til: macOS Sierra 10.12.4
Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-6983: Chaitin Security Research Lab (@ChaitinTech), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-6991: Chaitin Security Research Lab (@ChaitinTech), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-7000: Chaitin Security Research Lab (@ChaitinTech), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-7001: Chaitin Security Research Lab (@ChaitinTech), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-7002: Chaitin Security Research Lab (@ChaitinTech), der arbejder med Trend Micros Zero Day Initiative
TextInput
Fås til: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Effekt: Parsing af skadelige data kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2524: Ian Beer fra Google Project Zero
WindowServer
Fås til: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Effekt: Et program kan få adgang til systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2537: Chaitin Security Research Lab (@ChaitinTech), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-2541: Richard Zhu (fluorescence), der arbejder med Trend Micros Zero Day Initiative
CVE-2017-2548: Team Sniper (Keen Lab og PC Mgr), der arbejder med Trend Micros Zero Day Initiative
WindowServer
Fås til: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2017-2540: Richard Zhu (fluorescence), der arbejder med Trend Micros Zero Day Initiative
Yderligere anerkendelser
Kernel
Vi vil gerne takke Jann Horn fra Google Project Zero for dennes assistance.
CFNetwork
Vi vil gerne takke Samuel Groß og Niklas Baumstark, som arbejder med Trend Micros Zero Day Initiative, for deres assistance.
Sikkerhed
Vi vil gerne takke Ian Beer fra Google Project Zero for dennes assistance.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.