Om sikkerhedsindholdet i macOS High Sierra 10.13.1, sikkerhedsopdatering 2017-001 Sierra og sikkerhedsopdatering 2017-004 El Capitan
Dette dokument beskriver sikkerhedsindholdet i macOS High Sierra 10.13.1, sikkerhedsopdatering 2017-001 Sierra og sikkerhedsopdatering 2017-004 El Capitan.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
macOS High Sierra 10.13.1, sikkerhedsopdatering 2017-001 Sierra og sikkerhedsopdatering 2017-004 El Capitan
apache
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Flere problemer i Apache
Beskrivelse: Flere problemer blev løst ved opdatering til version 2.4.27.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
CVE-2017-3167
CVE-2017-3169
CVE-2017-7659
CVE-2017-7668
CVE-2017-7679
CVE-2017-9788
CVE-2017-9789
APFS
Fås til: macOS High Sierra 10.13
Effekt: En skadelig Thunderbolt-adapter kan være i stand til at gendanne ikke-krypterede APFS-arkivsystemdata
Beskrivelse: Der opstod et problem ved håndteringen af DMA. Dette problem blev løst ved at begrænse den tid, hvor FileVault-dekrypteringsbuffere er tilknyttet DMA under I/O-handlingen.
CVE-2017-13786: Dmytro Oleksiuk
APFS
Fås til: macOS High Sierra 10.13
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-13800: Sergej Schumilo fra Ruhr-University Bochum
AppleScript
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Dekompilering af AppleScript med osadecompile kan medføre afvikling af vilkårlig kode
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2017-13809: bat0s
ATS
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-13820: John Villamil, Doyensec
Lyd
Fås til: macOS Sierra 10.12.6
Effekt: Parsing af et skadeligt QuickTime-arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.
CVE-2017-13807: Yangkang (@dnpushme) fra Qihoo 360 Qex Team
CFNetwork
Fås til: OS X El Capitan 10.11.6 og macOS Sierra 10.12.6
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-13829: Niklas Baumstark og Samuel Gro, der arbejder med Trend Micros Zero Day Initiative
CVE-2017-13833: Niklas Baumstark og Samuel Gro, der arbejder med Trend Micros Zero Day Initiative
CFString
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
CoreText
Fås til: OS X El Capitan 10.11.6 og macOS Sierra 10.12.6
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
curl
Fås til: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Effekt: Overførsel ved hjælp af TFTP til en skadelig URL-adresse med libcurl kan afsløre programhukommelse
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2017-1000100: Even Rouault, fundet af OSS-Fuzz
curl
Fås til: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Effekt: Behandling af en skadelig webadresse med libcurl kan forårsage en uventet programlukning eller aflæsning af proceshukommelsen
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2017-1000101: Brian Carpenter, Yongji Ouyang
Dictionary Widget
Fås til: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Effekt: Søgning efter indsat tekst i Dictionary-widgetten kan medføre afsløring af brugeroplysninger
Beskrivelse: Der var et valideringsproblem, som tillod adgang til lokale arkiver. Problemet er løst ved hjælp af rensning af input.
CVE-2017-13801: xisigr fra Tencents Xuanwu Lab (tencent.com)
file
Fås til: macOS Sierra 10.12.6
Effekt: Flere problemer i arkiv
Beskrivelse: Flere problemer blev løst ved opdatering til version 5.31.
CVE-2017-13815: fundet af OSS-Fuzz
Skrifter
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Gengivelse af ikke-godkendt tekst kan føre til spoofing
Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.
CVE-2017-13828: Leonard Grey og Robert Sesek fra Google Chrome
fsck_msdos
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-13811: V.E.O. (@VYSEa) fra Mobile Advanced Threat Team hos Trend Micro
HFS
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-13830: Sergej Schumilo fra Ruhr-Universität Bochum
Heimdal
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: En hacker med en privilegeret netværksposition kan muligvis give sig ud for at være en tjeneste
Beskrivelse: Der var et godkendelsesproblem ved behandling af tjenestenavnet KDC-REP. Dette problem blev rettet gennem forbedret validering.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni og Nico Williams
Hjælpfremviser
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Et HTML-arkiv i karantæne kan afvikle vilkårlig JavaScript fra flere kilder
Beskrivelse: Der var et problem med scripting på tværs af websteder i Hjælpfremviser. Problemet blev løst, ved at det berørte arkiv blev fjernet.
CVE-2017-13819: Filippo Cavallarin fra SecuriTeam Secure Disclosure
ImageIO
Fås til: macOS Sierra 10.12.6
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
ImageIO
Fås til: OS X El Capitan 10.11.6 og macOS Sierra 10.12.6
Effekt: Behandling af et skadeligt billede kan medføre et DoS-angreb
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-13831: Glen Carmichael
IOAcceleratorFamily
Fås til: macOS Sierra 10.12.6
Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-13906
Kernel
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger
Beskrivelse: Der var et problem med tilladelser i pakketællere til kernen. Problemet blev løst via forbedret validering af tilladelser.
CVE-2017-13810: Zhiyun Qian fra University of California, Riverside
Kernel
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: En lokal bruger kan læse kernehukommelsen
Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.
CVE-2017-13817: Maxime Villard (m00nbsd)
Kernel
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2017-13818: National Cyber Security Centre (NCSC) i Storbritannien
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Kevin Backhouse fra Semmle Ltd.
Kernel
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-13843: En anonym programmør, en anonym programmør
Kernel
Fås til: macOS Sierra 10.12.6
Effekt: Behandling af et forkert udformet binært systemarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2017-13834: Maxime Villard (m00nbsd)
Kernel
Fås til: macOS High Sierra 10.13, macOS Sierra 10.12.6
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-13799: Lufeng Li fra Qihoo 360 Vulcan Team
Kernel
Fås til: macOS High Sierra 10.13
Effekt: Et skadeligt program kan muligvis indhente oplysninger om tilstedeværelse og drift af andre programmer på enheden.
Beskrivelse: Et program fik ubegrænset adgang til procesoplysninger fra operativsystemet. Problemet blev løst ved hjælp af frekvensbegrænsning.
CVE-2017-13852: Xiaokuan Zhang og Yinqian Zhang fra Ohio State University, Xueqiang Wang og XiaoFeng Wang fra Indiana University Bloomington og Xiaolong Bai fra Tsinghua University
libarchive
Fås til: OS X El Capitan 10.11.6 og macOS Sierra 10.12.6
Effekt: Udpakning af et skadeligt arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med korruption af hukommelsen i libarchive. Problemerne er løst ved forbedret godkendelse af input.
CVE-2017-13813: Fundet af OSS-Fuzz
libarchive
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Udpakning af et skadeligt arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med korruption af hukommelsen i libarchive. Problemerne er løst ved forbedret godkendelse af input.
CVE-2017-13812: Fundet af OSS-Fuzz
libarchive
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2016-4736: Proteas fra Qihoo 360 Nirvan Team
libxml2
Fås til: OS X El Capitan 10.11.6 og macOS Sierra 10.12.6
Effekt: Behandlingen af skadeligt XML-indhold kan forårsage en uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: En reference til en null-pointer er rettet gennem forbedret validering.
CVE-2017-5969: Gustavo Grieco
libxml2
Fås til: OS X El Capitan 10.11.6
Effekt: Behandlingen af skadeligt XML-indhold kan forårsage en uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.
CVE-2017-5130: En anonym programmør
CVE-2017-7376: En anonym programmør
libxml2
Fås til: macOS Sierra 10.12.6
Effekt: Behandlingen af skadeligt XML-indhold kan forårsage en uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-9050: Mateusz Jurczyk (j00ru) fra Google Project Zero
libxml2
Fås til: macOS Sierra 10.12.6
Effekt: Behandlingen af skadeligt XML-indhold kan forårsage en uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2017-9049: Wei Lei og Liu Yang - Nanyang Technological University i Singapore
LinkPresentation
Fås til: macOS High Sierra 10.13
Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen
Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.
CVE-2018-4390: Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter
CVE-2018-4391: Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter
Log ind-vindue
Fås til: macOS High Sierra 10.13
Effekt: Skærmlåsen forbliver måske uventet ulåst
Beskrivelse: Der var et problem med tilstandsadministrering, som er løst ved forbedret tilstandsvalidering.
CVE-2017-13907: En anonym programmør
Open Scripting Architecture
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Dekompilering af AppleScript med osadecompile kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-13824: En anonym programmør
PCRE
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Flere problemer i pcre
Beskrivelse: Flere problemer blev løst ved opdatering til version 8.40.
CVE-2017-13846
Postfix
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Flere problemer i Postfix
Beskrivelse: Flere problemer blev løst ved opdatering til version 3.2.2.
CVE-2017-10140: En anonym programmør
Vis
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
Vis
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Parsing af et skadeligt Office-dokument kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
QuickTime
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2017-13823: Xiangkun Jia fra Institute of Software Chinese Academy of Sciences
Ekstern administration
Fås til: macOS Sierra 10.12.6
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-13808: En anonym programmør
Sandbox
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-13838: Alastair Houghton
Sikkerhed
Fås til: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2017-7170: Patrick Wardle fra Synack
Sikkerhed
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Et ondsindet program kan hente adgangskoder fra nøgleringen
Beskrivelse: Programmer kunne skaffe sig adgang til nøgleringen med et syntetisk klik. Problemet blev løst, ved at brugerens adgangskode blev krævet ved anmodning om adgang til nøgleringen.
CVE-2017-7150: Patrick Wardle fra Synack
SMB
Fås til: OS X El Capitan 10.11.6 og macOS Sierra 10.12.6
Effekt: En lokal hacker kan udføre ikke-eksekverbare tekstarkiver via et SMB-share
Beskrivelse: Et problem i håndtering af arkivtilladelser blev løst med forbedret validering.
CVE-2017-13908: En anonym programmør
StreamingZip
Fås til: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Effekt: Et skadelig zip-arkiv kan muligvis ændre begrænsede områder af arkivsystemet
Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.
CVE-2017-13804: @qwertyoruiopz på KJC Research Intl. S.R.L.
tcpdump
Fås til: macOS High Sierra 10.13, macOS Sierra 10.12.6
Effekt: Flere problemer i tcpdump
Beskrivelse: Flere problemer blev løst ved opdatering til version 4.9.2.
CVE-2017-11108
CVE-2017-11541
CVE-2017-11542
CVE-2017-11543
CVE-2017-12893
CVE-2017-12894
CVE-2017-12895
CVE-2017-12896
CVE-2017-12897
CVE-2017-12898
CVE-2017-12899
CVE-2017-12900
CVE-2017-12901
CVE-2017-12902
CVE-2017-12985
CVE-2017-12986
CVE-2017-12987
CVE-2017-12988
CVE-2017-12989
CVE-2017-12990
CVE-2017-12991
CVE-2017-12992
CVE-2017-12993
CVE-2017-12994
CVE-2017-12995
CVE-2017-12996
CVE-2017-12997
CVE-2017-12998
CVE-2017-12999
CVE-2017-13000
CVE-2017-13001
CVE-2017-13002
CVE-2017-13003
CVE-2017-13004
CVE-2017-13005
CVE-2017-13006
CVE-2017-13007
CVE-2017-13008
CVE-2017-13009
CVE-2017-13010
CVE-2017-13011
CVE-2017-13012
CVE-2017-13013
CVE-2017-13014
CVE-2017-13015
CVE-2017-13016
CVE-2017-13017
CVE-2017-13018
CVE-2017-13019
CVE-2017-13020
CVE-2017-13021
CVE-2017-13022
CVE-2017-13023
CVE-2017-13024
CVE-2017-13025
CVE-2017-13026
CVE-2017-13027
CVE-2017-13028
CVE-2017-13029
CVE-2017-13030
CVE-2017-13031
CVE-2017-13032
CVE-2017-13033
CVE-2017-13034
CVE-2017-13035
CVE-2017-13036
CVE-2017-13037
CVE-2017-13038
CVE-2017-13039
CVE-2017-13040
CVE-2017-13041
CVE-2017-13042
CVE-2017-13043
CVE-2017-13044
CVE-2017-13045
CVE-2017-13046
CVE-2017-13047
CVE-2017-13048
CVE-2017-13049
CVE-2017-13050
CVE-2017-13051
CVE-2017-13052
CVE-2017-13053
CVE-2017-13054
CVE-2017-13055
CVE-2017-13687
CVE-2017-13688
CVE-2017-13689
CVE-2017-13690
CVE-2017-13725
Wi-Fi
Fås til: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Effekt: En hacker inden for Wi-Fi-rækkevidde kan gennemtvinge genbrug af nonce i WPA unicast/PTK-klienter (Key Reinstallation Attacks – KRACK)
Beskrivelse: Der var et logikproblem i håndteringen af statusovergange. Det er løst ved hjælp af forbedret statusadministration.
CVE-2017-13077: Mathy Vanhoef fra imec-DistriNet-gruppen hos KU Leuven
CVE-2017-13078: Mathy Vanhoef fra imec-DistriNet-gruppen hos KU Leuven
Wi-Fi
Fås til: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Effekt: En hacker inden for Wi-Fi-rækkevidde kan gennemtvinge genbrug af nonce i WPA multicast/GTK-klienter (Key Reinstallation Attacks – KRACK)
Beskrivelse: Der var et logikproblem i håndteringen af statusovergange. Det er løst ved hjælp af forbedret statusadministration.
CVE-2017-13080: Mathy Vanhoef fra imec-DistriNet-gruppen hos KU Leuven
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.