Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS High Sierra 10.13.1, της Ενημέρωσης ασφάλειας 2017-001 Sierra και της Ενημέρωσης ασφάλειας 2017-004 El Capitan.

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS High Sierra 10.13.1, της Ενημέρωσης ασφάλειας 2017-001 Sierra και της Ενημέρωσης ασφάλειας 2017-004 El Capitan.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

macOS High Sierra 10.13.1, Ενημέρωση ασφάλειας 2017-001 Sierra και Ενημέρωση ασφάλειας 2017-004 El Capitan

apache

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Πολλαπλά προβλήματα στο Apache

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 2.4.27.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

APFS

Διατίθεται για: macOS High Sierra 10.13

Αποτέλεσμα: Ένας κακόβουλος προσαρμογέας Thunderbolt ενδέχεται να είναι σε θέση να ανακτήσει μη κρυπτογραφημένα δεδομένα συστημάτων αρχείων APFS

Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό του DMA. Αυτό το πρόβλημα αντιμετωπίστηκε με περιορισμό του χρόνου αντιστοίχισης των buffer αποκρυπτογράφησης του FileVault στο DMA με βάση τη διάρκεια της εργασίας Ι/Ο.

CVE-2017-13786: Dmytro Oleksiuk

APFS

Διατίθεται για: macOS High Sierra 10.13

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13800: Sergej Schumilo του Ruhr-University Bochum

AppleScript

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Η αποσυμπίληση του AppleScript με το osadecompile ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13809: bat0s

ATS

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-13820: John Villamil, Doyensec

Ήχος

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου QuickTime ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13807: Yangkang (@dnpushme) από την ομάδα Qihoo 360 Qex

CFNetwork

Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13829: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2017-13833: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CFString

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13821: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

CoreText

Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13825: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

curl

Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6

Αποτέλεσμα: Η αποστολή με χρήση TFTP σε διεύθυνση URL με κακόβουλη δομή με το libcurl ενδέχεται να κοινοποιήσει μνήμη εφαρμογής

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2017-1000100: Even Rouault, εντοπίστηκε από OSS-Fuzz

curl

Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6

Αποτέλεσμα: Η επεξεργασία μιας διεύθυνσης URL με κακόβουλη δομή με το libcurl ενδέχεται να προκαλέσει απρόσμενο τερματισμό εφαρμογής ή την ανάγνωση μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2017-1000101: Brian Carpenter, Yongji Ouyang

Widget Λεξικό

Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6

Αποτέλεσμα: Η αναζήτηση επικολλημένου κειμένου στο widget Λεξικό ενδέχεται να αποκαλύψει στοιχεία του χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης το οποίο επέτρεπε την πρόσβαση σε τοπικά αρχεία. Αντιμετωπίστηκε με εξυγίανση εισαγωγής.

CVE-2017-13801: xisigr του Tencent’s Xuanwu Lab (tencent.com)

αρχείο

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Πολλαπλά προβλήματα στο αρχείο

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 5.31.

CVE-2017-13815: εντοπίστηκε από το OSS-Fuzz

Γραμματοσειρές

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Η απόδοση μη αξιόπιστου κειμένου ενδέχεται να οδηγήσει σε πλαστογράφηση

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-13828: Leonard Grey και Robert Sesek της Google Chrome

fsck_msdos

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13811: V.E.O. (@VYSEa) από την ομάδα Mobile Advanced Threat Team της Trend Micro

HFS

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13830: Sergej Schumilo του πανεπιστημίου Ruhr-University Bochum

Heimdal

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να μιμείται μια υπηρεσία

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό του ονόματος υπηρεσίας KDC-REP. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni και Nico Williams

HelpViewer

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Ένα αρχείο HTML σε καραντίνα ενδέχεται να εκτελεί αυθαίρετα ένα σφάλμα μεταξύ προελεύσεων με το JavaScript

Περιγραφή: Υπήρχε ένα πρόβλημα εκτέλεσης σεναρίου μεταξύ ιστότοπων στο HelpViewer. Αυτό το πρόβλημα αντιμετωπίστηκε με την κατάργηση του προσβεβλημένου αρχείου.

CVE-2017-13819: Filippo Cavallarin του SecuriTeam Secure Disclosure

ImageIO

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-13814: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

ImageIO

Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-13831: Glen Carmichael

IOAcceleratorFamily

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13906

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα με τα δικαιώματα στους μετρητές του πακέτου πυρήνων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση δικαιωμάτων.

CVE-2017-13810: Zhiyun Qian του University of California, Riverside

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα

Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-13817: Maxime Villard της (m00nbsd)

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13818: Το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο του Ηνωμένου Βασιλείου (National Cyber Security Centre, NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse της Semmle Ltd.

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13843: ανώνυμος ερευνητής, ανώνυμος ερευνητής

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Η επεξεργασία ενός μη κατάλληλα διαμορφωμένου δυαδικού αρχείου mach μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2017-13834: Maxime Villard (m00nbsd)

Πυρήνας

Διατίθεται για: macOS High Sierra 10.13 και macOS Sierra 10.12.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13799: Lufeng Li από την ομάδα Qihoo 360 Vulcan Team

Πυρήνας

Διατίθεται για: macOS High Sierra 10.13

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να μάθει πληροφορίες σχετικά με την παρουσία και τη λειτουργία άλλων εφαρμογών στη συσκευή.

Περιγραφή: Μια εφαρμογή μπόρεσε να αποκτήσει πρόσβαση σε πληροφορίες διεργασίας που διατηρούνται από το λειτουργικό σύστημα χωρίς περιορισμό. Αυτό το πρόβλημα αντιμετωπίστηκε με περιορισμό ρυθμού.

CVE-2017-13852: Xiaokuan Zhang και Yinqian Zhang από το Ohio State University, Xueqiang Wang και XiaoFeng Wang από το Indiana University Bloomington και Xiaolong Bai από το Tsinghua University

libarchive

Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6

Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στο libarchive. Αυτά τα προβλήματα αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-13813: εντοπίστηκε από OSS-Fuzz

libarchive

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στο libarchive. Αυτά τα προβλήματα αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-13812: εντοπίστηκε από OSS-Fuzz

libarchive

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2016-4736: Proteas από την ομάδα Qihoo 360 Nirvan

libxml2

Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2017-5969: Gustavo Grieco

libxml2

Διατίθεται για: OS X El Capitan 10.11.6

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-5130: ανώνυμος ερευνητής

CVE-2017-7376: ανώνυμος ερευνητής

libxml2

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-9050: Mateusz Jurczyk (j00ru) του Google Project Zero

libxml2

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2017-9049: Wei Lei και Liu Yang – Nanyang Technological University της Σιγκαπούρης

LinkPresentation

Διατίθεται για: macOS High Sierra 10.13

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2018-4390: Rayyan Bijoora (@Bijoora) του The City School, PAF Chapter

CVE-2018-4391: Rayyan Bijoora (@Bijoora) του The City School, PAF Chapter

Παράθυρο σύνδεσης

Διατίθεται για: macOS High Sierra 10.13

Αποτέλεσμα: Η οθόνη κλειδώματος ενδέχεται να παραμένει απρόσμενα ξεκλείδωτη

Περιγραφή: Ένα πρόβλημα διαχείρισης κατάστασης αντιμετωπίστηκε με βελτιωμένη επαλήθευση κατάστασης.

CVE-2017-13907: ανώνυμος ερευνητής

Αρχιτεκτονική ανοικτού σεναρίου

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Η αποσυμπίληση του AppleScript με το osadecompile ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13824: ανώνυμος ερευνητής

PCRE

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Πολλαπλά προβλήματα στο pcre

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 8.40.

CVE-2017-13846

Postfix

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Πολλαπλά προβλήματα στο Postfix

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 3.2.2.

CVE-2017-10140: ανώνυμος ερευνητής

Άμεση προβολή

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13822: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

Άμεση προβολή

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου εγγράφου office ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

QuickTime

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13823: Xiangkun Jia του Institute of Software Chinese Academy of Sciences

Απομακρυσμένη διαχείριση

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13808: ανώνυμος ερευνητής

Sandbox

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13838: Alastair Houghton

Ασφάλεια

Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-7170: Patrick Wardle του Synack

Ασφάλεια

Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να εξαγάγει συνθηματικά από την κλειδοθήκη

Περιγραφή: Υπήρχε ένας τρόπος να παρακάμψουν οι εφαρμογές την προτροπή για πρόσβαση στην κλειδοθήκη με ένα συνθετικό κλικ. Αυτό αντιμετωπίστηκε με απαίτηση καταχώρισης του συνθηματικού του χρήστη όταν γίνεται προτροπή για πρόσβαση στην κλειδοθήκη.

CVE-2017-7150: Patrick Wardle του Synack

SMB

Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να είναι σε θέση να εκτελέσει μη εκτελέσιμα αρχεία κειμένου μέσω ενός κοινόχρηστου στοιχείου SMB

Περιγραφή: Ένα πρόβλημα στον χειρισμό των δικαιωμάτων των αρχείων επιλύθηκε με βελτιωμένη επαλήθευση.

CVE-2017-13908: ανώνυμος ερευνητής

StreamingZip

Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6

Αποτέλεσμα: Ένα κακόβουλο αρχείο zip ενδέχεται να είναι σε θέση να τροποποιήσει περιορισμένες περιοχές του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2017-13804: @qwertyoruiopz της KJC Research Intl. S.R.L.

tcpdump

Διατίθεται για: macOS High Sierra 10.13 και macOS Sierra 10.12.6

Αποτέλεσμα: Πολλαπλά προβλήματα στο tcpdump

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 4.9.2.

CVE-2017-11108

CVE-2017-11541

CVE-2017-11542

CVE-2017-11543

CVE-2017-12893

CVE-2017-12894

CVE-2017-12895

CVE-2017-12896

CVE-2017-12897

CVE-2017-12898

CVE-2017-12899

CVE-2017-12900

CVE-2017-12901

CVE-2017-12902

CVE-2017-12985

CVE-2017-12986

CVE-2017-12987

CVE-2017-12988

CVE-2017-12989

CVE-2017-12990

CVE-2017-12991

CVE-2017-12992

CVE-2017-12993

CVE-2017-12994

CVE-2017-12995

CVE-2017-12996

CVE-2017-12997

CVE-2017-12998

CVE-2017-12999

CVE-2017-13000

CVE-2017-13001

CVE-2017-13002

CVE-2017-13003

CVE-2017-13004

CVE-2017-13005

CVE-2017-13006

CVE-2017-13007

CVE-2017-13008

CVE-2017-13009

CVE-2017-13010

CVE-2017-13011

CVE-2017-13012

CVE-2017-13013

CVE-2017-13014

CVE-2017-13015

CVE-2017-13016

CVE-2017-13017

CVE-2017-13018

CVE-2017-13019

CVE-2017-13020

CVE-2017-13021

CVE-2017-13022

CVE-2017-13023

CVE-2017-13024

CVE-2017-13025

CVE-2017-13026

CVE-2017-13027

CVE-2017-13028

CVE-2017-13029

CVE-2017-13030

CVE-2017-13031

CVE-2017-13032

CVE-2017-13033

CVE-2017-13034

CVE-2017-13035

CVE-2017-13036

CVE-2017-13037

CVE-2017-13038

CVE-2017-13039

CVE-2017-13040

CVE-2017-13041

CVE-2017-13042

CVE-2017-13043

CVE-2017-13044

CVE-2017-13045

CVE-2017-13046

CVE-2017-13047

CVE-2017-13048

CVE-2017-13049

CVE-2017-13050

CVE-2017-13051

CVE-2017-13052

CVE-2017-13053

CVE-2017-13054

CVE-2017-13055

CVE-2017-13687

CVE-2017-13688

CVE-2017-13689

CVE-2017-13690

CVE-2017-13725

Wi-Fi

Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6

Αποτέλεσμα: Ένας εισβολέας στην εμβέλεια του Wi-Fi ενδεχομένως να επιβάλλει την επαναχρησιμοποίηση μοναδικών αριθμών nonce σε μοναδική διανομή WPA/πελάτες PTK (επιθέσεις επανεγκατάστασης κλειδιών – KRACK)

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των μεταβάσεων κατάστασης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-13077: Mathy Vanhoef από την ομάδα imec-DistriNet στο KU Leuven

CVE-2017-13078: Mathy Vanhoef από την ομάδα imec-DistriNet στο KU Leuven

Wi-Fi

Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6

Αποτέλεσμα: Ένας εισβολέας στην εμβέλεια του Wi-Fi ενδεχομένως να επιβάλλει την επαναχρησιμοποίηση μοναδικών αριθμών nonce σε πολλαπλή διανομή WPA/υπολογιστές-πελάτες GTK (επιθέσεις επανεγκατάστασης κλειδιών - KRACK)

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των μεταβάσεων κατάστασης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-13080: Mathy Vanhoef από την ομάδα imec-DistriNet στο KU Leuven