Informationen zum Sicherheitsinhalt von macOS Sierra 10.12.5, Sicherheitsupdate 2017-002 El Capitan und Sicherheitsupdate 2017-002 Yosemite
In diesem Dokument werden der Sicherheitsinhalt von macOS Sierra 10.12.5 sowie das Sicherheitsupdate 2017-002 El Capitan und das Sicherheitsupdate 2017-002 Yosemite beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
macOS Sierra 10.12.5, Sicherheitsupdate 2017-002 El Capitan und Sicherheitsupdate 2017-002 Yosemite
802.1X
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein böswilliges Netzwerk mit 802.1X-Authentifizierung kann Nutzer-Anmeldedaten für das Netzwerk erfassen
Beschreibung: In EAP-TLS bestand ein Problem mit der Zertifikatsüberprüfung, als ein Zertifikat verändert wurde. Dieses Problem wurde durch eine verbesserte Zertifikatüberprüfung behoben.
CVE-2017-6988: Tim Cappalli von Aruba, ein Unternehmen von Hewlett Packard Enterprise
Bedienungshilfen-Framework
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein Programm kann Systemrechte erhalten
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-6978: Ian Beer von Google Project Zero
CoreAnimation
Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Dateien kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2527: Ian Beer von Google Project Zero
CoreAudio
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein Programm kann beschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-2502: Yangkang (@dnpushme) vom Qihoo360 Qex Team
CoreFoundation
Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Die Analyse in böser Absicht erstellter Daten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2522: Ian Beer von Google Project Zero
CoreText
Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem Programmabbruch führen
Beschreibung: Das Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.
CVE-2017-7003: Jake Davis von SPYSCAPE (@DoubleJake)
DiskArbitration
Verfügbar für: macOS Sierra 10.12.4 und OS X El Capitan 10.11.6
Auswirkung: Ein Programm kann Systemrechte erhalten
Beschreibung: Eine Race-Bedingung wurde mit zusätzlichen Dateisystem-Beschränkungen behoben.
CVE-2017-2533: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Foundation
Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Die Analyse in böser Absicht erstellter Daten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2523: Ian Beer von Google Project Zero
HFS
Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann beschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-6990: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
iBooks
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein in böser Absicht erstelltes Buch kann willkürliche Websites ohne Einwilligung des Nutzers aufrufen
Beschreibung: Ein URL-Verarbeitungsfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2017-2497: Jun Kokatsu (@shhnjk)
iBooks
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein Programm kann willkürlichen Code mit Root-Rechten ausführen
Beschreibung: In der Pfadüberprüfungslogik für Symlinks bestand ein Problem. Dieses Problem wurde durch eine verbesserte Pfadbereinigung behoben.
CVE-2017-6981: evi1m0 von YSRC (sec.ly.com)
iBooks
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein Programm kann seiner Sandbox entkommen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-6986: evi1m0 von YSRC (sec.ly.com) & Heige (SuperHei) von Knownsec 404 Security Team
Intel-Grafiktreiber
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein Programm kann Kernel-Rechte erlangen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2503: sss und Axis von 360Nirvan team
IOGraphics
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein Programm kann Kernel-Rechte erlangen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2545: 360 Security (@mj0011sec) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
IOSurface
Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann Kernel-Rechte erlangen
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.
CVE-2017-6979: Adam Donenfeld (@doadam) vom Zimperium zLabs Team
Kernel
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein Programm kann Kernel-Rechte erlangen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2494: Jann Horn von Google Project Zero
Kernel
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.
CVE-2017-2501: Ian Beer von Google Project Zero
Kernel
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein Programm kann beschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-2507: Ian Beer von Google Project Zero
CVE-2017-2509: Jann Horn von Google Project Zero
CVE-2017-6987: Patrick Wardle von Synack
Kernel
Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann beschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-2516: Jann Horn von Google Project Zero
Kernel
Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann Kernel-Rechte erlangen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2546: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Multi-Touch
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein Programm kann Kernel-Rechte erlangen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2542: 360 Security (@mj0011sec) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2543: 360 Security (@mj0011sec) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
NVIDIA-Grafiktreiber
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein Programm kann Kernel-Rechte erlangen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-6985: Axis und sss vom Nirvan Team von Qihoo 360 und Simon Huang (@HuangShaomang) vom IceSword Lab von Qihoo 360
Sandbox
Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann seiner Sandbox entkommen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2512: Federico Bento von der naturwissenschaftlichen Fakultät der Universität Porto
Sicherheit
Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann seiner Sandbox entkommen
Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung behoben, indem eine bessere Eingabeüberprüfung erfolgt.
CVE-2017-2535: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Sprach-Framework
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein Programm kann seiner Sandbox entkommen
Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Beschränkungen behoben.
CVE-2017-2534: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Sprach-Framework
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Ein Programm kann seiner Sandbox entkommen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-6977: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
SQLite
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen
Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2513: gefunden von OSS-Fuzz
SQLite
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2518: gefunden von OSS-Fuzz
CVE-2017-2520: gefunden von OSS-Fuzz
SQLite
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2519: gefunden von OSS-Fuzz
SQLite
Verfügbar für: macOS Sierra 10.12.4
Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-6983: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-6991: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-7000: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-7001: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-7002: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
TextInput
Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Die Analyse in böser Absicht erstellter Daten kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2524: Ian Beer von Google Project Zero
WindowServer
Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann Systemrechte erhalten
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-2537: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2541: Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CVE-2017-2548: Team Sniper (Keen Lab und PC Mgr) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WindowServer
Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann beschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-2540: Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Zusätzliche Danksagung
Kernel
Wir möchten uns bei Jann Horn von Google Project Zero für die Unterstützung bedanken.
CFNetwork
Wir möchten uns bei Samuel Groß und Niklas Baumstark, die mit der Zero Day Initiative von Trend Micro arbeiten, für die Unterstützung bedanken.
Sicherheit
Wir möchten uns bei Ian Beer von Google Project Zero für die Unterstützung bedanken.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.