Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS High Sierra 10.13

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS High Sierra 10.13.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

macOS High Sierra 10.13

Κυκλοφόρησε στις 25 Σεπτεμβρίου 2017

802.1X

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του TLS 1.0

Περιγραφή: Ένα πρόβλημα ασφάλειας πρωτοκόλλου αντιμετωπίστηκε ενεργοποιώντας το TLS 1.1 και το TLS 1.2.

CVE-2017-13832: Doug Wussler του Florida State University

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017

apache

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλαπλά προβλήματα στο Apache

Περιγραφή: Υπήρχαν πολλαπλά προβλήματα στο Apache. Αντιμετωπίστηκαν με την ενημέρωση του Apache στην έκδοση 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 14 Δεκεμβρίου 2018

Ρυθμίσεις λογαριασμού Apple

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε διακριτικά ελέγχου ταυτότητας iCloud

Περιγραφή: Υπήρχε ένα πρόβλημα με την αποθήκευση διακριτικών με ευαίσθητο περιεχόμενο. Αυτό το πρόβλημα αντιμετωπίστηκε με τοποθέτηση των διακριτικών στην Κλειδοθήκη.

CVE-2017-13909: Andreas Nilsson

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

AppleScript

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η αποσυμπίληση του AppleScript με το osadecompile ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13809: bat0s

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017

Τείχος προστασίας εφαρμογής

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια ρύθμιση του τείχους προστασίας της εφαρμογής που προηγουμένως δεν γινόταν δεκτή ενδέχεται να τεθεί σε ισχύ μετά την αναβάθμιση

Περιγραφή: Υπήρχε ένα πρόβλημα αναβάθμισης στον χειρισμό των ρυθμίσεων του τείχους προστασίας. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού των ρυθμίσεων του τείχους προστασίας κατά τη διάρκεια των αναβαθμίσεων.

CVE-2017-7084: ανώνυμος ερευνητής

AppSandbox

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Πολλά προβλήματα άρνησης υπηρεσίας αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-7074: Daniel Jalkut της Red Sweater Software

ATS

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-13820: John Villamil, Doyensec

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

Ήχος

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου QuickTime ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-13807: Yangkang (@dnpushme) από την ομάδα Qihoo 360 Qex

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

Βοηθός δικτύου υποδοχής

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να στείλει ακούσια ένα μη κρυπτογραφημένο συνθηματικό μέσω του δικτύου

Περιγραφή: Η κατάσταση ασφάλειας του προγράμματος περιήγησης της πύλης υποδοχής δεν ήταν προφανής. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη ορατότητα της κατάστασης ασφάλειας του προγράμματος περιήγησης της πύλης υποδοχής.

CVE-2017-7143: Matthew Green του Johns Hopkins University

Η καταχώριση ενημερώθηκε στις 3 Οκτωβρίου 2017

CFNetwork

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13829: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro 

CVE-2017-13833: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 10 Νοεμβρίου 2017

Διακομιστές μεσολάβησης CFNetwork

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Πολλαπλά προβλήματα άρνησης υπηρεσίας αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-7083: Abhinav Bansal της Zscaler Inc.

CFString

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13821: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

CoreAudio

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Μια ανάγνωση εκτός ορίων αντιμετωπίστηκε με ενημέρωση του Opus στην έκδοση 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) της ερευνητικής ομάδας Mobile Threat Research Team, Trend Micro

CoreText

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13825: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 16 Νοεμβρίου 2018

CoreTypes

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία μια κακόβουλης ιστοσελίδας μπορεί να οδηγήσει σε προσάρτηση ενός ειδώλου δίσκου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2017-13890: Apple, Theodor Ragnar Gislason της Syndis

Η καταχώριση προστέθηκε στις 29 Μαρτίου 2018

DesktopServices

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να έχει τη δυνατότητα να δει μη προστατευμένα δεδομένα χρηστών

Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης σε συγκεκριμένα αρχεία του φακέλου αφετηρίας. Αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2017-13851: Henrique Correa της Amorim

Η καταχώριση προστέθηκε στις 2 Νοεμβρίου 2017 και ενημερώθηκε στις 14 Φεβρουαρίου 2018

Βοήθημα καταλόγου

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προσδιορίσει το Apple ID του κατόχου του υπολογιστή

Περιγραφή: Υπήρχε ένα πρόβλημα με τα δικαιώματα στον χειρισμό του Apple ID. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους πρόσβασης.

CVE-2017-7138: Daniel Kvak του Masaryk University

Η καταχώριση ενημερώθηκε στις 3 Οκτωβρίου 2017

αρχείο

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλαπλά προβλήματα στο αρχείο

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 5.30.

CVE-2017-7121: εντοπίστηκε από OSS-Fuzz

CVE-2017-7122: εντοπίστηκε από OSS-Fuzz

CVE-2017-7123: εντοπίστηκε από OSS-Fuzz

CVE-2017-7124: εντοπίστηκε από OSS-Fuzz

CVE-2017-7125: εντοπίστηκε από OSS-Fuzz

CVE-2017-7126: εντοπίστηκε από OSS-Fuzz

αρχείο

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλαπλά προβλήματα στο αρχείο

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 5.31.

CVE-2017-13815

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

Γραμματοσειρές

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η απόδοση μη αξιόπιστου κειμένου ενδέχεται να οδηγήσει σε πλαστογράφηση

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-13828: Leonard Grey και Robert Sesek της Google Chrome

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017

fsck_msdos

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13811: V.E.O. (@VYSEa) από την ομάδα Mobile Advanced Threat Team της Trend Micro

Η καταχώριση ενημερώθηκε στις 2 Νοεμβρίου 2017

fsck_msdos

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13835: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

Heimdal

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να μιμείται μια υπηρεσία

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό του ονόματος υπηρεσίας KDC-REP. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni και Nico Williams

HelpViewer

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένα αρχείο HTML σε καραντίνα ενδέχεται να εκτελεί αυθαίρετα ένα σφάλμα μεταξύ προελεύσεων με το JavaScript

Περιγραφή: Υπήρχε ένα πρόβλημα εκτέλεσης σεναρίου μεταξύ ιστότοπων στο HelpViewer. Αυτό το πρόβλημα αντιμετωπίστηκε με την κατάργηση του προσβεβλημένου αρχείου.

CVE-2017-13819: Filippo Cavallarin του SecuriTeam Secure Disclosure

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017

HFS

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13830: Sergej Schumilo του πανεπιστημίου Ruhr-University Bochum

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

ImageIO

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-13814: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 16 Νοεμβρίου 2018

ImageIO

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-13831: Glen Carmichael

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 3 Απριλίου 2019

Πρόγραμμα εγκατάστασης

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να είναι σε θέση να αποκτά πρόσβαση στο κλειδί για το ξεκλείδωμα του FileVault

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με κατάργηση των πρόσθετων δικαιωμάτων.

CVE-2017-13837: Patrick Wardle του Synack

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017

IOAcceleratorFamily

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13906

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

IOFireWireFamily

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7077: Brandon Azad

IOFireWireFamily

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng της Alibaba Inc., Benjamin Gnahm (@mitp0sh) της PDX

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7114: Alex Plaskett της MWR InfoSecurity

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα με τα δικαιώματα στους μετρητές του πακέτου πυρήνων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση δικαιωμάτων.

CVE-2017-13810: Zhiyun Qian του University of California, Riverside

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα

Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2017-13817: Maxime Villard της (m00nbsd)

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13818: Το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο του Ηνωμένου Βασιλείου (National Cyber Security Centre, NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse της Semmle Ltd.

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 18 Ιουνίου 2018

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13843: ανώνυμος ερευνητής, ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13854: shrek_wzw από την ομάδα Qihoo 360 Nirvan

Η καταχώριση προστέθηκε στις 2 Νοεμβρίου 2017

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία ενός μη κατάλληλα διαμορφωμένου δυαδικού αρχείου mach μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης.

CVE-2017-13834: Maxime Villard (m00nbsd)

Η καταχώριση προστέθηκε στις 10 Νοεμβρίου 2017

Πυρήνας

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να μάθει πληροφορίες σχετικά με την παρουσία και τη λειτουργία άλλων εφαρμογών στη συσκευή.

Περιγραφή: Μια εφαρμογή μπόρεσε να αποκτήσει πρόσβαση σε πληροφορίες δραστηριότητας δικτύου που διατηρούνται από το λειτουργικό σύστημα χωρίς περιορισμό. Αυτό το πρόβλημα αντιμετωπίστηκε με μείωση των πληροφοριών που διατίθενται σε εφαρμογές τρίτου μέρους.

CVE-2017-13873: Xiaokuan Zhang και Yinqian Zhang από το Ohio State University, Xueqiang Wang και XiaoFeng Wang από το Indiana University Bloomington και Xiaolong Bai από το Tsinghua University

Η καταχώριση προστέθηκε στις 30 Νοεμβρίου 2017

εργαλεία kext

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα λογικής κατά τη φόρτωση kext αντιμετωπίστηκε με βελτιωμένο χειρισμό κατάστασης.

CVE-2017-13827: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

libarchive

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-13813: εντοπίστηκε από OSS-Fuzz

CVE-2017-13816: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

libarchive

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στο libarchive. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένης επαλήθευσης εισόδου.

CVE-2017-13812: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

libarchive

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2016-4736: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

libc

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα εξάντλησης πόρων στο glob() αντιμετωπίστηκε μέσω βελτιωμένου αλγορίθμου.

CVE-2017-7086: Russ Cox της Google

libc

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-1000373

libexpat

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλά προβλήματα στο expat

Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 2.2.1

CVE-2016-9063

CVE-2017-9233

libxml2

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4302: Gustavo Grieco

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

libxml2

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-5130: ανώνυμος ερευνητής

CVE-2017-7376: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

libxml2

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2017-9050: Mateusz Jurczyk (j00ru) του Google Project Zero

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

libxml2

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2017-9049: Wei Lei και Liu Yang – Nanyang Technological University της Σιγκαπούρης

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

Mail

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ο αποστολέας ενός email ενδέχεται να μπορεί να προσδιορίσει τη διεύθυνση IP του παραλήπτη

Περιγραφή: Η απενεργοποίηση της ρύθμισης «Φόρτωση απομακρυσμένου περιεχομένου σε μηνύματα» δεν ίσχυε για όλες τις θυρίδες. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη μετάδοση ρυθμίσεων.

CVE-2017-7141: John Whitehead της The New York Times

Η καταχώριση ενημερώθηκε στις 3 Οκτωβρίου 2017

Πρόχειρα στο Mail

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να υποκλέψει περιεχόμενο ηλεκτρονικής αλληλογραφίας

Περιγραφή: Υπήρχε ένα πρόβλημα κρυπτογράφησης στον χειρισμό πρόχειρων μηνυμάτων ηλεκτρονικής αλληλογραφίας. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των πρόχειρων μηνυμάτων ηλεκτρονικής αλληλογραφίας ώστε να αποστέλλονται κρυπτογραφημένα.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE από τη Μασσαλία (Γαλλία), ανώνυμος ερευνητής

Η καταχώριση ενημερώθηκε στις 3 Οκτωβρίου 2017

ntp

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλαπλά προβλήματα στο ntp

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 4.2.8p10

CVE-2017-6451: Cure53 

CVE-2017-6452: Cure53 

CVE-2017-6455: Cure53 

CVE-2017-6458: Cure53 

CVE-2017-6459: Cure53 

CVE-2017-6460: Cure53 

CVE-2017-6462: Cure53 

CVE-2017-6463: Cure53 

CVE-2017-6464: Cure53

CVE-2016-9042: Matthew Van Gundy της Cisco

Αρχιτεκτονική ανοικτού σεναρίου

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η αποσυμπίληση του AppleScript με το osadecompile ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13824: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

PCRE

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλαπλά προβλήματα στο pcre

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 8.40.

CVE-2017-13846

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

Postfix

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλαπλά προβλήματα στο Postfix

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 3.2.2.

CVE-2017-10140: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 17 Νοεμβρίου 2017

Άμεση προβολή

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13822: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

Άμεση προβολή

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου εγγράφου office ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-7132: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

QuickTime

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13823: Xiangkun Jia του Institute of Software Chinese Academy of Sciences

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017

Απομακρυσμένη διαχείριση

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13808: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

Sandbox

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13838: Alastair Houghton

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017

Κλείδωμα οθόνης

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ενδέχεται να εμφανίζονται προτροπές σχετικά με το Τείχος προστασίας εφαρμογής επάνω από το παράθυρο σύνδεσης

Περιγραφή: Ένα πρόβλημα διαχείρισης παραθύρου επιλύθηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2017-7082: Tim Kingman

Ασφάλεια

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένα πιστοποιητικό που έχει ανακληθεί ενδέχεται να εμφανίζεται ως αξιόπιστο

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης πιστοποιητικών στον χειρισμό των δεδομένων ανάκλησης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2017-7080: Sven Driemecker της adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) της Bærum kommune, ανώνυμος ερευνητής, ανώνυμος ερευνητής

SMB

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να είναι σε θέση να εκτελέσει μη εκτελέσιμα αρχεία κειμένου μέσω ενός κοινόχρηστου στοιχείου SMB

Περιγραφή: Ένα πρόβλημα στον χειρισμό των δικαιωμάτων των αρχείων επιλύθηκε με βελτιωμένη επαλήθευση.

CVE-2017-13908: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

Spotlight

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Το Spotlight ενδέχεται να εμφανίζει αποτελέσματα για αρχεία που δεν ανήκουν στον χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης στο Spotlight. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2017-13839: Ken Harris του Free Robot Collective

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017

Spotlight

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox στις εφαρμογές.

CVE-2017-13910

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

SQLite

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλά προβλήματα στο SQLite

Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 3.19.3.

CVE-2017-10989: εντοπίστηκε από OSS-Fuzz

CVE-2017-7128: εντοπίστηκε από OSS-Fuzz

CVE-2017-7129: εντοπίστηκε από OSS-Fuzz

CVE-2017-7130: εντοπίστηκε από OSS-Fuzz

SQLite

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7127: ανώνυμος ερευνητής

zlib

Διατίθεται για: OS X Mountain Lion 10.8 και νεότερη έκδοση

Αποτέλεσμα: Πολλά προβλήματα στο zlib

Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Επιπλέον αναγνώριση

Ασφάλεια

Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Abhinav Bansal της Zscaler, Inc.

NSWindow

Θα θέλαμε να ευχαριστήσουμε τον Trent Apted από την ομάδα Google Chrome για τη βοήθειά του.

WebKit Web Inspector

Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Ioan Bizău του Bloggify.

Συμπληρωματική ενημέρωση του macOS High Sierra 10.13

Στις νέες λήψεις του macOS High Sierra 10.13 περιλαμβάνεται το περιεχόμενο ασφάλειας της Συμπληρωματικής ενημέρωσης του macOS High Sierra 10.13.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: