Informationen zum Sicherheitsinhalt von macOS Sierra 10.12.6, zum Sicherheitsupdate 2017-003 El Capitan und zum Sicherheitsupdate 2017-003 Yosemite

In diesem Dokument werden der Sicherheitsinhalt von macOS Sierra 10.12.6 sowie das Sicherheitsupdate 2017-003 El Capitan und das Sicherheitsupdate 2017-003 Yosemite beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

macOS Sierra 10.12.6, Sicherheitsupdate 2017-003 El Capitan und Sicherheitsupdate 2017-003 Yosemite

afclip

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-7016: riusksk (泉哥) vom Tencent Security Platform Department

afclip

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7033: riusksk (泉哥) vom Tencent Security Platform Department

AppleGraphicsPowerManagement

Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7021: sss und Axis vom Qihoo 360 Nirvan Team

Audio

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann begrenzten Speicher aufweisen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7015: riusksk (泉哥) vom Tencent Security Platform Department

Bluetooth

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7050: Min (Spark) Zheng von Alibaba Inc.

CVE-2017-7051: Alex Plaskett von MWR InfoSecurity

Bluetooth

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7054: Alex Plaskett von MWR InfoSecurity, Lufeng Li vom Qihoo 360 Vulcan Team

Kontakte

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Filmdatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-7008: Yangkang (@dnpushme) vom Qihoo 360 Qex Team

curl

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Mehrere Probleme in curl

Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 7.54.0 behoben.

CVE-2016-9586

CVE-2016-9594

CVE-2017-2629

CVE-2017-7468

Foundation

Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-7031: HappilyCoded (ant4g0nist und r3dsm0k3)

Font Importer

Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13850: John Villamil, Doyensec

Intel-Grafiktreiber

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7014: Lee von Minionz, Axis und sss vom Qihoo 360 Nirvan Team

CVE-2017-7017: chenqin vom Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7035: shrek_wzw vom Qihoo 360 Nirvan Team

CVE-2017-7044: shrek_wzw vom Qihoo 360 Nirvan Team

Intel-Grafiktreiber

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-7036: shrek_wzw vom Qihoo 360 Nirvan Team

CVE-2017-7045: shrek_wzw vom Qihoo 360 Nirvan Team

IOUSBFamily

Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7009: shrek_wzw vom Qihoo 360 Nirvan Team

Kernel

Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7022: Ein anonymer Forscher

CVE-2017-7024: Ein anonymer Forscher

Kernel

Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7023: Ein anonymer Forscher

Kernel

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7025: Ein anonymer Forscher

CVE-2017-7027: Ein anonymer Forscher

CVE-2017-7069: Proteas vom Qihoo 360 Nirvan Team

Kernel

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7026: Ein anonymer Forscher

Kernel

Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-7028: Ein anonymer Forscher

CVE-2017-7029: Ein anonymer Forscher

Kernel

Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-7067: shrek_wzw vom Qihoo 360 Nirvan Team

kext tools

Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7032: Axis und sss vom Qihoo 360 Nirvan Team

libarchive

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-7068: Gefunden von OSS-Fuzz

libxml2

Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5

Auswirkung: Die Analyse eines in böser Absicht erstellten XML-Dokuments kann zur Preisgabe von Benutzerdaten führen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-7010: Apple

CVE-2017-7013: Gefunden von OSS-Fuzz

libxpc

Verfügbar für: macOS Sierra 10.12.5 und OS X El Capitan 10.11.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7047: Ian Beer von Google Project Zero

WLAN

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann willkürlichen Code auf dem WLAN-Chip ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7065: Gal Beniamini von Google Project Zero

WLAN

Verfügbar für: macOS Sierra 10.12.5

Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann willkürlichen Code auf dem WLAN-Chip ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-9417: Nitay Artenstein von Exodus Intelligence

Zusätzliche Danksagung

curl

Wir danken Dave Murdock von Tangerine Element für seine Unterstützung.