Informationen zum Sicherheitsinhalt von macOS Sierra 10.12.6, zum Sicherheitsupdate 2017-003 El Capitan und zum Sicherheitsupdate 2017-003 Yosemite
In diesem Dokument werden der Sicherheitsinhalt von macOS Sierra 10.12.6 sowie das Sicherheitsupdate 2017-003 El Capitan und das Sicherheitsupdate 2017-003 Yosemite beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
macOS Sierra 10.12.6, Sicherheitsupdate 2017-003 El Capitan und Sicherheitsupdate 2017-003 Yosemite
afclip
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-7016: riusksk (泉哥) vom Tencent Security Platform Department
afclip
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7033: riusksk (泉哥) vom Tencent Security Platform Department
AppleGraphicsPowerManagement
Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7021: sss und Axis vom Qihoo 360 Nirvan Team
Audio
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann begrenzten Speicher aufweisen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7015: riusksk (泉哥) vom Tencent Security Platform Department
Bluetooth
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7050: Min (Spark) Zheng von Alibaba Inc.
CVE-2017-7051: Alex Plaskett von MWR InfoSecurity
Bluetooth
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7054: Alex Plaskett von MWR InfoSecurity, Lufeng Li vom Qihoo 360 Vulcan Team
Kontakte
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Filmdatei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2017-7008: Yangkang (@dnpushme) vom Qihoo 360 Qex Team
curl
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Mehrere Probleme in curl
Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 7.54.0 behoben.
CVE-2016-9586
CVE-2016-9594
CVE-2017-2629
CVE-2017-7468
Foundation
Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-7031: HappilyCoded (ant4g0nist und r3dsm0k3)
Font Importer
Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftdatei kann zur Preisgabe des Prozessspeichers führen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2017-13850: John Villamil, Doyensec
Intel-Grafiktreiber
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7014: Lee von Minionz, Axis und sss vom Qihoo 360 Nirvan Team
CVE-2017-7017: chenqin vom Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7035: shrek_wzw vom Qihoo 360 Nirvan Team
CVE-2017-7044: shrek_wzw vom Qihoo 360 Nirvan Team
Intel-Grafiktreiber
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-7036: shrek_wzw vom Qihoo 360 Nirvan Team
CVE-2017-7045: shrek_wzw vom Qihoo 360 Nirvan Team
IOUSBFamily
Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7009: shrek_wzw vom Qihoo 360 Nirvan Team
Kernel
Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7022: Ein anonymer Forscher
CVE-2017-7024: Ein anonymer Forscher
Kernel
Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7023: Ein anonymer Forscher
Kernel
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7025: Ein anonymer Forscher
CVE-2017-7027: Ein anonymer Forscher
CVE-2017-7069: Proteas vom Qihoo 360 Nirvan Team
Kernel
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7026: Ein anonymer Forscher
Kernel
Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-7028: Ein anonymer Forscher
CVE-2017-7029: Ein anonymer Forscher
Kernel
Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2017-7067: shrek_wzw vom Qihoo 360 Nirvan Team
kext tools
Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7032: Axis und sss vom Qihoo 360 Nirvan Team
libarchive
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Das Entpacken eines in böser Absicht erstellten Archivs kann zur Ausführung willkürlichen Codes führen
Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2017-7068: Gefunden von OSS-Fuzz
libxml2
Verfügbar für: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 und OS X Yosemite 10.10.5
Auswirkung: Die Analyse eines in böser Absicht erstellten XML-Dokuments kann zur Preisgabe von Benutzerdaten führen
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2017-7010: Apple
CVE-2017-7013: Gefunden von OSS-Fuzz
libxpc
Verfügbar für: macOS Sierra 10.12.5 und OS X El Capitan 10.11.6
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7047: Ian Beer von Google Project Zero
WLAN
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann willkürlichen Code auf dem WLAN-Chip ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-7065: Gal Beniamini von Google Project Zero
WLAN
Verfügbar für: macOS Sierra 10.12.5
Auswirkung: Ein Angreifer, der sich in Reichweite befindet, kann willkürlichen Code auf dem WLAN-Chip ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-9417: Nitay Artenstein von Exodus Intelligence
Zusätzliche Danksagung
curl
Wir danken Dave Murdock von Tangerine Element für seine Unterstützung.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.