Tietoja macOS High Sierra 10.13:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS High Sierra 10.13:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

macOS High Sierra 10.13

Julkaistu 25.9.2017

802.1X

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Hyökkääjä saattoi hyödyntää TLS 1.0:n heikkouksia.

Kuvaus: Protokollan suojausongelma korjattiin sallimalla TLS 1.1 ja TLS 1.2.

CVE-2017-13832: Doug Wussler (Florida State University)

Kohta lisätty 31.10.2017 ja päivitetty 10.11.2017

apache

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Apachessa esiintyi useita ongelmia.

Kuvaus: Ongelmat on ratkaistu päivittämällä versioon 2.4.27.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

Kohta lisätty 31.10.2017 ja päivitetty 14.11.2017

AppleScript

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: AppleScriptin purkaminen osadecompilen kanssa saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2017-13809: bat0s

Kohta lisätty 31.10.2017 ja päivitetty 10.11.2017

Ohjelmapalomuuri

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Kuvaus: Aiemmin estetty palomuuriasetus saatettiin ottaa käyttöön päivityksen jälkeen.

Kuvaus: Palomuuriasetusten käsittelyssä oli päivitykseen liittyvä ongelma. Ongelma on ratkaistu parantamalla palomuuriasetusten käsittelyä päivitysten aikana.

CVE-2017-7084: nimetön tutkija

AppSandbox

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.

Kuvaus: Useita palvelunesto-ongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-7074: Daniel Jalkut (Red Sweater Software)

ATS

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-13820: John Villamil, Doyensec

Kohta lisätty 31.10.2017

Ääni

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Haitallisen QuickTime-tiedoston jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13807: Yangkang (@dnpushme) (Qihoo 360 Qex Team)

Kohta lisätty 31.10.2017

Captive Network Assistant

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Paikallinen käyttäjä saattoi vahingossa lähettää salasanan salaamattomana verkon kautta.

Kuvaus: Suljetun portaalin selaimen suojaustila ei käynyt selkeästi ilmi. Ongelma on ratkaistu parantamalla suljetun portaalin selaimen suojaustilan näkyvyyttä.

CVE-2017-7143: Matthew Green (Johns Hopkins University)

Kohta päivitetty 3.10.2017

CFNetwork

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13829: Trend Micron Zero Day Initiativen parissa työskentelevät Niklas Baumstark ja Samuel Gro 

CVE-2017-13833: Trend Micron Zero Day Initiativen parissa työskentelevät Niklas Baumstark ja Samuel Gro

Kohta lisätty 10.11.2017

CFNetwork-välipalvelimet

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Useita palvelunesto-ongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)

CFString

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2017-13821: Australian Cyber Security Centre (Australian Signals Directorate)

Kohta lisätty 31.10.2017

CoreAudio

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä lukemaan rajattua muistia.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin päivittämällä Opus versioon 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) (Mobile Threat Research Team, Trend Micro)

CoreText

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13825: Australian Cyber Security Centre (Australian Signals Directorate)

Kohta lisätty 31.10.2017

DesktopServices

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Paikallinen hyökkääjä saattoi tarkastella suojaamattomia käyttäjätietoja.

Kuvaus: Tietyissä kotikansion tiedostoissa esiintyi niiden käyttöön liittyvä ongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2017-13851: nimetön tutkija

Kohta lisätty 2.11.2017

Hakemistotyökalu

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Paikallinen hyökkääjä saattoi voida selvittää tietokoneen omistajan Apple ID:n.

Kuvaus: Apple ID:n käsittelyssä oli lupaongelma. Ongelma on ratkaistu parantamalla käytönvalvontaa.

CVE-2017-7138: Daniel Kvak (Masaryk University)

Kohta päivitetty 3.10.2017

file

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: filessa esiintyi useita ongelmia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 5.30.

CVE-2017-7121: ongelman havaitsi OSS-Fuzz

CVE-2017-7122: ongelman havaitsi OSS-Fuzz

CVE-2017-7123: ongelman havaitsi OSS-Fuzz

CVE-2017-7124: ongelman havaitsi OSS-Fuzz

CVE-2017-7125: ongelman havaitsi OSS-Fuzz

CVE-2017-7126: ongelman havaitsi OSS-Fuzz

file

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: filessa esiintyi useita ongelmia.

Kuvaus: Ongelmat ratkaistiin päivittämällä versioon 5.31.

CVE-2017-13815

Kohta lisätty 31.10.2017

Fontit

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ei-luotetun tekstin hahmontaminen saattoi johtaa väärentämiseen.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2017-13828: Leonard Grey ja Robert Sesek (Google Chrome)

Kohta lisätty 31.10.2017 ja päivitetty 10.11.2017

fsck_msdos

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13811: V.E.O. (@VYSEa) (Trend Micron Mobile Advanced Threat Team)

Kohta päivitetty 2.11.2017

Heimdal

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä tekeytymään palveluksi.

Kuvaus: KDC-REP-palvelun nimen käsittelyssä oli validointiin liittyvä ongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni ja Nico Williams

Ohjeselain

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Karanteenitiedosto saattoi suorittaa mielivaltaista eri alkuperiä sisältävää JavaScriptiä.

Kuvaus: Ohjeselaimessa esiintyi verkostonlaajuinen komentosarjaongelma. Ongelma on ratkaistu poistamalla ongelmallinen tiedosto.

CVE-2017-13819: Filippo Cavallarin (SecuriTeam Secure Disclosure)

Kohta lisätty 31.10.2017 ja päivitetty 10.11.2017

HFS

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13830: Sergej Schumilo (Ruhr-Universität Bochum)

Kohta lisätty 31.10.2017

ImageIO

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-13814: Australian Cyber Security Centre (Australian Signals Directorate)

Kohta lisätty 31.10.2017

ImageIO

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: Levytiedostojen käsittelyssä oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-13831: Glen Carmichael

Kohta lisätty 31.10.2017 ja päivitetty 10.11.2017

Asentaja

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Haitallinen ohjelma saattoi käyttää FileVaultin lukituksen avaamiseen käytettävää avainta.

Kuvaus: Ongelma on ratkaistu poistamalla lisäoikeudet.

CVE-2017-13837: Patrick Wardle (Synack)

Kohta lisätty 31.10.2017 ja päivitetty 10.11.2017

IOFireWireFamily

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-7077: Brandon Azad

IOFireWireFamily

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng (Alibaba Inc.), Benjamin Gnahm (@mitp0sh) (PDX)

Kernel

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)

Kernel

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: kernelin pakettilaskureissa esiintyi käyttöoikeusongelma. Ongelma on ratkaistu parantamalla käyttöoikeuden tarkistamista.

CVE-2017-13810: Zhiyun Qian (University of California, Riverside)

Kohta lisätty 31.10.2017 ja päivitetty 10.11.2017

Kernel

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-13817: Maxime Villard (m00nbsd)

Kohta lisätty 31.10.2017

Kernel

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2017-13818: Ison-Britannian National Cyber Security Centre (NCSC)

CVE-2017-13836: nimetön tutkija, nimetön tutkija

CVE-2017-13841: nimetön tutkija

CVE-2017-13840: nimetön tutkija

CVE-2017-13842: nimetön tutkija

CVE-2017-13782: Kevin Backhouse (Semmle Ltd.)

Kohta lisätty 31.10.2017 ja päivitetty 14.11.2017

Kernel

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13843: nimetön tutkija, nimetön tutkija

Kohta lisätty 31.10.2017

Kernel

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13854: shrek_wzw (Qihoo 360 Nirvan Team)

Kohta lisätty 2.11.2017

Kernel

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Vääränmuotoisen mach-binäärin käsittely saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla vahvistamista.

CVE-2017-13834: Maxime Villard (m00nbsd)

Kohta lisätty 10.11.2017

kext tools

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: kextin lataamisessa esiintynyt logiikkaongelma on ratkaistu parantamalla tilankäsittelyä.

CVE-2017-13827: nimetön tutkija

Kohta lisätty 31.10.2017

libarchive

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13813: ongelman havaitsi OSS-Fuzz

CVE-2017-13816: ongelman havaitsi OSS-Fuzz

Kohta lisätty 31.10.2017

libarchive

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: libarchivessa oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla annettujen tietojen tarkistamista.

CVE-2017-13812: ongelman havaitsi OSS-Fuzz

Kohta lisätty 31.10.2017

libarchive

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2016-4736: nimetön tutkija

Kohta lisätty 31.10.2017

libc

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Resurssien riittävyyteen liittyvä ongelma glob():ssa on ratkaistu parannetulla algoritmilla.

CVE-2017-7086: Russ Cox (Google)

libc

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-1000373

libexpat

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: expatissa esiintyi useita ongelmia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 2.2.1.

CVE-2016-9063

CVE-2017-9233

Mail

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Sähköpostin lähettäjä saattoi saada selville lähettäjän IP-osoitteen.

Kuvaus: ”Lataa viesteissä oleva etäsisältö” -toiminnon poistaminen käytöstä ei koskenut kaikkia postilaatikoita. Ongelma on ratkaistu parantamalla asetusten levittämistä.

CVE-2017-7141: John Whitehead (The New York Times)

Kohta päivitetty 3.10.2017

Viestiluonnokset

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa viestisisältöä.

Kuvaus: Viestiluonnosten käsittelyssä oli salausongelma. Ongelma on ratkaistu parantamalla salattavaksi tarkoitettujen viestiluonnosten käsittelyä.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE (Marseille, Ranska), nimetön tutkija

Kohta päivitetty 3.10.2017

ntp

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: ntp:ssä esiintyi useita ongelmia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 4.2.8p10.

CVE-2017-6451: Cure53 

CVE-2017-6452: Cure53 

CVE-2017-6455: Cure53 

CVE-2017-6458: Cure53 

CVE-2017-6459: Cure53 

CVE-2017-6460: Cure53 

CVE-2017-6462: Cure53 

CVE-2017-6463: Cure53 

CVE-2017-6464: Cure53 

CVE-2016-9042: Matthew Van Gundy (Cisco)

Open Scripting Architecture

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: AppleScriptin purkaminen osadecompilen kanssa saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13824: nimetön tutkija

Kohta lisätty 31.10.2017

PCRE

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: pcre:ssä esiintyi useita ongelmia.

Kuvaus: Ongelmat ratkaistiin päivittämällä versioon 8.40.

CVE-2017-13846

Kohta lisätty 31.10.2017

Postfix

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Postfixissa esiintyi useita ongelmia.

Kuvaus: Ongelmat ratkaistiin päivittämällä versioon 3.2.2.

CVE-2017-13826: nimetön tutkija

Kohta lisätty 31.10.2017

Pikakatselu

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2017-13822: Australian Cyber Security Centre (Australian Signals Directorate)

Kohta lisätty 31.10.2017

Pikakatselu

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Haitallisen Office-dokumentin jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-7132: Australian Cyber Security Centre (Australian Signals Directorate)

Kohta lisätty 31.10.2017

QuickTime

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2017-13823: Xiangkun Jia (Institute of Software, Chinese Academy of Sciences)

Kohta lisätty 31.10.2017 ja päivitetty 10.11.2017

Etähallinta

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13808: nimetön tutkija

Kohta lisätty 31.10.2017

Eristys

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13838: Alastair Houghton

Kohta lisätty 31.10.2017 ja päivitetty 10.11.2017

Näytön lukitus

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Kirjautumisikkunassa saattoi näkyä ohjelmapalomuurin kehotteita.

Kuvaus: Ikkunoidenhallintaan liittyvä ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2017-7082: Tim Kingman

Suojaus

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Mitätöity varmenne saattoi olla luotettu.

Kuvaus: Mitätöintitietojen käsittelyssä oli varmenteen validointiongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2017-7080: Sven Driemecker (adesso mobile solutions gmbh), Rune Darrud (@theflyingcorpse) (Bærum kommune), nimetön tutkija, nimetön tutkija

Spotlight

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Spotlight saattoi näyttää tuloksia tiedostoista, jotka eivät kuulu käyttäjälle.

Kuvaus: Spotlightissa esiintyi käyttöoikeusongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2017-13839: Ken Harris (Free Robot Collective)

Kohta lisätty 31.10.2017 ja päivitetty 10.11.2017

SQLite

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: SQLitessa esiintyi useita ongelmia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 3.19.3.

CVE-2017-10989: ongelman havaitsi OSS-Fuzz

CVE-2017-7128: ongelman havaitsi OSS-Fuzz

CVE-2017-7129: ongelman havaitsi OSS-Fuzz

CVE-2017-7130: ongelman havaitsi OSS-Fuzz

SQLite

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-7127: nimetön tutkija

zlib

Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot

Vaikutus: zlibissä esiintyi useita ongelmia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Kiitokset

Suojaus

Haluamme kiittää Abhinav Bansalia (Zscaler, Inc.) hänen avustaan.

NSWindow

Haluamme kiittää Trent Aptedia (Google Chrome -tiimi) hänen avustaan.

WebKit-verkkoinspektori

Haluamme kiittää Ioan Bizăuta (Bloggify) hänen avustaan.

macOS High Sierra 10.13:n lisäpäivitys

macOS High Sierra 10.13:n uudet lataukset sisältävät macOS High Sierra 10.13:n lisäpäivityksen turvallisuussisällön.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: