Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
macOS High Sierra 10.13
Κυκλοφόρησε στις 25 Σεπτεμβρίου 2017
802.1X
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του TLS 1.0
Περιγραφή: Ένα πρόβλημα ασφάλειας πρωτοκόλλου αντιμετωπίστηκε ενεργοποιώντας το TLS 1.1 και το TLS 1.2.
CVE-2017-13832: Doug Wussler του Florida State University
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017
apache
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Πολλαπλά προβλήματα στο Apache
Περιγραφή: Υπήρχαν πολλαπλά προβλήματα στο Apache. Αντιμετωπίστηκαν με την ενημέρωση του Apache στην έκδοση 2.4.25.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 14 Δεκεμβρίου 2018
Ρυθμίσεις λογαριασμού Apple
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε διακριτικά ελέγχου ταυτότητας iCloud
Περιγραφή: Υπήρχε ένα πρόβλημα με την αποθήκευση διακριτικών με ευαίσθητο περιεχόμενο. Αυτό το πρόβλημα αντιμετωπίστηκε με τοποθέτηση των διακριτικών στην Κλειδοθήκη.
CVE-2017-13909: Andreas Nilsson
Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018
AppleScript
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η αποσυμπίληση του AppleScript με το osadecompile ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13809: bat0s
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017
Τείχος προστασίας εφαρμογής
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια ρύθμιση του τείχους προστασίας της εφαρμογής που προηγουμένως δεν γινόταν δεκτή ενδέχεται να τεθεί σε ισχύ μετά την αναβάθμιση
Περιγραφή: Υπήρχε ένα πρόβλημα αναβάθμισης στον χειρισμό των ρυθμίσεων του τείχους προστασίας. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού των ρυθμίσεων του τείχους προστασίας κατά τη διάρκεια των αναβαθμίσεων.
CVE-2017-7084: ανώνυμος ερευνητής
AppSandbox
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Πολλά προβλήματα άρνησης υπηρεσίας αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-7074: Daniel Jalkut της Red Sweater Software
ATS
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2017-13820: John Villamil, Doyensec
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Ήχος
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου QuickTime ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-13807: Yangkang (@dnpushme) από την ομάδα Qihoo 360 Qex
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Βοηθός δικτύου υποδοχής
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να στείλει ακούσια ένα μη κρυπτογραφημένο συνθηματικό μέσω του δικτύου
Περιγραφή: Η κατάσταση ασφάλειας του προγράμματος περιήγησης της πύλης υποδοχής δεν ήταν προφανής. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη ορατότητα της κατάστασης ασφάλειας του προγράμματος περιήγησης της πύλης υποδοχής.
CVE-2017-7143: Matthew Green του Johns Hopkins University
Η καταχώριση ενημερώθηκε στις 3 Οκτωβρίου 2017
CFNetwork
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13829: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2017-13833: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Η καταχώριση προστέθηκε στις 10 Νοεμβρίου 2017
Διακομιστές μεσολάβησης CFNetwork
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Πολλαπλά προβλήματα άρνησης υπηρεσίας αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-7083: Abhinav Bansal της Zscaler Inc.
CFString
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13821: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
CoreAudio
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Μια ανάγνωση εκτός ορίων αντιμετωπίστηκε με ενημέρωση του Opus στην έκδοση 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) της ερευνητικής ομάδας Mobile Threat Research Team, Trend Micro
CoreText
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13825: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 16 Νοεμβρίου 2018
CoreTypes
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η επεξεργασία μια κακόβουλης ιστοσελίδας μπορεί να οδηγήσει σε προσάρτηση ενός ειδώλου δίσκου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.
CVE-2017-13890: Apple, Theodor Ragnar Gislason της Syndis
Η καταχώριση προστέθηκε στις 29 Μαρτίου 2018
DesktopServices
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να έχει τη δυνατότητα να δει μη προστατευμένα δεδομένα χρηστών
Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης σε συγκεκριμένα αρχεία του φακέλου αφετηρίας. Αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.
CVE-2017-13851: Henrique Correa της Amorim
Η καταχώριση προστέθηκε στις 2 Νοεμβρίου 2017 και ενημερώθηκε στις 14 Φεβρουαρίου 2018
Βοήθημα καταλόγου
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προσδιορίσει το Apple ID του κατόχου του υπολογιστή
Περιγραφή: Υπήρχε ένα πρόβλημα με τα δικαιώματα στον χειρισμό του Apple ID. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους πρόσβασης.
CVE-2017-7138: Daniel Kvak του Masaryk University
Η καταχώριση ενημερώθηκε στις 3 Οκτωβρίου 2017
αρχείο
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Πολλαπλά προβλήματα στο αρχείο
Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 5.30.
CVE-2017-7121: εντοπίστηκε από OSS-Fuzz
CVE-2017-7122: εντοπίστηκε από OSS-Fuzz
CVE-2017-7123: εντοπίστηκε από OSS-Fuzz
CVE-2017-7124: εντοπίστηκε από OSS-Fuzz
CVE-2017-7125: εντοπίστηκε από OSS-Fuzz
CVE-2017-7126: εντοπίστηκε από OSS-Fuzz
αρχείο
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Πολλαπλά προβλήματα στο αρχείο
Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 5.31.
CVE-2017-13815
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Γραμματοσειρές
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η απόδοση μη αξιόπιστου κειμένου ενδέχεται να οδηγήσει σε πλαστογράφηση
Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-13828: Leonard Grey και Robert Sesek της Google Chrome
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017
fsck_msdos
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13811: V.E.O. (@VYSEa) από την ομάδα Mobile Advanced Threat Team της Trend Micro
Η καταχώριση ενημερώθηκε στις 2 Νοεμβρίου 2017
fsck_msdos
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13835: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018
Heimdal
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να μιμείται μια υπηρεσία
Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό του ονόματος υπηρεσίας KDC-REP. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni και Nico Williams
HelpViewer
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένα αρχείο HTML σε καραντίνα ενδέχεται να εκτελεί αυθαίρετα ένα σφάλμα μεταξύ προελεύσεων με το JavaScript
Περιγραφή: Υπήρχε ένα πρόβλημα εκτέλεσης σεναρίου μεταξύ ιστότοπων στο HelpViewer. Αυτό το πρόβλημα αντιμετωπίστηκε με την κατάργηση του προσβεβλημένου αρχείου.
CVE-2017-13819: Filippo Cavallarin του SecuriTeam Secure Disclosure
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017
HFS
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13830: Sergej Schumilo του πανεπιστημίου Ruhr-University Bochum
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
ImageIO
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2017-13814: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 16 Νοεμβρίου 2018
ImageIO
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2017-13831: Glen Carmichael
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 3 Απριλίου 2019
Πρόγραμμα εγκατάστασης
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να είναι σε θέση να αποκτά πρόσβαση στο κλειδί για το ξεκλείδωμα του FileVault
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με κατάργηση των πρόσθετων δικαιωμάτων.
CVE-2017-13837: Patrick Wardle του Synack
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017
IOAcceleratorFamily
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13906
Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018
IOFireWireFamily
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7077: Brandon Azad
IOFireWireFamily
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng της Alibaba Inc., Benjamin Gnahm (@mitp0sh) της PDX
Πυρήνας
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7114: Alex Plaskett της MWR InfoSecurity
Πυρήνας
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Υπήρχε ένα πρόβλημα με τα δικαιώματα στους μετρητές του πακέτου πυρήνων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση δικαιωμάτων.
CVE-2017-13810: Zhiyun Qian του University of California, Riverside
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017
Πυρήνας
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2017-13817: Maxime Villard της (m00nbsd)
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Πυρήνας
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13818: Το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο του Ηνωμένου Βασιλείου (National Cyber Security Centre, NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Kevin Backhouse της Semmle Ltd.
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 18 Ιουνίου 2018
Πυρήνας
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13843: ανώνυμος ερευνητής, ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Πυρήνας
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13854: shrek_wzw από την ομάδα Qihoo 360 Nirvan
Η καταχώριση προστέθηκε στις 2 Νοεμβρίου 2017
Πυρήνας
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η επεξεργασία ενός μη κατάλληλα διαμορφωμένου δυαδικού αρχείου mach μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης.
CVE-2017-13834: Maxime Villard (m00nbsd)
Η καταχώριση προστέθηκε στις 10 Νοεμβρίου 2017
Πυρήνας
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να μάθει πληροφορίες σχετικά με την παρουσία και τη λειτουργία άλλων εφαρμογών στη συσκευή.
Περιγραφή: Μια εφαρμογή μπόρεσε να αποκτήσει πρόσβαση σε πληροφορίες δραστηριότητας δικτύου που διατηρούνται από το λειτουργικό σύστημα χωρίς περιορισμό. Αυτό το πρόβλημα αντιμετωπίστηκε με μείωση των πληροφοριών που διατίθενται σε εφαρμογές τρίτου μέρους.
CVE-2017-13873: Xiaokuan Zhang και Yinqian Zhang από το Ohio State University, Xueqiang Wang και XiaoFeng Wang από το Indiana University Bloomington και Xiaolong Bai από το Tsinghua University
Η καταχώριση προστέθηκε στις 30 Νοεμβρίου 2017
εργαλεία kext
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα λογικής κατά τη φόρτωση kext αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.
CVE-2017-13827: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
libarchive
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-13813: εντοπίστηκε από OSS-Fuzz
CVE-2017-13816: εντοπίστηκε από OSS-Fuzz
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
libarchive
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στο libarchive. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένης επαλήθευσης εισόδου.
CVE-2017-13812: εντοπίστηκε από OSS-Fuzz
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
libarchive
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2016-4736: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
libc
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα εξάντλησης πόρων στο glob() αντιμετωπίστηκε μέσω βελτιωμένου αλγορίθμου.
CVE-2017-7086: Russ Cox της Google
libc
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-1000373
libexpat
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Πολλά προβλήματα στο expat
Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 2.2.1
CVE-2016-9063
CVE-2017-9233
libxml2
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2018-4302: Gustavo Grieco
Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018
libxml2
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-5130: ανώνυμος ερευνητής
CVE-2017-7376: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018
libxml2
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2017-9050: Mateusz Jurczyk (j00ru) του Google Project Zero
Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018
libxml2
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2017-9049: Wei Lei και Liu Yang – Nanyang Technological University της Σιγκαπούρης
Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ο αποστολέας ενός email ενδέχεται να μπορεί να προσδιορίσει τη διεύθυνση IP του παραλήπτη
Περιγραφή: Η απενεργοποίηση της ρύθμισης «Φόρτωση απομακρυσμένου περιεχομένου σε μηνύματα» δεν ίσχυε για όλες τις θυρίδες. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη μετάδοση ρυθμίσεων.
CVE-2017-7141: John Whitehead της The New York Times
Η καταχώριση ενημερώθηκε στις 3 Οκτωβρίου 2017
Πρόχειρα στο Mail
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να υποκλέψει περιεχόμενο ηλεκτρονικής αλληλογραφίας
Περιγραφή: Υπήρχε ένα πρόβλημα κρυπτογράφησης στον χειρισμό πρόχειρων μηνυμάτων ηλεκτρονικής αλληλογραφίας. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των πρόχειρων μηνυμάτων ηλεκτρονικής αλληλογραφίας ώστε να αποστέλλονται κρυπτογραφημένα.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE από τη Μασσαλία (Γαλλία), ανώνυμος ερευνητής
Η καταχώριση ενημερώθηκε στις 3 Οκτωβρίου 2017
ntp
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Πολλαπλά προβλήματα στο ntp
Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 4.2.8p10
CVE-2017-6451: Cure53
CVE-2017-6452: Cure53
CVE-2017-6455: Cure53
CVE-2017-6458: Cure53
CVE-2017-6459: Cure53
CVE-2017-6460: Cure53
CVE-2017-6462: Cure53
CVE-2017-6463: Cure53
CVE-2017-6464: Cure53
CVE-2016-9042: Matthew Van Gundy της Cisco
Αρχιτεκτονική ανοικτού σεναρίου
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η αποσυμπίληση του AppleScript με το osadecompile ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13824: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
PCRE
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Πολλαπλά προβλήματα στο pcre
Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 8.40.
CVE-2017-13846
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Postfix
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Πολλαπλά προβλήματα στο Postfix
Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 3.2.2.
CVE-2017-10140: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 17 Νοεμβρίου 2017
Άμεση προβολή
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13822: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Άμεση προβολή
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Η ανάλυση ενός κακόβουλου εγγράφου office ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-7132: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
QuickTime
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13823: Xiangkun Jia του Institute of Software Chinese Academy of Sciences
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017
Απομακρυσμένη διαχείριση
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13808: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017
Sandbox
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13838: Alastair Houghton
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017
Κλείδωμα οθόνης
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ενδέχεται να εμφανίζονται προτροπές σχετικά με το Τείχος προστασίας εφαρμογής επάνω από το παράθυρο σύνδεσης
Περιγραφή: Ένα πρόβλημα διαχείρισης παραθύρου επιλύθηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2017-7082: Tim Kingman
Ασφάλεια
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένα πιστοποιητικό που έχει ανακληθεί ενδέχεται να εμφανίζεται ως αξιόπιστο
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης πιστοποιητικών στον χειρισμό των δεδομένων ανάκλησης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2017-7080: Sven Driemecker της adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) της Bærum kommune, ανώνυμος ερευνητής, ανώνυμος ερευνητής
SMB
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να είναι σε θέση να εκτελέσει μη εκτελέσιμα αρχεία κειμένου μέσω ενός κοινόχρηστου στοιχείου SMB
Περιγραφή: Ένα πρόβλημα στον χειρισμό των δικαιωμάτων των αρχείων επιλύθηκε με βελτιωμένη επαλήθευση.
CVE-2017-13908: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018
Spotlight
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Το Spotlight ενδέχεται να εμφανίζει αποτελέσματα για αρχεία που δεν ανήκουν στον χρήστη
Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης στο Spotlight. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.
CVE-2017-13839: Ken Harris του Free Robot Collective
Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017
Spotlight
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox στις εφαρμογές.
CVE-2017-13910
Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018
SQLite
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Πολλά προβλήματα στο SQLite
Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 3.19.3.
CVE-2017-10989: εντοπίστηκε από OSS-Fuzz
CVE-2017-7128: εντοπίστηκε από OSS-Fuzz
CVE-2017-7129: εντοπίστηκε από OSS-Fuzz
CVE-2017-7130: εντοπίστηκε από OSS-Fuzz
SQLite
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7127: ανώνυμος ερευνητής
zlib
Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση
Αποτέλεσμα: Πολλά προβλήματα στο zlib
Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Επιπλέον αναγνώριση
Ασφάλεια
Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Abhinav Bansal της Zscaler, Inc.
NSWindow
Θα θέλαμε να ευχαριστήσουμε τον Trent Apted από την ομάδα Google Chrome για τη βοήθειά του.
WebKit Web Inspector
Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Ioan Bizău του Bloggify.
Συμπληρωματική ενημέρωση του macOS High Sierra 10.13
Στις νέες λήψεις του macOS High Sierra 10.13 περιλαμβάνεται το περιεχόμενο ασφάλειας της Συμπληρωματικής ενημέρωσης του macOS High Sierra 10.13.