Informationen zum Sicherheitsinhalt von macOS Sierra 10.12.4, zum Sicherheitsupdate 2017-001 El Capitan und zum Sicherheitsupdate 2017-001 Yosemite

In diesem Dokument werden der Sicherheitsinhalt von macOS Sierra 10.12.4, das Sicherheitsupdate 2017-001 El Capitan und das Sicherheitsupdate 2017-001 Yosemite beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

macOS Sierra 10.12.4, Sicherheitsupdate 2017-001 El Capitan und Sicherheitsupdate 2017-001 Yosemite

Veröffentlicht am 27. März 2017

Apache

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein entfernter Angreifer kann einen Denial-of-Service-Angriff verursachen

Beschreibung: Apache wies in den Versionen vor 2.4.25 mehrere Schwachstellen auf. Diese wurden durch Aktualisierung von Apache auf Version 2.4.25 behoben.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Eintrag am 28. März 2017 aktualisiert

apache_mod_php

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: PHP wies in den Versionen vor 5.6.30 mehrere Schwachstellen auf

Beschreibung: PHP wies in den Versionen vor 5.6.30 mehrere Schwachstellen auf. Diese wurden durch Aktualisierung von PHP auf Version 5.6.30 behoben.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Eine Race-Bedingung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2421: @cocoahuke

AppleRAID

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2438: sss und Axis vom 360Nirvanteam

Audio

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2430: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2462: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Bluetooth

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa und Marko Laakso von Synopsys Software Integrity Group

Bluetooth

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2427: Axis und sss vom Qihoo 360 Nirvan Team

Bluetooth

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2449: sss und Axis vom 360NirvanTeam

Carbon

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten DFONT-Datei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von Schriftdateien kam es zu einem Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2379: riusksk (泉哥) vom Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zu einem Denial-of-Service führen

Beschreibung: Die unendliche Rekursion wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2417: riusksk (泉哥) vom Tencent Security Platform Department

CoreMedia

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten MOV-Datei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von MOV-Dateien gab es einen Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2431: kimyok vom Tencent Security Platform Department

CoreText

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textnachricht kann zu einem Denial-of-Service des Programms führen

Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung behoben, indem eine bessere Eingabeüberprüfung erfolgt.

CVE-2017-2461: Isaac Archambault von IDAoADI, ein anonymer Forscher

curl

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Eine in böser Absicht erstellte Benutzereingabe in der libcurl-API kann die Ausführung willkürlichen Codes zulassen

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2016-9586: Daniel Stenberg von Mozilla

EFI

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein schädlicher Thunderbolt-Adapter kann möglicherweise das FileVault 2-Verschlüsselungspasswort wiederherstellen

Beschreibung: Bei der DMA-Verarbeitung trat ein Problem auf. Dieses Problem wurde durch die Aktivierung von VT-d in EFI behoben.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Berechtigungen werden möglicherweise durch das Senden von Links zurückgesetzt

Beschreibung: Es bestand ein Zugriffsproblem bei der Verarbeitung der Funktion "Link senden" der iCloud-Freigabe. Dieses Problem wurde durch verbesserte Berechtigungskontrollen behoben.

CVE-2017-2429

FontParser

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2487: riusksk (泉哥) vom Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) vom Tencent Security Platform Department

FontParser

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2407: riusksk (泉哥) vom Tencent Security Platform Department

FontParser

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2439: John Villamil, Doyensec

FontParser

Verfügbar für: OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Ausführung willkürlichen Codes führen 

Beschreibung: Bei der Verarbeitung von Schriftdateien kam es zu einem Pufferüberlauf. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2016-4688: Simon Huang vom Unternehmen Alipay

Eintrag hinzugefügt am 11. April 2017

HTTPProtocol

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein manipulierter HTTP/2-Server kann undefiniertes Verhalten auslösen

Beschreibung: nghttp2 wies in den Versionen vor 1.17.0 mehrere Schwachstellen auf. Diese wurden durch Aktualisierung von nghttp2 auf Version 1.17.0 behoben.

CVE-2017-2428

Eintrag am 28. März 2017 aktualisiert

Hypervisor

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Programme, die das Hypervisor-Framework nutzen, geben möglicherweise das CR8-Kontrollregister zwischen Gast und Host preis

Beschreibung: Ein Problem mit der Preisgabe von Informationen wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2418: Alex Fishman und Izik Eidus von Veertu Inc.

iBooks

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Durch Analyse einer in böser Absicht erstellten iBooks-Datei können lokale Dateien offengelegt werden

Beschreibung: Bei der Verarbeitung von Datei-URLs gab es ein Datenleck. Dieses Problem wurde durch eine verbesserte URL-Verarbeitung behoben.

CVE-2017-2426: Craig Arendt von Stratum Security, Jun Kokatsu (@shhnjk)

ImageIO

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Bilddatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) von KeenLab, Tencent

ImageIO

Verfügbar für: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Das Anzeigen einer in böser Absicht erstellten JPEG-Datei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2432: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

ImageIO

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2467

ImageIO

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zu einem unerwarteten Programmabbruch führen

Beschreibung: In den LibTIFF-Versionen vor Version 4.0.7 erfolgte ein Out-of-Bound-Lesevorgang. Dieses Problem wurde durch Aktualisieren von LibTIFF in ImageIO auf Version 4.0.7 behoben.

CVE-2016-3619

Intel-Grafiktreiber

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen 

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2443: Ian Beer vom Google Project Zero

Intel-Grafiktreiber

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Der Kernelspeicher kann von einem Programm offengelegt werden

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-2489: Ian Beer von Google Project Zero

Eintrag am 31. März 2017 hinzugefügt

IOATAFamily

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2408: Yangkang (@dnpushme) vom Qihoo360 Qex Team

IOFireWireAVC

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2436: Orr A, IBM Security

IOFireWireAVC

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein lokaler Angreifer kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) von Blue Frost Security

IOFireWireFamily

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Programm kann einen Denial-of-Service verursachen

Beschreibung: Ein Problem mit einem Rückverweis auf einen Nullzeiger wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2388: Brandon Azad, ein anonymer Forscher

Kernel

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2398: Lufeng Li vom Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li vom Qihoo 360 Vulcan Team

Kernel

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Im Kernel bestand ein Problem mit der Eingabeüberprüfung. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2410: Apple

Kernel

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Ganzzahl-Überlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2440: Ein anonymer Forscher

Kernel

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Root-Rechten ausführen

Beschreibung: Eine Race-Bedingung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2456: lokihardt von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2472: Ian Beer von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2473: Ian Beer von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem vom Typ "off-by-one" wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2474: Ian Beer von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2017-2478: Ian Beer von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2482: Ian Beer von Google Project Zero

CVE-2017-2483: Ian Beer von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Programm kann willkürlichen Code mit erhöhten Benutzerrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2490: Ian Beer von Google Project Zero, Britisches National Cyber Security Centre (NCSC)

Eintrag am 31. März 2017 hinzugefügt

Kernel 

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Der Bildschirm kann unerwartet entsperrt bleiben, wenn der Deckel geschlossen ist

Beschreibung: Ein Problem mit einer unzureichenden Sperrung wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7070: Ed McKenzie

Eintrag am 10. August 2017 hinzugefügt

Tastaturen

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Programm kann willkürlichen Code ausführen

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2458: Shashank (@cyberboyIndia)

Schlüsselbund

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Angreifer, der in der Lage ist, TLS-Verbindungen abzufangen, kann möglicherweise durch den iCloud-Schlüsselbund geschützte Informationen lesen.

Beschreibung: Unter bestimmten Umständen konnte der iCloud-Schlüsselbund die Echtheit von OTR-Paketen nicht überprüfen. Dieses Problem wurde durch eine verbesserte Überprüfung behoben.

CVE-2017-2448: Alex Radocea von Longterm Security, Inc.

Eintrag am 30. März 2017 aktualisiert

libarchive

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein lokaler Angreifer kann die Dateisystemberechtigungen für willkürliche Verzeichnisse ändern

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung von Symlinks behoben.

CVE-2017-2390: Omer Medan von enSilo Ltd

libc++abi

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Das Demangling eines schädlichen C++-Programms kann zur Ausführung willkürlichen Codes führen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2441

LibreSSL

Verfügbar für: macOS Sierra 10.12.3 und OS X El Capitan 10.11.6

Auswirkung: Ein lokaler Nutzer kann vertrauliche Benutzerdaten preisgeben

Beschreibung: Ein Timing-Nebenkanal ermöglichte es einem Angreifer, Schlüssel wiederherzustellen. Dieses Problem wurde durch die Einführung permanenter Zeitberechnungen behoben.

CVE-2016-7056: Cesar Pereida García und Billy Brumley (Tampere University of Technology)

libxslt

Verfügbar für: OS X El Capitan 10.11.6

Auswirkung: Mehrere Schwachstellen in libxslt

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2477

Eintrag am 30. März 2017 hinzugefügt

libxslt

Verfügbar für: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 und Yosemite 10.10.5

Auswirkung: Mehrere Schwachstellen in libxslt

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-5029: Holger Fuhrmannek

Eintrag am 28. März 2017 hinzugefügt

MCX Client

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Durch das Entfernen eines Konfigurationsprofils mit mehreren Payloads wird möglicherweise nicht das vertrauenswürdige Zertifikat für Active Directory entfernt

Beschreibung: Es bestand ein Problem bei der Profildeinstallation. Dieses Problem wurde durch eine verbesserte Bereinigung behoben.

CVE-2017-2402: Ein anonymer Forscher

Menüs

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Durch ein Programm kann Prozessspeicher offengelegt werden

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2422: @cocoahuke

OpenSSH

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Mehrere Probleme in OpenSSH

Beschreibung: OpenSSH wies in den Versionen vor 7.4. mehrere Schwachstellen auf. Diese wurden durch Aktualisierung von OpenSSH auf Version 7.4 behoben.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein lokaler Nutzer kann vertrauliche Benutzerdaten preisgeben

Beschreibung: Ein Problem mit einem Timing-Nebenkanal wurde durch die Nutzung permanenter Zeitberechnungen behoben.

CVE-2016-7056: Cesar Pereida García und Billy Brumley (Tampere University of Technology)

Drucken

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Das Klicken auf einen manipulierten IPP(S)-Link kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem unkontrollierten Formatstring wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2403: beist von GrayHash

Python

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung von in böser Absicht erstellten ZIP-Archiven mit Python kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Verarbeitung von ZIP-Archiven kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2016-5636

QuickTime

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Das Öffnen einer in böser Absicht erstellten Mediendatei kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen

Beschreibung: In QuickTime bestand ein Speicherfehler. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2413: Simon Huang(@HuangShaomang) und pjf vom IceSword Lab von Qihoo 360

Sicherheit

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Validierung leerer Signaturen mit SecKeyRawVerify() kann unerwartet erfolgreich sein

Beschreibung: Es bestand ein Validierungsproblem mit verschlüsselten API-Aufrufen. Dieses Problem wurde durch eine verbesserte Parameterüberprüfung behoben.

CVE-2017-2423: Ein anonymer Forscher

Sicherheit

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Programm kann willkürlichen Code mit Root-Rechten ausführen

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-2451: Alex Radocea von Longterm Security, Inc.

Sicherheit

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten x509-Zertifikats kann zur Ausführung willkürlichen Codes führen

Beschreibung: Bei der Analyse von Zertifikaten kam es zu einem Speicherfehler. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-2485: Aleksandar Nikolic von Cisco Talos

SecurityFoundation

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Zertifikats kann zur Ausführung willkürlichen Codes führen

Beschreibung: Das Double-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2425: kimyok vom Tencent Security Platform Department

sudo

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Benutzer in einer Gruppe namens "admin" auf einem Netzwerkverzeichnisserver kann möglicherweise mithilfe von sudo unerwartet Rechte eskalieren

Beschreibung: In sudo bestand ein Zugriffsproblem. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2017-2381

Schutz der Systemintegrität

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Schadprogramm kann möglicherweise geschützte Datenträger ändern

Beschreibung: Bei der Verarbeitung der Systeminstallation bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Verarbeitung und Validierung während des Installationsprozesses behoben.

CVE-2017-6974: Patrick Wardle von Synack

tcpdump

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann mit Hilfe seitens des Benutzers willkürlichen Code ausführen

Beschreibung: tcpdump wies in den Versionen vor 4.9.0 mehrere Schwachstellen auf. Diese wurden durch Aktualisierung von tcpdump auf Version 4.9.0 behoben.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Verfügbar für: macOS Sierra 10.12.3

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zu einem unerwarteten Programmabbruch führen

Beschreibung: In den LibTIFF-Versionen vor 4.0.7 bestand ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten. Es wurde durch die Aktualisierung von LibTIFF in AKCmds auf Version 4.0.7 behoben.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

In macOS Sierra 10.12.4 sowie in den Sicherheitsupdates 2017-001 El Capitan und 2017-001 Yosemite ist der Sicherheitsinhalt von Safari 10.1 enthalten.

Zusätzliche Danksagung

XNU

Wir danken Lufeng Li vom Qihoo 360 Vulcan Team für die Unterstützung.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: 2017-08-17