Om sikkerhedsindholdet i macOS Sierra 10.12.4, sikkerhedsopdatering 2017-001 El Capitan og sikkerhedsopdatering 2017-001 Yosemite

I dette dokument beskrives sikkerhedsindholdet i macOS Sierra 10.12.4, sikkerhedsopdatering 2017-001 El Capitan og sikkerhedsopdatering 2017-001 Yosemite.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

macOS Sierra 10.12.4, sikkerhedsopdatering 2017-001 El Capitan og sikkerhedsopdatering 2017-001 Yosemite

Udgivet 27. marts 2017

apache

Fås til: macOS Sierra 10.12.3

Effekt: En ekstern hacker kan muligvis fremkalde denial of service

Beskrivelse: Der var flere problemer i Apache-versioner før 2.4.25. Disse blev løst ved at opdatere Apache til version 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Post opdateret 28. marts 2017

apache_mod_php

Fås til: macOS Sierra 10.12.3

Effekt: Der var flere problemer i PHP-versioner før 5.6.30

Beskrivelse: Der var flere problemer i PHP-versioner før 5.6.30. Disse er løst ved opdatering af PHP til version 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Fås til: macOS Sierra 10.12.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst via forbedret hukommelseshåndtering.

CVE-2017-2421: @cocoahuke

AppleRAID

Fås til: macOS Sierra 10.12.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2438: sss og Axis fra 360Nirvanteam

Lyd

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2430: En anonym programmør, der arbejder for Trend Micros Zero Day Initiative

CVE-2017-2462: En anonym programmør, der arbejder for Trend Micros Zero Day Initiative

Bluetooth

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa og Marko Laakso fra Synopsys Software Integrity Group

Bluetooth

Fås til: macOS Sierra 10.12.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2427: Axis og sss fra Qihoo 360 Nirvan Team

Bluetooth

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2449: sss og Axis fra 360NirvanTeam

Carbon

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af et skadeligt .dfont-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et bufferoverløb ved behandlingen af skriftarkiver. Problemet er løst via forbedret kontrol af grænser.

CVE-2017-2379: riusksk (泉哥) fra Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)

Beskrivelse: En uendelig rekursion blev løst via forbedret statusadministration.

CVE-2017-2417: riusksk (泉哥) fra Tencent Security Platform Department

CoreMedia

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af et skadeligt .mov-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af .mov-arkiver. Problemet er løst ved forbedret hukommelsesstyring.

CVE-2017-2431: kimyok fra Tencent Security Platform Department

CoreText

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af en skadelig sms kan medføre anvendelse af DoS (Denial of Service)

Beskrivelse: Et problem med opbrugte ressourcer blev rettet gennem forbedret inputvalidering.

CVE-2017-2461: Isaac Archambault fra IDAoADI, en anonym programmør

curl

Fås til: macOS Sierra 10.12.3

Effekt: Skadeligt brugerinput i libcurl-API'en kan tillade kørsel af vilkårlig kode

Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.

CVE-2016-9586: Daniel Stenberg fra Mozilla

EFI

Fås til: macOS Sierra 10.12.3

Effekt: En skadelig Thunderbolt-adapter kan være i stand til at hente krypteringsadgangskoden til FileVault 2

Beskrivelse: Der opstod et problem ved håndteringen af DMA. Problemet er løst ved at aktivere VT-d i EFI.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

Fås til: macOS Sierra 10.12.3

Effekt: Tilladelser kan uventet nulstilles ved afsendelse af links

Beskrivelse: Der var et problem med tilladelser ved håndteringen af funktionen Send link i iCloud-deling. Dette problem blev løst via forbedret kontrol af tilladelser.

CVE-2017-2429: Raymond Wong DO fra Arnot Ogden Medical Center

Post opdateret 23. august 2017

FontParser

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2017-2487: riusksk (泉哥) fra Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) fra Tencent Security Platform Department

FontParser

Fås til: macOS Sierra 10.12.3

Effekt: Parsing af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2017-2407: riusksk (泉哥) fra Tencent Security Platform Department

FontParser

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2017-2439: John Villamil, Doyensec

FontParser

Fås til: OS X El Capitan v10.11.6 og OS X Yosemite v10.10.5

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode 

Beskrivelse: Der var et bufferoverløb ved behandlingen af skriftarkiver. Problemet er løst via forbedret kontrol af grænser.

CVE-2016-4688: Simon Huang fra Alipay company

Post tilføjet 11. april 2017

HTTPProtocol

Fås til: macOS Sierra 10.12.3

Effekt: En skadelig HTTP/2-server kan være årsag til udefineret adfærd

Beskrivelse: Der var flere problemer i nghttp2-versioner før 1.17.0. Disse blev løst ved at opdatere nghttp2 til version 1.17.0.

CVE-2017-2428

Post opdateret 28. marts 2017

Hypervisor

Fås til: macOS Sierra 10.12.3

Effekt: Programmer, der bruger frameworket Hypervisor, kan uventet lække CR8-kontrolregisteret mellem gæst og vært

Beskrivelse: Et problem med lækage af information blev løst ved forbedret statusadministration.

CVE-2017-2418: Alex Fishman og Izik Eidus fra Veertu Inc.

iBooks

Fås til: macOS Sierra 10.12.3

Effekt: Parsing af et skadeligt iBooks-arkiv kan medføre lokal afsløring af arkiver

Beskrivelse: Der var et problem med lækage af information i håndteringen af arkiv-URL-adresser. Problemet er løst ved forbedret behandling af URL-adresser.

CVE-2017-2426: Craig Arendt fra Stratum Security, Jun Kokatsu (@shhnjk)

ImageIO

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) fra KeenLab, Tencent

ImageIO

Fås til: macOS Sierra 10.12.3, OS X El Capitan v10.11.6 og OS X Yosemite v10.10.5

Effekt: Visning af et skadeligt JPEG-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2432: En anonym programmør, der arbejder for Trend Micros Zero Day Initiative

ImageIO

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2467

ImageIO

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af et skadeligt billede kan medføre pludselig programlukning

Beskrivelse: Der var et out-of-bounds-læseproblem i LibTIFF-versioner før 4.0.7. Problemet er løst ved opdatering af LibTIFF i ImageIO til version 4.0.7.

CVE-2016-3619

Intel Graphics Driver

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder 

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2443: Ian Beer fra Google Project Zero

Intel Graphics Driver

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis afsløre kernehukommelsen

Beskrivelse: Et godkendelsesproblem blev løst ved hjælp af forbedret rensning af input.

CVE-2017-2489: Ian Beer fra Google Project Zero

Post tilføjet 31. marts 2017

IOATAFamily

Fås til: macOS Sierra 10.12.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2408: Yangkang (@dnpushme) fra Qihoo360 Qex Team

IOFireWireAVC

Fås til: macOS Sierra 10.12.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2436: Orr A, IBM Security

IOFireWireAVC

Fås til: macOS Sierra 10.12.3

Effekt: En lokal hacker kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) fra Blue Frost Security

IOFireWireFamily

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis medføre et Denial of Service-angreb

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2017-2388: Brandon Azad, en anonym programmør

Kernel

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2398: Lufeng Li fra Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li fra Qihoo 360 Vulcan Team

Kernel

Fås til: macOS Sierra 10.12.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med godkendelse af input i kernen. Problemet er løst ved forbedret godkendelse af input.

CVE-2017-2410: Apple

Kernel

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2017-2440: En anonym programmør

Kernel

Fås til: macOS Sierra 10.12.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder

Beskrivelse: En konkurrencetilstand er løst via forbedret hukommelseshåndtering.

CVE-2017-2456: lokihardt fra Google Project Zero

Kernel

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2472: Ian Beer fra Google Project Zero

Kernel

Fås til: macOS Sierra 10.12.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2473: Ian Beer fra Google Project Zero

Kernel

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et off-by-one-problem er løst via forbedret kontrol af grænser.

CVE-2017-2474: Ian Beer fra Google Project Zero

Kernel

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En race condition er løst ved forbedret låsning.

CVE-2017-2478: Ian Beer fra Google Project Zero

Kernel

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.

CVE-2017-2482: Ian Beer fra Google Project Zero

CVE-2017-2483: Ian Beer fra Google Project Zero

Kernel

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis køre vilkårlig kode med hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2490: Ian Beer fra Google Project Zero, Englands National Cyber Security Centre (NCSC)

Post tilføjet 31. marts 2017

Kernel

Fås til: macOS Sierra 10.12.3

Effekt: Skærmen kan uventet forblive ulåst, når låget lukkes

Beskrivelse: Et problem med utilstrækkelig låsning blev løst ved forbedret statusadministration.

CVE-2017-7070: Ed McKenzie

Post tilføjet 10. august 2017

Tastaturer

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan køre vilkårlig kode

Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.

CVE-2017-2458: Shashank (@cyberboyIndia)

Nøglering

Fås til: macOS Sierra 10.12.3

Effekt: En hacker, som er i stand til at opsnappe TLS-forbindelser, kan være i stand til hemmeligt at læse beskyttet iCloud-nøglering.

Beskrivelse: iCloud-nøglering kunne ikke godkende OTR-pakkers autenticitet under visse omstændigheder. Problemet er løst ved forbedret godkendelse.

CVE-2017-2448: Alex Radocea fra Longterm Security, Inc.

Post opdateret 30. marts 2017

libarchive

Fås til: macOS Sierra 10.12.3

Effekt: En lokal hacker kan ændre arkivsystemtilladelser for vilkårlige biblioteker

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2017-2390: Omer Medan fra enSilo Ltd

libc++abi

Fås til: macOS Sierra 10.12.3

Effekt: Demangling af et skadeligt C++-program kan medføre kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2441

LibreSSL

Fås til: macOS Sierra 10.12.3 og OS X El Capitan v10.11.6

Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger

Beskrivelse: En timingsidekanal gjorde det muligt for en hacker at hente nøgler. Problemet er løst ved at introducere konstant tidsberegning.

CVE-2016-7056: Cesar Pereida García og Billy Brumley (Tampere University of Technology)

libxslt

Fås til: OS X El Capitan v10.11.6

Effekt: Flere sikkerhedsrisici i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2477

Post tilføjet 30. marts 2017

libxslt

Fås til: macOS Sierra 10.12.3, OS X El Capitan v10.11.6 og Yosemite v10.10.5

Effekt: Flere sikkerhedsrisici i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-5029: Holger Fuhrmannek

Post tilføjet 28. marts 2017

MCX Client

Fås til: macOS Sierra 10.12.3

Effekt: Godkendelse af Active Directory-certifikat fjernes muligvis ikke ved fjernelse af en konfigurationsprofil med flere enheder

Beskrivelse: Der var et problem med afinstallering af profiler. Problemet blev løst via forbedret oprydning.

CVE-2017-2402: En anonym programmør

Menuer

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis afsløre proceshukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

Fås til: macOS Sierra 10.12.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2422: @cocoahuke

OpenSSH

Fås til: macOS Sierra 10.12.3

Effekt: Flere problemer i OpenSSH

Beskrivelse: Der var flere problemer i OpenSSH før version 7.4. Disse er løst ved opdatering af OpenSSH til version 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Fås til: macOS Sierra 10.12.3

Effekt: En lokal bruger kan forårsage, at der lækkes følsomme brugeroplysninger

Beskrivelse: Et problem med en timingsidekanal blev løst ved at bruge konstant tidsberegning.

CVE-2016-7056: Cesar Pereida García og Billy Brumley (Tampere University of Technology)

Udskrivning

Fås til: macOS Sierra 10.12.3

Effekt: Klik på et skadeligt IPP(S)-link kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med en streng med ukontrolleret format er løst ved forbedret inputvalidering.

CVE-2017-2403: beist fra GrayHash

python

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af skadelige zip-arkiver med Python kan føre til kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse i behandlingen af zip-arkiver. Problemet er løst ved forbedret godkendelse af input.

CVE-2016-5636

QuickTime

Fås til: macOS Sierra 10.12.3

Effekt: Visning af et skadeligt mediearkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse i QuickTime. Problemet er løst ved forbedret håndtering af hukommelsen.

CVE-2017-2413: Simon Huang(@HuangShaomang) og pjf fra IceSword Lab fra Qihoo 360

Sikkerhed

Fås til: macOS Sierra 10.12.3

Effekt: Validering af tomme signaturer med SecKeyRawVerify() kan uventet gennemføres

Beskrivelse: Der var et valideringsproblem med kryptografiske API-kald. Problemet er løst ved forbedret godkendelse af parametre.

CVE-2017-2423: En anonym programmør

Sikkerhed

Fås til: macOS Sierra 10.12.3

Effekt: Et program kan muligvis køre en vilkårlig kode med rodrettigheder

Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.

CVE-2017-2451: Alex Radocea fra Longterm Security, Inc.

Sikkerhed

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af et skadeligt x509-certifikatarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af certifikater. Problemet er løst ved forbedret godkendelse af input.

CVE-2017-2485: Aleksandar Nikolic fra Cisco Talos

SecurityFoundation

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af et skadeligt certifikatarkiv kan medføre kørsel af vilkårlig kode.

Beskrivelse: Et double free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2425: kimyok fra Tencent Security Platform Department

sudo

Fås til: macOS Sierra 10.12.3

Effekt: En bruger i en gruppe ved navn "admin" på en netværksbiblioteksserver kan uventet eskalere rettigheder ved hjælp af sudo

Beskrivelse: Der var et adgangsproblem i sudo. Problemet er løst via forbedret kontrol af tilladelser.

CVE-2017-2381

Beskyttelse af systemets integritet

Fås til: macOS Sierra 10.12.3

Effekt: Et skadeligt program kan muligvis ændre beskyttede diskplaceringer

Beskrivelse: Der var et godkendelsesproblem i håndteringen af systeminstallation. Problemet er løst ved forbedret håndtering og godkendelse under installationsprocessen.

CVE-2017-6974: Patrick Wardle fra Synack

tcpdump

Fås til: macOS Sierra 10.12.3

Effekt: En hacker i en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode med brugerassistance

Beskrivelse: Der var flere problemer i tcpdump-versioner før 4.9.0. Disse er løst ved opdatering af tcpdump til version 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Fås til: macOS Sierra 10.12.3

Effekt: Behandling af et skadeligt billede kan medføre pludselig programlukning

Beskrivelse: Der var et out-of-bounds-læseproblem i LibTIFF-versioner før 4.0.7. Problemet er løst ved opdatering af LibTIFF i AKCmds til version 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

macOS Sierra 10.12.4, sikkerhedsopdatering 2017-001 El Capitan og sikkerhedsopdatering 2017-001 Yosemite inkluderer sikkerhedsindholdet i Safari 10.1.

Yderligere anerkendelser

XNU

Vi vil gerne takke Lufeng Li fra Qihoo 360 Vulcan Team for dennes assistance.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: