Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS High Sierra 10.13.1, της Ενημέρωσης ασφάλειας 2017-001 Sierra και της Ενημέρωσης ασφάλειας 2017-004 El Capitan.
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS High Sierra 10.13.1, της Ενημέρωσης ασφάλειας 2017-001 Sierra και της Ενημέρωσης ασφάλειας 2017-004 El Capitan.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
macOS High Sierra 10.13.1, Ενημέρωση ασφάλειας 2017-001 Sierra και Ενημέρωση ασφάλειας 2017-004 El Capitan
apache
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Πολλαπλά προβλήματα στο Apache
Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 2.4.27.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
CVE-2017-3167
CVE-2017-3169
CVE-2017-7659
CVE-2017-7668
CVE-2017-7679
CVE-2017-9788
CVE-2017-9789
APFS
Διατίθεται για: macOS High Sierra 10.13
Αποτέλεσμα: Ένας κακόβουλος προσαρμογέας Thunderbolt ενδέχεται να είναι σε θέση να ανακτήσει μη κρυπτογραφημένα δεδομένα συστημάτων αρχείων APFS
Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό του DMA. Αυτό το πρόβλημα αντιμετωπίστηκε με περιορισμό του χρόνου αντιστοίχισης των buffer αποκρυπτογράφησης του FileVault στο DMA με βάση τη διάρκεια της εργασίας Ι/Ο.
CVE-2017-13786: Dmytro Oleksiuk
APFS
Διατίθεται για: macOS High Sierra 10.13
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13800: Sergej Schumilo του Ruhr-University Bochum
AppleScript
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Η αποσυμπίληση του AppleScript με το osadecompile ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13809: bat0s
ATS
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2017-13820: John Villamil, Doyensec
Ήχος
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου QuickTime ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13807: Yangkang (@dnpushme) από την ομάδα Qihoo 360 Qex
CFNetwork
Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13829: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2017-13833: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CFString
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13821: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
CoreText
Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13825: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
curl
Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6
Αποτέλεσμα: Η αποστολή με χρήση TFTP σε διεύθυνση URL με κακόβουλη δομή με το libcurl ενδέχεται να κοινοποιήσει μνήμη εφαρμογής
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2017-1000100: Even Rouault, εντοπίστηκε από OSS-Fuzz
curl
Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6
Αποτέλεσμα: Η επεξεργασία μιας διεύθυνσης URL με κακόβουλη δομή με το libcurl ενδέχεται να προκαλέσει απρόσμενο τερματισμό εφαρμογής ή την ανάγνωση μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2017-1000101: Brian Carpenter, Yongji Ouyang
Widget Λεξικό
Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6
Αποτέλεσμα: Η αναζήτηση επικολλημένου κειμένου στο widget Λεξικό ενδέχεται να αποκαλύψει στοιχεία του χρήστη
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης το οποίο επέτρεπε την πρόσβαση σε τοπικά αρχεία. Αντιμετωπίστηκε με εξυγίανση εισαγωγής.
CVE-2017-13801: xisigr του Tencent’s Xuanwu Lab (tencent.com)
αρχείο
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Πολλαπλά προβλήματα στο αρχείο
Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 5.31.
CVE-2017-13815: εντοπίστηκε από το OSS-Fuzz
Γραμματοσειρές
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Η απόδοση μη αξιόπιστου κειμένου ενδέχεται να οδηγήσει σε πλαστογράφηση
Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-13828: Leonard Grey και Robert Sesek της Google Chrome
fsck_msdos
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13811: V.E.O. (@VYSEa) από την ομάδα Mobile Advanced Threat Team της Trend Micro
HFS
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13830: Sergej Schumilo του πανεπιστημίου Ruhr-University Bochum
Heimdal
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να μιμείται μια υπηρεσία
Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό του ονόματος υπηρεσίας KDC-REP. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni και Nico Williams
HelpViewer
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Ένα αρχείο HTML σε καραντίνα ενδέχεται να εκτελεί αυθαίρετα ένα σφάλμα μεταξύ προελεύσεων με το JavaScript
Περιγραφή: Υπήρχε ένα πρόβλημα εκτέλεσης σεναρίου μεταξύ ιστότοπων στο HelpViewer. Αυτό το πρόβλημα αντιμετωπίστηκε με την κατάργηση του προσβεβλημένου αρχείου.
CVE-2017-13819: Filippo Cavallarin του SecuriTeam Secure Disclosure
ImageIO
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2017-13814: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
ImageIO
Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2017-13831: Glen Carmichael
IOAcceleratorFamily
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13906
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Υπήρχε ένα πρόβλημα με τα δικαιώματα στους μετρητές του πακέτου πυρήνων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση δικαιωμάτων.
CVE-2017-13810: Zhiyun Qian του University of California, Riverside
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2017-13817: Maxime Villard της (m00nbsd)
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13818: Το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο του Ηνωμένου Βασιλείου (National Cyber Security Centre, NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Kevin Backhouse της Semmle Ltd.
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13843: ανώνυμος ερευνητής, ανώνυμος ερευνητής
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Η επεξεργασία ενός μη κατάλληλα διαμορφωμένου δυαδικού αρχείου mach μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2017-13834: Maxime Villard (m00nbsd)
Πυρήνας
Διατίθεται για: macOS High Sierra 10.13 και macOS Sierra 10.12.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13799: Lufeng Li από την ομάδα Qihoo 360 Vulcan Team
Πυρήνας
Διατίθεται για: macOS High Sierra 10.13
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να μάθει πληροφορίες σχετικά με την παρουσία και τη λειτουργία άλλων εφαρμογών στη συσκευή.
Περιγραφή: Μια εφαρμογή μπόρεσε να αποκτήσει πρόσβαση σε πληροφορίες διεργασίας που διατηρούνται από το λειτουργικό σύστημα χωρίς περιορισμό. Αυτό το πρόβλημα αντιμετωπίστηκε με περιορισμό ρυθμού.
CVE-2017-13852: Xiaokuan Zhang και Yinqian Zhang από το Ohio State University, Xueqiang Wang και XiaoFeng Wang από το Indiana University Bloomington και Xiaolong Bai από το Tsinghua University
libarchive
Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6
Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στο libarchive. Αυτά τα προβλήματα αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2017-13813: εντοπίστηκε από OSS-Fuzz
libarchive
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στο libarchive. Αυτά τα προβλήματα αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2017-13812: εντοπίστηκε από OSS-Fuzz
libarchive
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2016-4736: Proteas από την ομάδα Qihoo 360 Nirvan
libxml2
Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6
Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2017-5969: Gustavo Grieco
libxml2
Διατίθεται για: OS X El Capitan 10.11.6
Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-5130: ανώνυμος ερευνητής
CVE-2017-7376: ανώνυμος ερευνητής
libxml2
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2017-9050: Mateusz Jurczyk (j00ru) του Google Project Zero
libxml2
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2017-9049: Wei Lei και Liu Yang – Nanyang Technological University της Σιγκαπούρης
LinkPresentation
Διατίθεται για: macOS High Sierra 10.13
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2018-4390: Rayyan Bijoora (@Bijoora) του The City School, PAF Chapter
CVE-2018-4391: Rayyan Bijoora (@Bijoora) του The City School, PAF Chapter
Παράθυρο σύνδεσης
Διατίθεται για: macOS High Sierra 10.13
Αποτέλεσμα: Η οθόνη κλειδώματος ενδέχεται να παραμένει απρόσμενα ξεκλείδωτη
Περιγραφή: Ένα πρόβλημα διαχείρισης κατάστασης αντιμετωπίστηκε με βελτιωμένη επαλήθευση κατάστασης.
CVE-2017-13907: ανώνυμος ερευνητής
Αρχιτεκτονική ανοικτού σεναρίου
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Η αποσυμπίληση του AppleScript με το osadecompile ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13824: ανώνυμος ερευνητής
PCRE
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Πολλαπλά προβλήματα στο pcre
Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 8.40.
CVE-2017-13846
Postfix
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Πολλαπλά προβλήματα στο Postfix
Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 3.2.2.
CVE-2017-10140: ανώνυμος ερευνητής
Άμεση προβολή
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13822: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)
Άμεση προβολή
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Η ανάλυση ενός κακόβουλου εγγράφου office ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
QuickTime
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13823: Xiangkun Jia του Institute of Software Chinese Academy of Sciences
Απομακρυσμένη διαχείριση
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13808: ανώνυμος ερευνητής
Sandbox
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13838: Alastair Houghton
Ασφάλεια
Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-7170: Patrick Wardle του Synack
Ασφάλεια
Διατίθεται για: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να εξαγάγει συνθηματικά από την κλειδοθήκη
Περιγραφή: Υπήρχε ένας τρόπος να παρακάμψουν οι εφαρμογές την προτροπή για πρόσβαση στην κλειδοθήκη με ένα συνθετικό κλικ. Αυτό αντιμετωπίστηκε με απαίτηση καταχώρισης του συνθηματικού του χρήστη όταν γίνεται προτροπή για πρόσβαση στην κλειδοθήκη.
CVE-2017-7150: Patrick Wardle του Synack
SMB
Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να είναι σε θέση να εκτελέσει μη εκτελέσιμα αρχεία κειμένου μέσω ενός κοινόχρηστου στοιχείου SMB
Περιγραφή: Ένα πρόβλημα στον χειρισμό των δικαιωμάτων των αρχείων επιλύθηκε με βελτιωμένη επαλήθευση.
CVE-2017-13908: ανώνυμος ερευνητής
StreamingZip
Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6
Αποτέλεσμα: Ένα κακόβουλο αρχείο zip ενδέχεται να είναι σε θέση να τροποποιήσει περιορισμένες περιοχές του συστήματος αρχείων
Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2017-13804: @qwertyoruiopz της KJC Research Intl. S.R.L.
tcpdump
Διατίθεται για: macOS High Sierra 10.13 και macOS Sierra 10.12.6
Αποτέλεσμα: Πολλαπλά προβλήματα στο tcpdump
Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 4.9.2.
CVE-2017-11108
CVE-2017-11541
CVE-2017-11542
CVE-2017-11543
CVE-2017-12893
CVE-2017-12894
CVE-2017-12895
CVE-2017-12896
CVE-2017-12897
CVE-2017-12898
CVE-2017-12899
CVE-2017-12900
CVE-2017-12901
CVE-2017-12902
CVE-2017-12985
CVE-2017-12986
CVE-2017-12987
CVE-2017-12988
CVE-2017-12989
CVE-2017-12990
CVE-2017-12991
CVE-2017-12992
CVE-2017-12993
CVE-2017-12994
CVE-2017-12995
CVE-2017-12996
CVE-2017-12997
CVE-2017-12998
CVE-2017-12999
CVE-2017-13000
CVE-2017-13001
CVE-2017-13002
CVE-2017-13003
CVE-2017-13004
CVE-2017-13005
CVE-2017-13006
CVE-2017-13007
CVE-2017-13008
CVE-2017-13009
CVE-2017-13010
CVE-2017-13011
CVE-2017-13012
CVE-2017-13013
CVE-2017-13014
CVE-2017-13015
CVE-2017-13016
CVE-2017-13017
CVE-2017-13018
CVE-2017-13019
CVE-2017-13020
CVE-2017-13021
CVE-2017-13022
CVE-2017-13023
CVE-2017-13024
CVE-2017-13025
CVE-2017-13026
CVE-2017-13027
CVE-2017-13028
CVE-2017-13029
CVE-2017-13030
CVE-2017-13031
CVE-2017-13032
CVE-2017-13033
CVE-2017-13034
CVE-2017-13035
CVE-2017-13036
CVE-2017-13037
CVE-2017-13038
CVE-2017-13039
CVE-2017-13040
CVE-2017-13041
CVE-2017-13042
CVE-2017-13043
CVE-2017-13044
CVE-2017-13045
CVE-2017-13046
CVE-2017-13047
CVE-2017-13048
CVE-2017-13049
CVE-2017-13050
CVE-2017-13051
CVE-2017-13052
CVE-2017-13053
CVE-2017-13054
CVE-2017-13055
CVE-2017-13687
CVE-2017-13688
CVE-2017-13689
CVE-2017-13690
CVE-2017-13725
Wi-Fi
Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6
Αποτέλεσμα: Ένας εισβολέας στην εμβέλεια του Wi-Fi ενδεχομένως να επιβάλλει την επαναχρησιμοποίηση μοναδικών αριθμών nonce σε μοναδική διανομή WPA/πελάτες PTK (επιθέσεις επανεγκατάστασης κλειδιών – KRACK)
Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των μεταβάσεων κατάστασης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-13077: Mathy Vanhoef από την ομάδα imec-DistriNet στο KU Leuven
CVE-2017-13078: Mathy Vanhoef από την ομάδα imec-DistriNet στο KU Leuven
Wi-Fi
Διατίθεται για: macOS High Sierra 10.13, macOS Sierra 10.12.6 και OS X El Capitan 10.11.6
Αποτέλεσμα: Ένας εισβολέας στην εμβέλεια του Wi-Fi ενδεχομένως να επιβάλλει την επαναχρησιμοποίηση μοναδικών αριθμών nonce σε πολλαπλή διανομή WPA/υπολογιστές-πελάτες GTK (επιθέσεις επανεγκατάστασης κλειδιών - KRACK)
Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των μεταβάσεων κατάστασης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-13080: Mathy Vanhoef από την ομάδα imec-DistriNet στο KU Leuven
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.