Informationen zum Sicherheitsinhalt von macOS Sierra 10.12.5, Sicherheitsupdate 2017-002 El Capitan und Sicherheitsupdate 2017-002 Yosemite

In diesem Dokument werden der Sicherheitsinhalt von macOS Sierra 10.12.5 sowie das Sicherheitsupdate 2017-002 El Capitan und das Sicherheitsupdate 2017-002 Yosemite beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

macOS Sierra 10.12.5, Sicherheitsupdate 2017-002 El Capitan und Sicherheitsupdate 2017-002 Yosemite

Veröffentlicht am 15. Mai 2017

802.1X

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein böswilliges Netzwerk mit 802.1X-Authentifizierung kann Nutzer-Anmeldedaten für das Netzwerk erfassen

Beschreibung: Ein Problem mit der Zertifikatsüberprüfung bestand in EAP-TLS, als ein Zertifikat verändert wurde. Dieses Problem wurde durch eine verbesserte Zertifikatüberprüfung behoben.

CVE-2017-6988: Tim Cappalli von Aruba, ein Unternehmen von Hewlett Packard Enterprise

Bedienungshilfen-Framework

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann Systemrechte erhalten

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-6978: Ian Beer von Google Project Zero

CoreAnimation

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6, and OS X Yosemite 10.10.5

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Dateien kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2527: Ian Beer von Google Project Zero

CoreAudio

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann beschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-2502: Yangkang (@dnpushme) vom Qihoo360 Qex Team

DiskArbitration

Verfügbar für: macOS Sierra 10.12.4 und OS X El Capitan 10.11.6

Auswirkung: Ein Programm kann Systemrechte erhalten

Beschreibung: Eine Race-Bedingung wurde mit zusätzlichen Dateisystem-Beschränkungen behoben.

CVE-2017-2533: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

HFS

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6, and OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann beschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-6990: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

iBooks

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein in böswilliger Absicht erstelltes Buch kann willkürliche Websites ohne Einwilligung des Nutzers aufrufen

Beschreibung: Ein Problem bei der Verarbeitung von URLs wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2497: Jun Kokatsu (@shhnjk)

iBooks

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann willkürlichen Code mit Root-Rechten ausführen

Beschreibung: In der Pfadüberprüfungslogik für Symlinks bestand ein Problem. Dieses Problem wurde durch eine verbesserte Pfadbereinigung gelöst.

CVE-2017-6981: evi1m0 von YSRC (sec.ly.com)

iBooks

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann seiner Sandbox entkommen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-6986: evi1m0 von YSRC (sec.ly.com) & Heige (SuperHei) von Knownsec 404 Security Team

Intel-Grafiktreiber

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann Kernel-Rechte erhalten

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2503: sss und Axis von 360Nirvan team

IOGraphics

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann Kernel-Rechte erhalten

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2545: 360 Security (@mj0011sec) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

IOSurface

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6, and OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann Kernel-Rechte erhalten

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-6979: Adam Donenfeld von Zimperium zLabs

Kernel

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann Kernel-Rechte erhalten

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2494: Jann Horn von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2017-2501: Ian Beer von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann beschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-2507: Ian Beer von Google Project Zero

CVE-2017-2509: Jann Horn von Google Project Zero

CVE-2017-6987: Patrick Wardle von Synack

Kernel

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6, and OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann beschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-2516: Jann Horn von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6, and OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann Kernel-Rechte erhalten

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2546: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Multi-Touch

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann Kernel-Rechte erhalten

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2542: 360 Security (@mj0011sec) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2543: 360 Security (@mj0011sec) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

NVIDIA-Grafiktreiber

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann Kernel-Rechte erhalten

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-6985: Axis und sss vom Nirvan Team von Qihoo 360 und Simon Huang (@HuangShaomang) vom IceSword Lab von Qihoo 360

Sandbox

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6, and OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann seiner Sandbox entkommen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2512: Federico Bento von der naturwissenschaftlichen Fakultät der Universität Porto

Sicherheit

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6, and OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann seiner Sandbox entkommen

Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung behoben, indem eine bessere Eingabeüberprüfung erfolgt.

CVE-2017-2535: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Sprach-Framework

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann seiner Sandbox entkommen

Beschreibung: Ein Zugriffproblem wurde durch zusätzliche Sandbox-Beschränkungen behoben.

CVE-2017-2534: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Sprach-Framework

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann seiner Sandbox entkommen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-6977: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

SQLite

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Eine in böswilliger Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2513: gefunden von OSS-Fuzz

SQLite

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Eine in böswilliger Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2518: gefunden von OSS-Fuzz

CVE-2017-2520: gefunden von OSS-Fuzz

SQLite

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Eine in böswilliger Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2519: gefunden von OSS-Fuzz

SQLite

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-6983: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-6991: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

TextInput

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6, and OS X Yosemite 10.10.5

Auswirkung: Die Analyse von in böser Absicht erstellten Dateien kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2524: Ian Beer von Google Project Zero

WindowServer

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6, and OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann Systemrechte erhalten

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2537: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2541: Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2548: Team Sniper (Keen Lab und PC Mgr) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WindowServer

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6, and OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann beschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-2540: Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

macOS Sierra 10.12.5, Sicherheitsupdate 2017-002 El Capitan und Sicherheitsupdate 2017-002 Yosemite beinhalten den Sicherheitsinhalt von Safari 10.1.1.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: