Tietoja macOS Sierra 10.12.4:n, suojauspäivitys 2017-001 El Capitanin ja suojauspäivitys 2017-001 Yosemiten turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS Sierra 10.12.4:n, suojauspäivitys 2017-001 El Capitanin ja suojauspäivitys 2017-001 Yosemiten turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
macOS Sierra 10.12.4, suojauspäivitys 2017-001 El Capitan ja suojauspäivitys 2017-001 Yosemite
apache
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Apachessa oli useita ongelmia ennen versiota 2.4.25. Ne on ratkaistu päivittämällä Apache versioon 2.4.25.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
apache_mod_php
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: PHP:ssä oli useita ongelmia ennen versiota 5.6.30.
Kuvaus: PHP:ssä oli useita ongelmia ennen versiota 5.6.30. Ne on ratkaistu päivittämällä PHP versioon 5.6.30.
CVE-2016-10158
CVE-2016-10159
CVE-2016-10160
CVE-2016-10161
CVE-2016-9935
AppleGraphicsPowerManagement
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kilpailutilanne ratkaistiin parantamalla muistin käsittelyä.
CVE-2017-2421: @cocoahuke
AppleRAID
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-2438: sss ja Axis (360Nirvanteam)
Ääni
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2430: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija
CVE-2017-2462: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija
Bluetooth
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa ja Marko Laakso (Synopsys Software Integrity Group)
Bluetooth
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2427: Axis ja sss (Qihoo 360 Nirvan Team)
Bluetooth
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-2449: sss ja Axis (360NirvanTeam)
Carbon
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen .dfont-tiedoston käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-2017-2379: riusksk (泉哥) (Tencent Security Platform Department), John Villamil, Doyensec
CoreGraphics
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: Loputon rekursio ratkaistiin parantamalla tilanhallintaa.
CVE-2017-2417: riusksk(泉哥) (Tencent Security Platform Department)
CoreMedia
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen .mov-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: .mov-tiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-2431: kimyok (Tencent Security Platform Department)
CoreText
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen tekstiviestin käsittely saattoi johtaa ohjelman palvelunestoon.
Kuvaus: Resurssien loppumisongelma korjattiin parantamalla annettujen tietojen tarkistusta.
CVE-2017-2461: Isaac Archambault (IDAoADI), nimetön tutkija
curl
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Käyttäjän libcurl APIin antamat haitalliset tiedot saattoivat sallia mielivaltaisen koodin suorittamisen.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2016-9586: Daniel Stenberg (Mozilla)
EFI
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallinen Thunderbolt-sovitin saattoi palauttaa FileVault 2 -salauksen salasanan.
Kuvaus: DMA:n käsittelyssä oli ongelma. Ongelma ratkaistiin ottamalla VT-d käyttöön EFI:ssä.
CVE-2016-7585: Ulf Frisk (@UlfFrisk)
FinderKit
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Käyttöoikeudet saattoivat odottamatta nollautua, kun linkkejä lähetettiin.
Kuvaus: iCloud-jaon Lähetä linkki -ominaisuuden käsittelyssä oli käyttöoikeuksiin liittyvä ongelma. Ongelma on ratkaistu parantamalla käyttöoikeuden hallintaa.
CVE-2017-2429: Raymond Wong DO (Arnot Ogden Medical Center)
FontParser
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-2487: riusksk(泉哥) (Tencent Security Platform Department)
CVE-2017-2406: riusksk(泉哥) (Tencent Security Platform Department)
FontParser
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen fonttitiedoston jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-2407: riusksk(泉哥) (Tencent Security Platform Department)
FontParser
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2439: John Villamil, Doyensec
FontParser
Saatavuus: OS X El Capitan 10.11.6 ja OS X Yosemite 10.10.5.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-2016-4688: Simon Huang (Alipay)
HTTPProtocol
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallinen HTTP/2-palvelin saattoi aiheuttaa määrittämätöntä toimintaa.
Kuvaus: nghttp2:ssa oli useita ongelmia ennen versiota 1.17.0. Ne on ratkaistu päivittämällä nghttp2 versioon 1.17.0.
CVE-2017-2428
Hypervisor
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Hypervisor-sovelluskehystä käyttävät ohjelmat saattoivat odottamatta vuotaa CR8-ohjausrekisterin vieraan ja isännän välillä.
Kuvaus: Tietovuoto-ongelma on korjattu parantamalla tilanhallintaa.
CVE-2017-2418: Alex Fishman ja Izik Eidus (Veertu Inc.)
iBooks
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen iBooks-tiedoston jäsentäminen saattoi aiheuttaa paikallisen tiedoston paljastumisen.
Kuvaus: Tiedostojen URL-osoitteiden käsittelyssä oli tietovuoto-ongelma. Ongelma on ratkaistu parantamalla URL-osoitteiden käsittelyä.
CVE-2017-2426: Craig Arendt (Stratum Security), Jun Kokatsu (@shhnjk)
ImageIO
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) (KeenLab, Tencent)
ImageIO
Saatavuus: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 ja OS X Yosemite 10.10.5.
Vaikutus: Haitallisen JPEG-tiedoston katsominen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2432: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija
ImageIO
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2467
ImageIO
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen kuvan käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.
Kuvaus: Versiota 4.0.7 aiemmissa LibTIFF-versioissa oli rajojen ulkopuolinen lukuongelma. Tämä ratkaistiin päivittämällä ImageIO:n LibTIFF versioon 4.0.7.
CVE-2016-3619
Intelin grafiikkaohjain
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2443: Ian Beer (Google Project Zero)
Intelin grafiikkaohjain
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi pystyä paljastamaan kernel-muistin sisältöä.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2017-2489: Ian Beer (Google Project Zero)
IOATAFamily
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2408: Yangkang (@dnpushme) (Qihoo360 Qex Team)
IOFireWireAVC
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2436: Orr A, IBM Security
IOFireWireAVC
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Paikallinen hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2437: Benjamin Gnahm (@mitp0sh) (Blue Frost Security)
IOFireWireFamily
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.
Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.
CVE-2017-2388: Brandon Azad, nimetön tutkija
Kernel
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2398: Lufeng Li (Qihoo 360 Vulcan Team)
CVE-2017-2401: Lufeng Li (Qihoo 360 Vulcan Team)
Kernel
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kernelissä oli syötön validointiongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-2410: Apple
Kernel
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2440: nimetön tutkija
Kernel
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.
Kuvaus: Kilpailutilanne ratkaistiin parantamalla muistin käsittelyä.
CVE-2017-2456: lokihardt (Google Project Zero)
Kernel
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-2472: Ian Beer (Google Project Zero)
Kernel
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2473: Ian Beer (Google Project Zero)
Kernel
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Off-by-one-ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2017-2474: Ian Beer (Google Project Zero)
Kernel
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2017-2478: Ian Beer (Google Project Zero)
Kernel
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2482: Ian Beer (Google Project Zero)
CVE-2017-2483: Ian Beer (Google Project Zero)
Kernel
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia laajennetuilla käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2490: Ian Beer (Google Project Zero), Ison-Britannian National Cyber Security Centre (NCSC)
Kernel
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Näyttö saattoi odottamatta pysyä lukitsemattomana kannen ollessa suljettu.
Kuvaus: Riittämättömän lukituksen ongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2017-7070: Ed McKenzie
Näppäimistöt
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2017-2458: Shashank (@cyberboyIndia)
Avainnippu
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: TLS-yhteydet kaappaamaan onnistunut hyökkääjä saattoi pystyä lukemaan iCloud-avainnipulla salattua tietoa.
Kuvaus: iCloud-avainnippu ei tietyissä olosuhteissa onnistunut vahvistamaan OTR-pakettien aitoutta. Ongelma on ratkaistu parantamalla validointia.
CVE-2017-2448: Alex Radocea (Longterm Security, Inc.)
libarchive
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Paikallinen hyökkääjä saattoi pystyä vaihtamaan tiedostojärjestelmän käyttöoikeuksia mielivaltaisissa hakemistoissa.
Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2017-2390: Omer Medan (enSilo Ltd)
libc++abi
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen C++-ohjelman takaisinsovitus saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-2441
LibreSSL
Saatavuus: macOS Sierra 10.12.3 ja OS X El Capitan 10.11.6.
Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: Hyökkääjä pystyi ajanottoon perustuvan sivukanavahyökkäyksen avulla palauttamaan avaimet. Ongelma ratkaistiin ottamalla käyttöön kiinteäaikainen laskenta.
CVE-2016-7056: Cesar Pereida García ja Billy Brumley (Tampere University of Technology)
libxslt
Saatavuus: OS X El Capitan 10.11.6.
Vaikutus: libxslt:ssä oli useita haavoittuvuuksia.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2477
libxslt
Saatavuus: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 ja Yosemite 10.10.5.
Vaikutus: libxslt:ssä oli useita haavoittuvuuksia.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-5029: Holger Fuhrmannek
MCX Client
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Useita tietosisältöjä sisältävän määritysprofiilin poistaminen ei ehkä poistanut Active Directory -varmenteen luottamusta.
Kuvaus: Profiilin poistamisessa oli ongelma. Ongelma on ratkaistu parantamalla puhdistusta.
CVE-2017-2402: nimetön tutkija
Valikot
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-2409: Sergey Bylokhov
Multi-Touch
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2422: @cocoahuke
OpenSSH
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: OpenSSH:ssä oli useita ongelmia.
Kuvaus: OpenSSH:ssä oli useita ongelmia ennen versiota 7.4. Ne on ratkaistu päivittämällä OpenSSH versioon 7.4.
CVE-2016-10009
CVE-2016-10010
CVE-2016-10011
CVE-2016-10012
OpenSSL
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: Ajanottoon perustuva sivukanavaongelma ratkaistiin ottamalla käyttöön kiinteäaikainen laskenta.
CVE-2016-7056: Cesar Pereida García ja Billy Brumley (Tampere University of Technology)
Tulostaminen
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen IPP(S)-linkin klikkaaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Hallitsematon muotoilumerkkijono-ongelma ratkaistiin parantamalla annettujen tietojen varmistamista.
CVE-2017-2403: beist (GrayHash)
python
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisten zip-arkistojen käsittely Pythonilla saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Zip-arkistojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2016-5636
QuickTime
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen mediatiedoston tarkastelu saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: QuickTimessa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-2413: Simon Huang (@HuangShaomang) ja pjf (IceSword Lab, Qihoo 360)
Suojaus
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Tyhjien allekirjoitusten validointi SecKeyRawVerify():lla saattoi odottamatta onnistua.
Kuvaus: Salatuissa API-kutsuissa oli validointiongelma. Ongelma on ratkaistu parantamalla parametrien vahvistamista.
CVE-2017-2423: nimetön tutkija
Suojaus
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2017-2451: Alex Radocea (Longterm Security, Inc.)
Suojaus
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen x509-varmenteen käsittely saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Varmenteiden jäsentämisessä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-2485: Aleksandar Nikolic (Cisco Talos)
SecurityFoundation
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen varmenteen käsittely saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-2425: kimyok (Tencent Security Platform Department)
sudo
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Verkkohakemistopalvelimen ”admin”-nimisessä ryhmässä ollut käyttäjä saattoi odottamatta pystyä laajentamaan käyttöoikeuksia sudolla.
Kuvaus: Sudossa oli käyttöongelma. Ongelma on ratkaistu parantamalla oikeuksien tarkistamista.
CVE-2017-2381
Järjestelmän yhtenäisyyden suojaaminen
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallinen ohjelma saattoi pystyä muokkaamaan suojattuja levysijainteja.
Kuvaus: Järjestelmän asennuksen käsittelyssä oli vahvistusongelma. Ongelma ratkaistiin parantamalla käsittelyä ja vahvistamista asennusprosessin aikana.
CVE-2017-6974: Patrick Wardle (Synack)
tcpdump
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Oikeudet omaavassa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia käyttöavulla.
Kuvaus: tcpdump sisälsi useita ongelmia ennen versiota 4.9.0. Ne on ratkaistu päivittämällä tcpdump versioon 4.9.0.
CVE-2016-7922
CVE-2016-7923
CVE-2016-7924
CVE-2016-7925
CVE-2016-7926
CVE-2016-7927
CVE-2016-7928
CVE-2016-7929
CVE-2016-7930
CVE-2016-7931
CVE-2016-7932
CVE-2016-7933
CVE-2016-7934
CVE-2016-7935
CVE-2016-7936
CVE-2016-7937
CVE-2016-7938
CVE-2016-7939
CVE-2016-7940
CVE-2016-7973
CVE-2016-7974
CVE-2016-7975
CVE-2016-7983
CVE-2016-7984
CVE-2016-7985
CVE-2016-7986
CVE-2016-7992
CVE-2016-7993
CVE-2016-8574
CVE-2016-8575
CVE-2017-5202
CVE-2017-5203
CVE-2017-5204
CVE-2017-5205
CVE-2017-5341
CVE-2017-5342
CVE-2017-5482
CVE-2017-5483
CVE-2017-5484
CVE-2017-5485
CVE-2017-5486
tiffutil
Saatavuus: macOS Sierra 10.12.3.
Vaikutus: Haitallisen kuvan käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.
Kuvaus: Versiota 4.0.7 aiemmissa LibTIFF-versioissa oli rajojen ulkopuolinen lukuongelma. Tämä ratkaistiin päivittämällä AKCmds:n LibTIFF versioon 4.0.7.
CVE-2016-3619
CVE-2016-9533
CVE-2016-9535
CVE-2016-9536
CVE-2016-9537
CVE-2016-9538
CVE-2016-9539
CVE-2016-9540
Kiitokset
XNU
Haluamme kiittää Lufeng Litä (Qihoo 360 Vulcan Team) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.