Informationen zum Sicherheitsinhalt von macOS Sierra 10.12.5, Sicherheitsupdate 2017-002 El Capitan und Sicherheitsupdate 2017-002 Yosemite

In diesem Dokument werden der Sicherheitsinhalt von macOS Sierra 10.12.5 sowie das Sicherheitsupdate 2017-002 El Capitan und das Sicherheitsupdate 2017-002 Yosemite beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

macOS Sierra 10.12.5, Sicherheitsupdate 2017-002 El Capitan und Sicherheitsupdate 2017-002 Yosemite

Veröffentlicht am 15. Mai 2017

802.1X

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein böswilliges Netzwerk mit 802.1X-Authentifizierung kann Nutzer-Anmeldedaten für das Netzwerk erfassen

Beschreibung: In EAP-TLS bestand ein Problem mit der Zertifikatsüberprüfung, als ein Zertifikat verändert wurde. Dieses Problem wurde durch eine verbesserte Zertifikatüberprüfung behoben.

CVE-2017-6988: Tim Cappalli von Aruba, ein Unternehmen von Hewlett Packard Enterprise

Bedienungshilfen-Framework

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann Systemrechte erhalten

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-6978: Ian Beer von Google Project Zero

CoreAnimation

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Dateien kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2527: Ian Beer von Google Project Zero

CoreAudio

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann beschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-2502: Yangkang (@dnpushme) vom Qihoo360 Qex Team

CoreFoundation

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Die Analyse in böser Absicht erstellter Daten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2522: Ian Beer von Google Project Zero

Eintrag hinzugefügt am 19. Mai 2017

CoreText

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu einem Programmabbruch führen

Beschreibung: Das Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2017-7003: Jake Davis von SPYSCAPE (@DoubleJake)

Eintrag hinzugefügt am 31. Mai 2017

DiskArbitration

Verfügbar für: macOS Sierra 10.12.4 und OS X El Capitan 10.11.6

Auswirkung: Ein Programm kann Systemrechte erhalten

Beschreibung: Eine Race-Bedingung wurde mit zusätzlichen Dateisystem-Beschränkungen behoben.

CVE-2017-2533: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Foundation

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Die Analyse in böser Absicht erstellter Daten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2523: Ian Beer von Google Project Zero

Eintrag hinzugefügt am 19. Mai 2017

HFS

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann beschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-6990: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

iBooks

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein in böser Absicht erstelltes Buch kann willkürliche Websites ohne Einwilligung des Nutzers aufrufen

Beschreibung: Ein URL-Verarbeitungsfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-2497: Jun Kokatsu (@shhnjk)

iBooks

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann willkürlichen Code mit Root-Rechten ausführen

Beschreibung: In der Pfadüberprüfungslogik für Symlinks bestand ein Problem. Dieses Problem wurde durch eine verbesserte Pfadbereinigung behoben.

CVE-2017-6981: evi1m0 von YSRC (sec.ly.com)

iBooks

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann seiner Sandbox entkommen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-6986: evi1m0 von YSRC (sec.ly.com) & Heige (SuperHei) von Knownsec 404 Security Team

Intel-Grafiktreiber

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann Kernel-Rechte erlangen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2503: sss und Axis von 360Nirvan team

IOGraphics

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann Kernel-Rechte erlangen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2545: 360 Security (@mj0011sec) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

IOSurface

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann Kernel-Rechte erlangen

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2017-6979: Adam Donenfeld (@doadam) vom Zimperium zLabs Team

Eintrag aktualisiert am 17. Mai 2017

Kernel

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann Kernel-Rechte erlangen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2494: Jann Horn von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Problem mit einer Race-Bedingung wurde durch verbesserten Sperrschutz behoben.

CVE-2017-2501: Ian Beer von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann beschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-2507: Ian Beer von Google Project Zero

CVE-2017-2509: Jann Horn von Google Project Zero

CVE-2017-6987: Patrick Wardle von Synack

Kernel

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann beschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-2516: Jann Horn von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann Kernel-Rechte erlangen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2546: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Multi-Touch

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann Kernel-Rechte erlangen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2542: 360 Security (@mj0011sec) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2543: 360 Security (@mj0011sec) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

NVIDIA-Grafiktreiber

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann Kernel-Rechte erlangen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-6985: Axis und sss vom Nirvan Team von Qihoo 360 und Simon Huang (@HuangShaomang) vom IceSword Lab von Qihoo 360

Sandbox

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann seiner Sandbox entkommen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2512: Federico Bento von der naturwissenschaftlichen Fakultät der Universität Porto

Sicherheit

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann seiner Sandbox entkommen

Beschreibung: Es wurde ein Problem mit der Ressourcenausschöpfung behoben, indem eine bessere Eingabeüberprüfung erfolgt.

CVE-2017-2535: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Sprach-Framework

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann seiner Sandbox entkommen

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Beschränkungen behoben.

CVE-2017-2534: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Sprach-Framework

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Ein Programm kann seiner Sandbox entkommen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-6977: Samuel Groß und Niklas Baumstark in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

SQLite

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen

Beschreibung: Das Use-after-free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2513: gefunden von OSS-Fuzz

SQLite

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2518: gefunden von OSS-Fuzz

CVE-2017-2520: gefunden von OSS-Fuzz

SQLite

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2519: gefunden von OSS-Fuzz

SQLite

Verfügbar für: macOS Sierra 10.12.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-6983: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-6991: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7000: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7001: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-7002: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag aktualisiert am 24. Mai 2017

TextInput

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Die Analyse in böser Absicht erstellter Daten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2524: Ian Beer von Google Project Zero

WindowServer

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann Systemrechte erhalten

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-2537: Chaitin Security Research Lab (@ChaitinTech) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2541: Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2017-2548: Team Sniper (Keen Lab und PC Mgr) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WindowServer

Verfügbar für: macOS Sierra 10.12.4, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann beschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-2540: Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Zusätzliche Danksagung

Kernel

Wir möchten uns bei Jann Horn von Google Project Zero für die Unterstützung bedanken.

CFNetwork

Wir möchten uns bei Samuel Groß und Niklas Baumstark, die mit der Zero Day Initiative von Trend Micro arbeiten, für die Unterstützung bedanken.

Sicherheit

Wir möchten uns bei Ian Beer von Google Project Zero für die Unterstützung bedanken.

macOS Sierra 10.12.5, Sicherheitsupdate 2017-002 El Capitan und Sicherheitsupdate 2017-002 Yosemite beinhalten den Sicherheitsinhalt von Safari 10.1.1.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: 2017-06-20