Informationen zum Sicherheitsinhalt von macOS High Sierra 10.13
In diesem Dokument wird der Sicherheitsinhalt von macOS High Sierra 10.13 beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit. Deine Kommunikation mit Apple kannst du mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
macOS High Sierra 10.13
802.1X
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Angreifer kann Schwachstellen in TLS 1.0 ausnutzen
Beschreibung: Ein Problem mit der Protokollsicherheit wurde durch Aktivieren von TLS 1.1 und TLS 1.2 behoben.
CVE-2017-13832: Doug Wussler von der Florida State University
Apache
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Mehrere Probleme in Apache
Beschreibung: Apache wies mehrere Schwachstellen auf. Diese wurden durch das Update von Apache auf Version 2.4.25 behoben.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
Apple Accounteinstellungen
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein lokaler Angreifer kann Zugriff auf iCloud-Authentifizierungstoken erlangen
Beschreibung: Es bestand ein Problem bei der Speicherung von sensitiven Token. Das Problem wurde durch Platzieren der Token im Schlüsselbund behoben.
CVE-2017-13909: Andreas Nilsson
AppleScript
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Dekompilierung von AppleScript mit osadecompile kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-13809: bat0s
Programm-Firewall
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Eine zuvor abgelehnte Einstellung einer Programm-Firewall wird möglicherweise nach dem Upgrade wirksam
Beschreibung: Bei der Verarbeitung von Firewall-Einstellungen kam es zu einem Aktualisierungsproblem. Dieses Problem wurde durch eine verbesserte Verarbeitung von Firewall-Einstellungen während Aktualisierungsvorgängen behoben.
CVE-2017-7084: Ein anonymer Forscher
AppSandbox
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann einen Denial-of-Service verursachen
Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7074: Daniel Jalkut von Red Sweater Software
ATS
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-13820: John Villamil, Doyensec
Audio
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Analyse einer in schadhaften QuickTime-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13807: Yangkang (@dnpushme) vom Qihoo 360 Qex Team
Captive Network Assistant
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein lokaler Benutzer kann ein Passwort unwissentlich unverschlüsselt über das Netzwerk senden
Beschreibung: Der Browser für das Captive Portal war nicht erkennbar sicher. Dieses Problem wurde durch verbesserte Sichtbarkeit des Sicherheitszustands des Browsers für das Captive Portal behoben.
CVE-2017-7143: Matthew Green von der Johns Hopkins University
CFNetwork
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13829: Niklas Baumstark und Samuel Groß in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-13833: Niklas Baumstark und Samuel Groß in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CFNetwork-Proxys
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Angreifer an einer privilegierten Netzwerkposition kann einen Denial-of-Service verursachen
Beschreibung: Mehrere Denial-of-Service-Probleme wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7083: Abhinav Bansal von Zscaler Inc.
CFString
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
CoreAudio
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen
Beschreibung: Ein Lesevorgang außerhalb der Speicherbegrenzungen wurde durch Aktualisieren auf die Opus-Version 1.1.4 behoben.
CVE-2017-0381: V.E.O (@VYSEa) vom Mobile Threat Research Team, Trend Micro
CoreText
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung von willkürlichem Code führen.
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
CoreTypes
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Webseite kann zur Aktivierung eines Disk-Image führen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2017-13890: Apple, Theodor Ragnar Gislason von Syndis
DesktopServices
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein lokaler Angreifer kann ungeschützte Benutzerdaten ausspähen.
Beschreibung: Es bestand ein Problem mit dem Zugriff auf bestimmte Dateien im Benutzerordner. Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.
CVE-2017-13851: Henrique Correa de Amorim
Verzeichnisdienste
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein lokaler Angreifer kann die Apple-ID des Computereigentümers ermitteln
Beschreibung: Bei der Verarbeitung der Apple-ID bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch eine verbesserte Zugriffssteuerung behoben.
CVE-2017-7138: Daniel Kvak von der Masaryk University
file
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Mehrere Probleme in file
Beschreibung: Mehrere Probleme wurden durch das Update auf Version 5.30 behoben.
CVE-2017-7121: Gefunden von OSS-Fuzz
CVE-2017-7122: Gefunden von OSS-Fuzz
CVE-2017-7123: Gefunden von OSS-Fuzz
CVE-2017-7124: Gefunden von OSS-Fuzz
CVE-2017-7125: Gefunden von OSS-Fuzz
CVE-2017-7126: Gefunden von OSS-Fuzz
file
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Mehrere Probleme in file
Beschreibung: Mehrere Probleme wurden durch ein Update auf Version 5.31 behoben.
CVE-2017-13815
Fonts
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Das Rendern von nicht vertrauenswürdigem Text kann zu Spoofing führen
Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-13828: Leonard Grey und Robert Sesek von Google Chrome
fsck_msdos
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13811: V.E.O (@VYSEa) vom Mobile Advanced Threat Team, Trend Micro
fsck_msdos
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann willkürlichen Code mit erhöhten Benutzerrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13835: Ein anonymer Forscher
Heimdal
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Angreifer an einer privilegierten Netzwerkposition kann die Identität eines Diensts annehmen
Beschreibung: Bei der Verarbeitung des KDC-REP-Dienstnamens bestand ein Validierungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni und Nico Williams
Help Viewer
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Eine unter Quarantäne gestellte HTML-Datei kann willkürlichen JavaScript-Code von verschiedenen Quellen ausführen
Beschreibung: In Help Viewer gab es mehrere Cross-Site-Scripting-Probleme. Dieses Problem wurde durch Entfernen der betroffenen Datei behoben.
CVE-2017-13819: Filippo Cavallarin von SecuriTeam Secure Disclosure
HFS
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13830: Sergej Schumilo von der Ruhr-Universität Bochum
ImageIO
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
ImageIO
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-13831: Glen Carmichael
Installationsprogramm
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Schadprogramm kann auf den Schlüssel zum Entsperren von FileVault zugreifen
Beschreibung: Dieses Problem wurde durch das Entfernen zusätzlicher Berechtigungen behoben.
CVE-2017-13837: Patrick Wardle von Synack
IOAcceleratorFamily
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13906
IOFireWireFamily
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7077: Brandon Azad
IOFireWireFamily
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng von Alibaba Inc., Benjamin Gnahm (@mitp0sh) von PDX
Kernel
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7114: Alex Plaskett von MWR InfoSecurity
Kernel
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein lokaler Nutzer kann vertrauliche Benutzerdaten preisgeben
Beschreibung: In Zählern für Kernel-Pakete trat ein Problem mit den Berechtigungen auf. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.
CVE-2017-13810: Zhiyun Qian von der University of California, Riverside
Kernel
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein lokaler Benutzer kann den Kernel-Speicher auslesen
Beschreibung: Es bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dies führte dazu, dass Inhalte des Kernelspeichers offengelegt wurden. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-13817: Maxime Villard (m00nbsd)
Kernel
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-13818: Britisches National Cyber Security Centre (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Kevin Backhouse von Semmle Ltd.
Kernel
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13843: Ein anonymer Forscher, ein anonymer Forscher
Kernel
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13854: shrek_wzw vom Qihoo 360 Nirvan Team
Kernel
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Verarbeitung einer fehlerhaft erstellten Mach-Binärdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.
CVE-2017-13834: Maxime Villard (m00nbsd)
Kernel
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Schadprogramm kann Informationen zur Installation und Ausführung von anderen Programmen auf dem Gerät auslesen.
Beschreibung: Ein Programm hatte unbeschränkten Zugriff auf Informationen zur Netzwerkaktivität des Betriebssystems. Das Problem wurde behoben, indem der Zugang zu Informationen für Drittanbieterprogramme eingeschränkt wurde.
CVE-2017-13873: Xiaokuan Zhang und Yinqian Zhang von der Ohio State University, Xueqiang Wang und Xiaofeng Wang von der Indiana University Bloomington und Xiaolong Bai von der Tsinghua University
kext tools
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein logischer Fehler beim Laden von kext wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-2017-13827: Ein anonymer Forscher
libarchive
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13813: Gefunden von OSS-Fuzz
CVE-2017-13816: Gefunden von OSS-Fuzz
libarchive
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen
Beschreibung: In libarchive kam es zu mehreren Speicherfehlern. Diese Probleme wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-13812: Gefunden von OSS-Fuzz
libarchive
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2016-4736: Ein anonymer Forscher
libc
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service verursachen
Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung in glob() durch einen verbesserten Algorithmus behoben.
CVE-2017-7086: Russ Cox von Google
libc
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann einen Denial-of-Service verursachen
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-1000373
libexpat
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Mehrere Probleme in expat
Beschreibung: Mehrere Probleme wurden durch das Update auf Version 2.2.1 behoben.
CVE-2016-9063
CVE-2017-9233
libxml2
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Überprüfung behoben.
CVE-2018-4302: Gustavo Grieco
libxml2
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-5130: Ein anonymer Forscher
CVE-2017-7376: Ein anonymer Forscher
libxml2
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-9050: Mateusz Jurczyk (j00ru) von Google Project Zero
libxml2
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten XML-Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-9049: Wei Lei und Liu Yang - Nanyang Technological University in Singapur
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Der Absender einer E-Mail kann die IP-Adresse des Empfängers ermitteln
Beschreibung: Das Deaktivieren von "Entfernte Inhalte in Nachrichten laden" wurde nicht auf alle Postfächer angewendet. Dieses Problem wurde durch eine verbesserte Propagierung von Einstellungen behoben.
CVE-2017-7141: John Whitehead von The New York Times
E-Mail-Entwürfe
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Angreifer mit privilegierter Netzwerkposition kann ggf. E-Mail-Inhalte abfangen
Beschreibung: Bei der Verarbeitung von E-Mail-Entwürfen bestand ein Verschlüsselungsproblem. Dieses Problem wurde durch eine verbesserte Verarbeitung von E-Mail-Anhängen behoben, die verschlüsselt werden sollten.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE aus Marseille (Frankreich), ein anonymer Forscher
ntp
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Mehrere Probleme in ntp
Beschreibung: Mehrere Probleme wurden durch das Update auf Version 4.2.8p10 behoben
CVE-2017-6451: Cure53
CVE-2017-6452: Cure53
CVE-2017-6455: Cure53
CVE-2017-6458: Cure53
CVE-2017-6459: Cure53
CVE-2017-6460: Cure53
CVE-2017-6462: Cure53
CVE-2017-6463: Cure53
CVE-2017-6464: Cure53
CVE-2016-9042: Matthew Van Gundy von Cisco
Open Scripting Architecture
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Dekompilierung von AppleScript mit osadecompile kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13824: Ein anonymer Forscher
PCRE
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Mehrere Probleme in pcre
Beschreibung: Mehrere Probleme wurden durch ein Update auf Version 8.40 behoben.
CVE-2017-13846
Postfix
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Mehrere Probleme in Postfix
Beschreibung: Mehrere Probleme wurden durch ein Update auf Version 3.2.2 behoben.
CVE-2017-10140: Ein anonymer Forscher
Übersicht
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
Übersicht
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Die Analyse eines in böser Absicht erstellten Office-Dokuments kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
QuickTime
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-13823: Xiangkun Jia vom Institute of Software der Chinese Academy of Sciences
Entfernte Verwaltung
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13808: Ein anonymer Forscher
Sandbox
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-13838: Alastair Houghton
Bildschirmsperre
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Aufforderungen der Programm-Firewall werden über dem Anmeldefenster angezeigt
Beschreibung: Ein Fensterverwaltungsproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-7082: Tim Kingman
Sicherheit
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Einem widerrufenen Zertifikat wird möglicherweise vertraut
Beschreibung: Bei der Verarbeitung von Widerrufsdaten bestand ein Problem bei der Überprüfung von Zertifikaten. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.
CVE-2017-7080: Sven Driemecker von der adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) von Bærum kommune, ein anonymer Forscher, ein anonymer Forscher
SMB
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein lokaler Angreifer könnte nicht ausführbare Textdateien über eine SMB-Freigabe ausführen
Beschreibung: Ein Problem im Umgang mit Zugriffsrechten wurde durch verbesserte Validierung beseitigt.
CVE-2017-13908: Ein anonymer Forscher
Spotlight
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Spotlight kann Ergebnisse für Dateien anzeigen, die nicht dem Benutzer gehören
Beschreibung: In Spotlight kam es zu einem Zugriffsproblem. Dieses Problem wurde durch verbesserte Zugriffsbeschränkungen behoben.
CVE-2017-13839: Ken Harris von Free Robot Collective
Spotlight
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Eine Anwendung kann möglicherweise auf zugriffsbeschränkte Dateien zugreifen
Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen für Anwendungen behoben.
CVE-2017-13910
SQLite
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Mehrere Probleme in SQLite
Beschreibung: Mehrere Probleme wurden durch ein Update auf Version 3.19.3 behoben.
CVE-2017-10989: Gefunden von OSS-Fuzz
CVE-2017-7128: Gefunden von OSS-Fuzz
CVE-2017-7129: Gefunden von OSS-Fuzz
CVE-2017-7130: Gefunden von OSS-Fuzz
SQLite
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7127: Ein anonymer Forscher
zlib
Verfügbar für: OS X Mountain Lion 10.8 und neuer
Auswirkung: Mehrere Probleme in zlib
Beschreibung: Mehrere Probleme wurden durch ein Update auf Version 1.2.11 behoben.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Zusätzliche Danksagung
Wir möchten uns bei Jon Bottarini von HackerOne für die Unterstützung bedanken.
Sicherheit
Wir danken Abhinav Bansal von Zscaler, Inc. für die Unterstützung.
NSWindow
Wir danken Trent Apted vom Google Chrome-Team für seine Unterstützung.
WebKit Web Inspector
Wir danken Ioan Bizău von Bloggify für seine Unterstützung.
Zusätzliches Update für macOS High Sierra 10.13
Neue Downloads von macOS High Sierra 10.13 beinhalten den Sicherheitsinhalt des Zusatzupdates für macOS High Sierra 10.13.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.