Tietoja macOS Sierra 10.12.4:n, suojauspäivitys 2017-001 El Capitanin ja suojauspäivitys 2017-001 Yosemiten turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Sierra 10.12.4:n, suojauspäivitys 2017-001 El Capitanin ja suojauspäivitys 2017-001 Yosemiten turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

macOS Sierra 10.12.4, suojauspäivitys 2017-001 El Capitan ja suojauspäivitys 2017-001 Yosemite

Julkaistu 27.3.2017

apache

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Apachessa oli useita ongelmia ennen versiota 2.4.25. Ne on ratkaistu päivittämällä Apache versioon 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Kohta päivitetty 28.3.2017

apache_mod_php

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: PHP:ssä oli useita ongelmia ennen versiota 5.6.30.

Kuvaus: PHP:ssä oli useita ongelmia ennen versiota 5.6.30. Ne on ratkaistu päivittämällä PHP versioon 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kilpailutilanne ratkaistiin parantamalla muistin käsittelyä.

CVE-2017-2421: @cocoahuke

AppleRAID

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2438: sss ja Axis (360Nirvanteam)

Ääni

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2430: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

CVE-2017-2462: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

Bluetooth

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa ja Marko Laakso (Synopsys Software Integrity Group)

Bluetooth

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2427: Axis ja sss (Qihoo 360 Nirvan Team)

Bluetooth

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2449: sss ja Axis (360NirvanTeam)

Carbon

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen .dfont-tiedoston käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2017-2379: riusksk (泉哥) (Tencent Security Platform Department), John Villamil, Doyensec

CoreGraphics

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: Loputon rekursio ratkaistiin parantamalla tilanhallintaa.

CVE-2017-2417: riusksk(泉哥) (Tencent Security Platform Department)

CoreMedia

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen .mov-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: .mov-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2431: kimyok (Tencent Security Platform Department)

CoreText

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen tekstiviestin käsittely saattoi johtaa ohjelman palvelunestoon.

Kuvaus: Resurssien loppumisongelma korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2017-2461: Isaac Archambault (IDAoADI), nimetön tutkija

curl

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Käyttäjän libcurl APIin antamat haitalliset tiedot saattoivat sallia mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2016-9586: Daniel Stenberg (Mozilla)

EFI

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallinen Thunderbolt-sovitin saattoi palauttaa FileVault 2 -salauksen salasanan.

Kuvaus: DMA:n käsittelyssä oli ongelma. Ongelma ratkaistiin ottamalla VT-d käyttöön EFI:ssä.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Käyttöoikeudet saattoivat odottamatta nollautua, kun linkkejä lähetettiin.

Kuvaus: iCloud-jaon Lähetä linkki -ominaisuuden käsittelyssä oli käyttöoikeuksiin liittyvä ongelma. Ongelma on ratkaistu parantamalla käyttöoikeuden hallintaa.

CVE-2017-2429: Raymond Wong DO (Arnot Ogden Medical Center)

Kohta päivitetty 23.8.2017

FontParser

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2487: riusksk(泉哥) (Tencent Security Platform Department)

CVE-2017-2406: riusksk(泉哥) (Tencent Security Platform Department)

FontParser

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen fonttitiedoston jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2407: riusksk(泉哥) (Tencent Security Platform Department)

FontParser

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2439: John Villamil, Doyensec

FontParser

Saatavuus: OS X El Capitan 10.11.6 ja OS X Yosemite 10.10.5.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen. 

Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2016-4688: Simon Huang (Alipay)

Kohta lisätty 11.4.2017

HTTPProtocol

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallinen HTTP/2-palvelin saattoi aiheuttaa määrittämätöntä toimintaa.

Kuvaus: nghttp2:ssa oli useita ongelmia ennen versiota 1.17.0. Ne on ratkaistu päivittämällä nghttp2 versioon 1.17.0.

CVE-2017-2428

Kohta päivitetty 28.3.2017

Hypervisor

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Hypervisor-sovelluskehystä käyttävät ohjelmat saattoivat odottamatta vuotaa CR8-ohjausrekisterin vieraan ja isännän välillä.

Kuvaus: Tietovuoto-ongelma on korjattu parantamalla tilanhallintaa.

CVE-2017-2418: Alex Fishman ja Izik Eidus (Veertu Inc.)

iBooks

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen iBooks-tiedoston jäsentäminen saattoi aiheuttaa paikallisen tiedoston paljastumisen.

Kuvaus: Tiedostojen URL-osoitteiden käsittelyssä oli tietovuoto-ongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.

CVE-2017-2426: Craig Arendt (Stratum Security), Jun Kokatsu (@shhnjk)

ImageIO

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) (KeenLab, Tencent)

ImageIO

Saatavuus: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 ja OS X Yosemite 10.10.5.

Vaikutus: Haitallisen JPEG-tiedoston katsominen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2432: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

ImageIO

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2467

ImageIO

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen kuvan käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

Kuvaus: Versiota 4.0.7 aiemmissa LibTIFF-versioissa oli rajojen ulkopuolinen lukuongelma. Tämä ratkaistiin päivittämällä ImageIO:n LibTIFF versioon 4.0.7.

CVE-2016-3619

Intelin grafiikkaohjain

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. 

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2443: Ian Beer (Google Project Zero)

Intelin grafiikkaohjain

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2017-2489: Ian Beer (Google Project Zero)

Kohta lisätty 31.3.2017

IOATAFamily

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2408: Yangkang (@dnpushme) (Qihoo360 Qex Team)

IOFireWireAVC

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2436: Orr A, IBM Security

IOFireWireAVC

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Paikallinen hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) (Blue Frost Security)

IOFireWireFamily

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2017-2388: Brandon Azad, nimetön tutkija

Kernel

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2398: Lufeng Li (Qihoo 360 Vulcan Team)

CVE-2017-2401: Lufeng Li (Qihoo 360 Vulcan Team)

Kernel

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kernelissä oli syötön validointiongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2410: Apple

Kernel

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2440: nimetön tutkija

Kernel

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

Kuvaus: Kilpailutilanne ratkaistiin parantamalla muistin käsittelyä.

CVE-2017-2456: lokihardt (Google Project Zero)

Kernel

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2472: Ian Beer (Google Project Zero)

Kernel

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2473: Ian Beer (Google Project Zero)

Kernel

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Off-by-one-ongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2017-2474: Ian Beer (Google Project Zero)

Kernel

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2017-2478: Ian Beer (Google Project Zero)

Kernel

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2482: Ian Beer (Google Project Zero)

CVE-2017-2483: Ian Beer (Google Project Zero)

Kernel

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia laajennetuilla käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2490: Ian Beer (Google Project Zero), Ison-Britannian National Cyber Security Centre (NCSC)

Kohta lisätty 31.3.2017

Kernel

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Näyttö saattoi odottamatta pysyä lukitsemattomana kannen ollessa suljettu.

Kuvaus: Riittämättömän lukituksen ongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2017-7070: Ed McKenzie

Kohta lisätty 10.8.2017

Näppäimistöt

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2017-2458: Shashank (@cyberboyIndia)

Avainnippu

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: TLS-yhteydet kaappaamaan onnistunut hyökkääjä saattoi pystyä lukemaan iCloud-avainnipulla salattua tietoa.

Kuvaus: iCloud-avainnippu ei tietyissä olosuhteissa onnistunut vahvistamaan OTR-pakettien aitoutta. Ongelma on ratkaistu parantamalla validointia.

CVE-2017-2448: Alex Radocea (Longterm Security, Inc.)

Kohta päivitetty 30.3.2017

libarchive

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Paikallinen hyökkääjä saattoi pystyä vaihtamaan tiedostojärjestelmän käyttöoikeuksia mielivaltaisissa hakemistoissa.

Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2017-2390: Omer Medan (enSilo Ltd)

libc++abi

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen C++-ohjelman takaisinsovitus saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2441

LibreSSL

Saatavuus: macOS Sierra 10.12.3 ja OS X El Capitan 10.11.6.

Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: Hyökkääjä pystyi ajanottoon perustuvan sivukanavahyökkäyksen avulla palauttamaan avaimet. Ongelma ratkaistiin ottamalla käyttöön kiinteäaikainen laskenta.

CVE-2016-7056: Cesar Pereida García ja Billy Brumley (Tampere University of Technology)

libxslt

Saatavuus: OS X El Capitan 10.11.6.

Vaikutus: libxslt:ssä oli useita haavoittuvuuksia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2477

Kohta lisätty 30.3.2017

libxslt

Saatavuus: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 ja Yosemite 10.10.5.

Vaikutus: libxslt:ssä oli useita haavoittuvuuksia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-5029: Holger Fuhrmannek

Kohta lisätty 28.3.2017

MCX Client

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Useita tietosisältöjä sisältävän määritysprofiilin poistaminen ei ehkä poistanut Active Directory -varmenteen luottamusta.

Kuvaus: Profiilin poistamisessa oli ongelma. Ongelma on ratkaistu parantamalla puhdistusta.

CVE-2017-2402: nimetön tutkija

Valikot

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2422: @cocoahuke

OpenSSH

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: OpenSSH:ssä oli useita ongelmia.

Kuvaus: OpenSSH:ssä oli useita ongelmia ennen versiota 7.4. Ne on ratkaistu päivittämällä OpenSSH versioon 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: Ajanottoon perustuva sivukanavaongelma ratkaistiin ottamalla käyttöön kiinteäaikainen laskenta.

CVE-2016-7056: Cesar Pereida García ja Billy Brumley (Tampere University of Technology)

Tulostaminen

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen IPP(S)-linkin klikkaaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Hallitsematon muotoilumerkkijono-ongelma ratkaistiin parantamalla annettujen tietojen varmistamista.

CVE-2017-2403: beist (GrayHash)

python

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisten zip-arkistojen käsittely Pythonilla saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Zip-arkistojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2016-5636

QuickTime

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen mediatiedoston tarkastelu saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: QuickTimessa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2413: Simon Huang (@HuangShaomang) ja pjf (IceSword Lab, Qihoo 360)

Suojaus

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Tyhjien allekirjoitusten validointi SecKeyRawVerify():lla saattoi odottamatta onnistua.

Kuvaus: Salatuissa API-kutsuissa oli validointiongelma. Ongelma on ratkaistu parantamalla parametrien vahvistamista.

CVE-2017-2423: nimetön tutkija

Suojaus

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2017-2451: Alex Radocea (Longterm Security, Inc.)

Suojaus

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen x509-varmenteen käsittely saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Varmenteiden jäsentämisessä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2485: Aleksandar Nikolic (Cisco Talos)

SecurityFoundation

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen varmenteen käsittely saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2425: kimyok (Tencent Security Platform Department)

sudo

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Verkkohakemistopalvelimen ”admin”-nimisessä ryhmässä ollut käyttäjä saattoi odottamatta pystyä laajentamaan käyttöoikeuksia sudolla.

Kuvaus: Sudossa oli käyttöongelma. Ongelma on ratkaistu parantamalla oikeuksien tarkistamista.

CVE-2017-2381

Järjestelmän yhtenäisyyden suojaaminen

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallinen ohjelma saattoi pystyä muokkaamaan suojattuja levysijainteja.

Kuvaus: Järjestelmän asennuksen käsittelyssä oli vahvistusongelma. Ongelma ratkaistiin parantamalla käsittelyä ja vahvistamista asennusprosessin aikana.

CVE-2017-6974: Patrick Wardle (Synack)

tcpdump

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Oikeudet omaavassa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia käyttöavulla.

Kuvaus: tcpdump sisälsi useita ongelmia ennen versiota 4.9.0. Ne on ratkaistu päivittämällä tcpdump versioon 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Saatavuus: macOS Sierra 10.12.3.

Vaikutus: Haitallisen kuvan käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

Kuvaus: Versiota 4.0.7 aiemmissa LibTIFF-versioissa oli rajojen ulkopuolinen lukuongelma. Tämä ratkaistiin päivittämällä AKCmds:n LibTIFF versioon 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

macOS Sierra 10.12.4, suojauspäivitys 2017-001 El Capitan ja suojauspäivitys 2017-001 Yosemite sisältävät Safari 10.1:n turvallisuussisällön.

Kiitokset

XNU

Haluamme kiittää Lufeng Litä (Qihoo 360 Vulcan Team) hänen avustaan.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: