Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS High Sierra 10.13

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS High Sierra 10.13.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

macOS High Sierra 10.13

802.1X

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του TLS 1.0

Περιγραφή: Ένα πρόβλημα ασφάλειας πρωτοκόλλου αντιμετωπίστηκε ενεργοποιώντας το TLS 1.1 και το TLS 1.2.

CVE-2017-13832: Doug Wussler του Florida State University

apache

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλαπλά προβλήματα στο Apache

Περιγραφή: Υπήρχαν πολλαπλά προβλήματα στο Apache. Αντιμετωπίστηκαν με την ενημέρωση του Apache στην έκδοση 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Ρυθμίσεις λογαριασμού Apple

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε διακριτικά ελέγχου ταυτότητας iCloud

Περιγραφή: Υπήρχε ένα πρόβλημα με την αποθήκευση διακριτικών με ευαίσθητο περιεχόμενο. Αυτό το πρόβλημα αντιμετωπίστηκε με τοποθέτηση των διακριτικών στην Κλειδοθήκη.

CVE-2017-13909: Andreas Nilsson

AppleScript

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η αποσυμπίληση του AppleScript με το osadecompile ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13809: bat0s

Τείχος προστασίας εφαρμογής

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια ρύθμιση του τείχους προστασίας της εφαρμογής που προηγουμένως δεν γινόταν δεκτή ενδέχεται να τεθεί σε ισχύ μετά την αναβάθμιση

Περιγραφή: Υπήρχε ένα πρόβλημα αναβάθμισης στον χειρισμό των ρυθμίσεων του τείχους προστασίας. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού των ρυθμίσεων του τείχους προστασίας κατά τη διάρκεια των αναβαθμίσεων.

CVE-2017-7084: ανώνυμος ερευνητής

AppSandbox

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Πολλά προβλήματα άρνησης υπηρεσίας αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-7074: Daniel Jalkut της Red Sweater Software

ATS

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-13820: John Villamil, Doyensec

Ήχος

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου QuickTime ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-13807: Yangkang (@dnpushme) από την ομάδα Qihoo 360 Qex

Βοηθός δικτύου υποδοχής

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να στείλει ακούσια ένα μη κρυπτογραφημένο συνθηματικό μέσω του δικτύου

Περιγραφή: Η κατάσταση ασφάλειας του προγράμματος περιήγησης της πύλης υποδοχής δεν ήταν προφανής. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη ορατότητα της κατάστασης ασφάλειας του προγράμματος περιήγησης της πύλης υποδοχής.

CVE-2017-7143: Matthew Green του Johns Hopkins University

CFNetwork

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13829: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2017-13833: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Διακομιστές μεσολάβησης CFNetwork

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Πολλαπλά προβλήματα άρνησης υπηρεσίας αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-7083: Abhinav Bansal της Zscaler Inc.

CFString

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13821: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

CoreAudio

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Μια ανάγνωση εκτός ορίων αντιμετωπίστηκε με ενημέρωση του Opus στην έκδοση 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) της ερευνητικής ομάδας Mobile Threat Research Team, Trend Micro

CoreText

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13825: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

CoreTypes

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία μια κακόβουλης ιστοσελίδας μπορεί να οδηγήσει σε προσάρτηση ενός ειδώλου δίσκου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2017-13890: Apple, Theodor Ragnar Gislason της Syndis

DesktopServices

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να έχει τη δυνατότητα να δει μη προστατευμένα δεδομένα χρηστών

Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης σε συγκεκριμένα αρχεία του φακέλου αφετηρίας. Αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2017-13851: Henrique Correa της Amorim

Βοήθημα καταλόγου

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προσδιορίσει το Apple ID του κατόχου του υπολογιστή

Περιγραφή: Υπήρχε ένα πρόβλημα με τα δικαιώματα στον χειρισμό του Apple ID. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους πρόσβασης.

CVE-2017-7138: Daniel Kvak του Masaryk University

αρχείο

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλαπλά προβλήματα στο αρχείο

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 5.30.

CVE-2017-7121: εντοπίστηκε από OSS-Fuzz

CVE-2017-7122: εντοπίστηκε από OSS-Fuzz

CVE-2017-7123: εντοπίστηκε από OSS-Fuzz

CVE-2017-7124: εντοπίστηκε από OSS-Fuzz

CVE-2017-7125: εντοπίστηκε από OSS-Fuzz

CVE-2017-7126: εντοπίστηκε από OSS-Fuzz

αρχείο

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλαπλά προβλήματα στο αρχείο

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 5.31.

CVE-2017-13815

Γραμματοσειρές

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η απόδοση μη αξιόπιστου κειμένου ενδέχεται να οδηγήσει σε πλαστογράφηση

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-13828: Leonard Grey και Robert Sesek της Google Chrome

fsck_msdos

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13811: V.E.O. (@VYSEa) από την ομάδα Mobile Advanced Threat Team της Trend Micro

fsck_msdos

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13835: ανώνυμος ερευνητής

Heimdal

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να μιμείται μια υπηρεσία

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό του ονόματος υπηρεσίας KDC-REP. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni και Nico Williams

HelpViewer

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένα αρχείο HTML σε καραντίνα ενδέχεται να εκτελεί αυθαίρετα ένα σφάλμα μεταξύ προελεύσεων με το JavaScript

Περιγραφή: Υπήρχε ένα πρόβλημα εκτέλεσης σεναρίου μεταξύ ιστότοπων στο HelpViewer. Αυτό το πρόβλημα αντιμετωπίστηκε με την κατάργηση του προσβεβλημένου αρχείου.

CVE-2017-13819: Filippo Cavallarin του SecuriTeam Secure Disclosure

HFS

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13830: Sergej Schumilo του πανεπιστημίου Ruhr-University Bochum

ImageIO

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-13814: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

ImageIO

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-13831: Glen Carmichael

Πρόγραμμα εγκατάστασης

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να είναι σε θέση να αποκτά πρόσβαση στο κλειδί για το ξεκλείδωμα του FileVault

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με κατάργηση των πρόσθετων δικαιωμάτων.

CVE-2017-13837: Patrick Wardle του Synack

IOAcceleratorFamily

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13906

IOFireWireFamily

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7077: Brandon Azad

IOFireWireFamily

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng της Alibaba Inc., Benjamin Gnahm (@mitp0sh) της PDX

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7114: Alex Plaskett της MWR InfoSecurity

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα με τα δικαιώματα στους μετρητές του πακέτου πυρήνων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση δικαιωμάτων.

CVE-2017-13810: Zhiyun Qian του University of California, Riverside

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα

Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2017-13817: Maxime Villard της (m00nbsd)

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13818: Το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο του Ηνωμένου Βασιλείου (National Cyber Security Centre, NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse της Semmle Ltd.

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13843: ανώνυμος ερευνητής, ανώνυμος ερευνητής

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13854: shrek_wzw από την ομάδα Qihoo 360 Nirvan

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία ενός μη κατάλληλα διαμορφωμένου δυαδικού αρχείου mach μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης.

CVE-2017-13834: Maxime Villard (m00nbsd)

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να μάθει πληροφορίες σχετικά με την παρουσία και τη λειτουργία άλλων εφαρμογών στη συσκευή.

Περιγραφή: Μια εφαρμογή μπόρεσε να αποκτήσει πρόσβαση σε πληροφορίες δραστηριότητας δικτύου που διατηρούνται από το λειτουργικό σύστημα χωρίς περιορισμό. Αυτό το πρόβλημα αντιμετωπίστηκε με μείωση των πληροφοριών που διατίθενται σε εφαρμογές τρίτου μέρους.

CVE-2017-13873: Xiaokuan Zhang και Yinqian Zhang από το Ohio State University, Xueqiang Wang και XiaoFeng Wang από το Indiana University Bloomington και Xiaolong Bai από το Tsinghua University

εργαλεία kext

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα λογικής κατά τη φόρτωση kext αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2017-13827: ανώνυμος ερευνητής

libarchive

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-13813: εντοπίστηκε από OSS-Fuzz

CVE-2017-13816: εντοπίστηκε από OSS-Fuzz

libarchive

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στο libarchive. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένης επαλήθευσης εισόδου.

CVE-2017-13812: εντοπίστηκε από OSS-Fuzz

libarchive

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2016-4736: ανώνυμος ερευνητής

libc

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα εξάντλησης πόρων στο glob() αντιμετωπίστηκε μέσω βελτιωμένου αλγορίθμου.

CVE-2017-7086: Russ Cox της Google

libc

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-1000373

libexpat

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλά προβλήματα στο expat

Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 2.2.1

CVE-2016-9063

CVE-2017-9233

libxml2

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4302: Gustavo Grieco

libxml2

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-5130: ανώνυμος ερευνητής

CVE-2017-7376: ανώνυμος ερευνητής

libxml2

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-9050: Mateusz Jurczyk (j00ru) του Google Project Zero

libxml2

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2017-9049: Wei Lei και Liu Yang – Nanyang Technological University της Σιγκαπούρης

Mail

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ο αποστολέας ενός email ενδέχεται να μπορεί να προσδιορίσει τη διεύθυνση IP του παραλήπτη

Περιγραφή: Η απενεργοποίηση της ρύθμισης «Φόρτωση απομακρυσμένου περιεχομένου σε μηνύματα» δεν ίσχυε για όλες τις θυρίδες. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη μετάδοση ρυθμίσεων.

CVE-2017-7141: John Whitehead της The New York Times

Πρόχειρα στο Mail

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να υποκλέψει περιεχόμενο ηλεκτρονικής αλληλογραφίας

Περιγραφή: Υπήρχε ένα πρόβλημα κρυπτογράφησης στον χειρισμό πρόχειρων μηνυμάτων ηλεκτρονικής αλληλογραφίας. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των πρόχειρων μηνυμάτων ηλεκτρονικής αλληλογραφίας ώστε να αποστέλλονται κρυπτογραφημένα.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE από τη Μασσαλία (Γαλλία), ανώνυμος ερευνητής

ntp

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλαπλά προβλήματα στο ntp

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 4.2.8p10

CVE-2017-6451: Cure53

CVE-2017-6452: Cure53

CVE-2017-6455: Cure53

CVE-2017-6458: Cure53

CVE-2017-6459: Cure53

CVE-2017-6460: Cure53

CVE-2017-6462: Cure53

CVE-2017-6463: Cure53

CVE-2017-6464: Cure53

CVE-2016-9042: Matthew Van Gundy της Cisco

Αρχιτεκτονική ανοικτού σεναρίου

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η αποσυμπίληση του AppleScript με το osadecompile ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13824: ανώνυμος ερευνητής

PCRE

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλαπλά προβλήματα στο pcre

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 8.40.

CVE-2017-13846

Postfix

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλαπλά προβλήματα στο Postfix

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 3.2.2.

CVE-2017-10140: ανώνυμος ερευνητής

Άμεση προβολή

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13822: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

Άμεση προβολή

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου εγγράφου office ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-7132: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

QuickTime

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13823: Xiangkun Jia του Institute of Software Chinese Academy of Sciences

Απομακρυσμένη διαχείριση

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13808: ανώνυμος ερευνητής

Sandbox

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13838: Alastair Houghton

Κλείδωμα οθόνης

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ενδέχεται να εμφανίζονται προτροπές σχετικά με το Τείχος προστασίας εφαρμογής επάνω από το παράθυρο σύνδεσης

Περιγραφή: Ένα πρόβλημα διαχείρισης παραθύρου επιλύθηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2017-7082: Tim Kingman

Ασφάλεια

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένα πιστοποιητικό που έχει ανακληθεί ενδέχεται να εμφανίζεται ως αξιόπιστο

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης πιστοποιητικών στον χειρισμό των δεδομένων ανάκλησης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2017-7080: Sven Driemecker της adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) της Bærum kommune, ανώνυμος ερευνητής, ανώνυμος ερευνητής

SMB

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να είναι σε θέση να εκτελέσει μη εκτελέσιμα αρχεία κειμένου μέσω ενός κοινόχρηστου στοιχείου SMB

Περιγραφή: Ένα πρόβλημα στον χειρισμό των δικαιωμάτων των αρχείων επιλύθηκε με βελτιωμένη επαλήθευση.

CVE-2017-13908: ανώνυμος ερευνητής

Spotlight

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Το Spotlight ενδέχεται να εμφανίζει αποτελέσματα για αρχεία που δεν ανήκουν στον χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης στο Spotlight. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2017-13839: Ken Harris του Free Robot Collective

Spotlight

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox στις εφαρμογές.

CVE-2017-13910

SQLite

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλά προβλήματα στο SQLite

Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 3.19.3.

CVE-2017-10989: εντοπίστηκε από OSS-Fuzz

CVE-2017-7128: εντοπίστηκε από OSS-Fuzz

CVE-2017-7129: εντοπίστηκε από OSS-Fuzz

CVE-2017-7130: εντοπίστηκε από OSS-Fuzz

SQLite

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7127: ανώνυμος ερευνητής

zlib

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλά προβλήματα στο zlib

Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Επιπλέον αναγνώριση

Ασφάλεια

Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Abhinav Bansal της Zscaler, Inc.

NSWindow

Θα θέλαμε να ευχαριστήσουμε τον Trent Apted από την ομάδα Google Chrome για τη βοήθειά του.

WebKit Web Inspector

Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Ioan Bizău του Bloggify.

Συμπληρωματική ενημέρωση του macOS High Sierra 10.13

Στις νέες λήψεις του macOS High Sierra 10.13 περιλαμβάνεται το περιεχόμενο ασφάλειας της Συμπληρωματικής ενημέρωσης του macOS High Sierra 10.13.