Om sikkerhedsindholdet i macOS Sierra 10.12.6, sikkerhedsopdatering 2017-003 El Capitan og sikkerhedsopdatering 2017-003 Yosemite

I dette dokument beskrives sikkerhedsindholdet i macOS Sierra 10.12.6, sikkerhedsopdatering 2017-003 El Capitan og sikkerhedsopdatering 2017-003 Yosemite.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

macOS Sierra 10.12.6, sikkerhedsopdatering 2017-003 El Capitan og sikkerhedsopdatering 2017-003 Yosemite

Udgivet 19. juli 2017

afclip

Fås til: macOS Sierra 10.12.5

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-7016: riusksk(泉哥) fra Tencent Security Platform Department

afclip

Fås til: macOS Sierra 10.12.5

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7033: riusksk(泉哥) fra Tencent Security Platform Department

AppleGraphicsPowerManagement

Fås til: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7021: sss og Axis fra Qihoo 360 Nirvan Team

Lyd

Fås til: macOS Sierra 10.12.5

Effekt: Behandling af et skadeligt lydarkiv kan medføre afsløring af beskyttet hukommelse

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7015: riusksk(泉哥) fra Tencent Security Platform Department

Bluetooth

Fås til: macOS Sierra 10.12.5

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7050: Min (Spark) Zheng fra Alibaba Inc.

CVE-2017-7051: Alex Plaskett fra MWR InfoSecurity

Bluetooth

Fås til: macOS Sierra 10.12.5

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7054: Alex Plaskett fra MWR InfoSecurity, Lufeng Li fra Qihoo 360 Vulcan Team

Kontakter

Fås til: macOS Sierra 10.12.5

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Fås til: macOS Sierra 10.12.5

Effekt: Behandling af et skadeligt filmarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse blev løst via forbedret kontrol af grænser.

CVE-2017-7008: Yangkang (@dnpushme) fra Qihoo 360 Qex Team

curl

Fås til: macOS Sierra 10.12.5

Effekt: Flere sikkerhedsproblemer i curl

Beskrivelse: Flere problemer blev løst ved at opdatere til version 7.54.0.

CVE-2016-9586

CVE-2016-9594

CVE-2017-2629

CVE-2017-7468

Foundation

Fås til: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Effekt: Behandling af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-7031: HappilyCoded (ant4g0nist og r3dsm0k3)

Font Importer

Fås til: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-13850: John Villamil, Doyensec

Post tilføjet 31. oktober 2017

Intel Graphics Driver

Fås til: macOS Sierra 10.12.5

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7014: Lee fra Minionz, Axis og sss fra Qihoo 360 Nirvan Team

CVE-2017-7017: chenqin fra Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7035: shrek_wzw fra Qihoo 360 Nirvan Team

CVE-2017-7044: shrek_wzw fra Qihoo 360 Nirvan Team

Intel Graphics Driver

Fås til: macOS Sierra 10.12.5

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2017-7036: shrek_wzw fra Qihoo 360 Nirvan Team

CVE-2017-7045: shrek_wzw fra Qihoo 360 Nirvan Team

IOUSBFamily

Fås til: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7009: shrek_wzw fra Qihoo 360 Nirvan Team

Kernel

Fås til: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7022: En anonym programmør

CVE-2017-7024: En anonym programmør

Kernel

Fås til: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7023: En anonym programmør

Kernel

Fås til: macOS Sierra 10.12.5

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7025: En anonym programmør

CVE-2017-7027: En anonym programmør

CVE-2017-7069: Proteas fra Qihoo 360 Nirvan Team

Kernel

Fås til: macOS Sierra 10.12.5

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7026: En anonym programmør

Kernel

Fås til: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2017-7028: En anonym programmør

CVE-2017-7029: En anonym programmør

Kernel

Fås til: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2017-7067: shrek_wzw fra Qihoo 360 Nirvan Team

kext-værktøjer

Fås til: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7032: Axis og sss fra Qihoo 360 Nirvan Team

libarchive

Fås til: macOS Sierra 10.12.5

Effekt: Udpakning af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.

CVE-2017-7068: Fundet af OSS-Fuzz

libxml2

Fås til: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2017-7010: Apple

CVE-2017-7013: Fundet af OSS-Fuzz

libxpc

Fås til: macOS Sierra 10.12.5 og OS X El Capitan 10.11.6

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7047: Ian Beer fra Google Project Zero

Wi-Fi

Fås til: macOS Sierra 10.12.5

Effekt: En hacker inden for rækkevidde kan muligvis køre vilkårlig kode på Wi-Fi-chippen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7065: Gal Beniamini fra Google Project Zero

Post tilføjet 25. september 2017

Wi-Fi

Fås til: macOS Sierra 10.12.5

Effekt: En hacker inden for rækkevidde kan muligvis køre vilkårlig kode på Wi-Fi-chippen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-9417: Nitay Artenstein fra Exodus Intelligence

macOS Sierra 10.12.6, sikkerhedsopdatering 2017-003 El Capitan og sikkerhedsopdatering 2017-003 Yosemite inkluderer sikkerhedsindholdet i Safari 10.1.2.

Yderligere anerkendelser

curl

Vi vil gerne takke Dave Murdock fra Tangerine Element for hjælpen.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: