Tietoja macOS High Sierra 10.13.1:n suojaussisällöstä, suojauspäivityksestä 2017-001 Sierra sekä suojauspäivityksestä 2017-004 El Capitan

Tässä dokumentissa kerrotaan macOS High Sierra 10.13.1:n suojaussisällöstä, suojauspäivityksestä 2017-001 Sierra sekä suojauspäivityksestä 2017-004 El Capitan.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

macOS High Sierra 10.13.1, suojauspäivitys 2017-001 Sierra ja suojauspäivitys 2017-004 El Capitan

Julkaistu 31.10.2017

802.1X

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Hyökkääjä saattoi hyödyntää TLS 1.0:n heikkouksia.

Kuvaus: Protokollan suojausongelma korjattiin sallimalla TLS 1.1 ja TLS 1.2.

CVE-2017-13832: Doug Wussler (Florida State University)

Kohta päivitetty 10.11.2017

apache

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Apachessa esiintyi useita ongelmia.

Kuvaus: Ongelmat on ratkaistu päivittämällä versioon 2.4.27.

CVE-2016-736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

APFS

Saatavuus: macOS High Sierra 10.13

Vaikutus: Haitallinen Thunderbolt-sovitin saattoi pystyä noutamaan salaamattomia APFS-tiedostojärjestelmän tietoja.

Kuvaus: DMA:n käsittelyssä oli ongelma. Ongelma korjattiin rajoittamalla aika, jonka FileVault-salauksen purun puskurit ovat DMA-kartoitettuna, I/O-toiminnon kestoon.

CVE-2017-13786: Dmytro Oleksiuk

Kohta päivitetty 10.11.2017

APFS

Saatavuus: macOS High Sierra 10.13

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13800: Sergej Schumilo, Ruhr-Universität Bochum

AppleScript

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: AppleScriptin purkaminen osadecompilen kanssa saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2017-13809: bat0s

Kohta päivitetty 10.11.2017

ATS

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-13820: John Villamil, Doyensec

Ääni

Saatavuus: macOS Sierra 10.12.6

Vaikutus: Haitallisen QuickTime-tiedoston jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13807: Yangkang (@dnpushme) (Qihoo 360 Qex Team)

CFNetwork

Saatavuus: OS X El Capitan 10.11.6 ja macOS Sierra 10.12.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13829: Trend Micron Zero Day Initiativen parissa työskentelevät Niklas Baumstark ja Samuel Gro

CVE-2017-13833: Trend Micron Zero Day Initiativen parissa työskentelevät Niklas Baumstark ja Samuel Gro

Kohta lisätty 10.11.2017

CFString

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2017-13821: Australian Cyber Security Centre (Australian Signals Directorate)

CoreText

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13825: Australian Cyber Security Centre (Australian Signals Directorate)

curl

Saatavuus: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Lataaminen TFTP:llä haitalliseen URL-osoitteeseen libcurlilla voi paljastaa sovellusmuistin.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2017-1000100: Even Rouault, ongelman havaitsi OSS-Fuzz

curl

Saatavuus: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Haitallisen URL:n käsittely libcurlilla saattoi aiheuttaa ohjelman odottaman sulkeutumisen tai prosessimuistin lukemisen.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2017-1000101: Brian Carpenter, Yongji Ouyang

Sanakirjawidgetti

Saatavuus: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Liitetyn tekstin etsiminen sanakirjawidgetistä saattoi paljastaa käyttäjätietoja.

Kuvaus: Varmistusongelma salli pääsyn paikallisiin tiedostoihin. Ongelma ratkaistiin annettujen tietojen puhdistamisella.

CVE-2017-13801: xisigr (Tencentin Xuanwu Lab) (tencent.com)

file

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: filessa esiintyi useita ongelmia.

Kuvaus: Ongelmat ratkaistiin päivittämällä versioon 5.31.

CVE-2017-13815

Fontit

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Ei-luotetun tekstin hahmontaminen saattoi johtaa väärentämiseen.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2017-13828: Leonard Grey ja Robert Sesek (Google Chrome)

Kohta päivitetty 10.11.2017

fsck_msdos

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13811: V.E.O. (@VYSEa) (Mobile Advanced Threat Team, Trend Micro)

Kohta päivitetty 2.11.2017

HFS

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13830: Sergej Schumilo (Ruhr-Universität Bochum)

Heimdal

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä tekeytymään palveluksi.

Kuvaus: KDC-REP-palvelun nimen käsittelyssä oli validointiin liittyvä ongelma. Ongelma on ratkaistu parantamalla validointia.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni ja Nico Williams

Ohjeselain

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Karanteenitiedosto saattoi suorittaa mielivaltaista eri alkuperiä sisältävää JavaScriptiä.

Kuvaus: Ohjeselaimessa esiintyi verkostonlaajuinen komentosarjaongelma. Ongelma on ratkaistu poistamalla ongelmallinen tiedosto.

CVE-2017-13819: Filippo Cavallarin (SecuriTeam Secure Disclosure)

Kohta päivitetty 10.11.2017

ImageIO

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-13814: Australian Cyber Security Centre (Australian Signals Directorate)

ImageIO

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: Levytiedostojen käsittelyssä oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-13831: Glen Carmichael

Kohta päivitetty 10.11.2017

Kernel

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: kernelin pakettilaskureissa esiintyi käyttöoikeusongelma. Ongelma on ratkaistu parantamalla käyttöoikeuden tarkistamista.

CVE-2017-13810: Zhiyun Qian (University of California, Riverside)

Kohta päivitetty 10.11.2017

Kernel

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-13817: Maxime Villard (m00nbsd)

Kernel

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2017-13818: Ison-Britannian National Cyber Security Centre (NCSC)

CVE-2017-13836: nimetön tutkija, nimetön tutkija

CVE-2017-13841: nimetön tutkija

CVE-2017-13840: nimetön tutkija

CVE-2017-13842: nimetön tutkija

CVE-2017-13782: nimetön tutkija

Kernel

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13843: nimetön tutkija, nimetön tutkija

Kernel

Saatavuus: macOS Sierra 10.12.6

Vaikutus: Vääränmuotoisen mach-binäärin käsittely saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla vahvistamista.

CVE-2017-13834: Maxime Villard (m00nbsd)

Kernel

Saatavuus: macOS High Sierra 10.13, macOS Sierra 10.12.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13799: Lufeng Li (Qihoo 360 Vulcan Team)

Kohta päivitetty 10.11.2017

Kernel

Saatavuus: macOS High Sierra 10.13

Vaikutus: Haittaohjelma saattoi saada tietoja laitteen muiden ohjelmien olemassaolosta ja toiminnasta.

Kuvaus: Ohjelma pystyi käyttämään rajoituksetta käyttöjärjestelmän ylläpitämiä prosessitietoja. Ongelma on ratkaistu nopeutta rajoittamalla.

CVE-2017-13852: Xiaokuan Zhang ja Yinqian Zhang (Ohio State University), Xueqiang Wang ja XiaoFeng Wang (Indiana University Bloomington) sekä Xiaolong Bai (Tsinghua University)

Kohta lisätty 10.11.2017

libarchive

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13813: ongelman havaitsi OSS-Fuzz

CVE-2017-13816: ongelman havaitsi OSS-Fuzz

libarchive

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: libarchivessa oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla annettujen tietojen tarkistamista.

CVE-2017-13812: ongelman havaitsi OSS-Fuzz

libarchive

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2016-4736: nimetön tutkija

Open Scripting Architecture

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: AppleScriptin purkaminen osadecompilen kanssa saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13824: nimetön tutkija

PCRE

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: pcre:ssä esiintyi useita ongelmia.

Kuvaus: Ongelmat ratkaistiin päivittämällä versioon 8.40.

CVE-2017-13846

Postfix

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Postfixissa esiintyi useita ongelmia.

Kuvaus: Ongelmat ratkaistiin päivittämällä versioon 3.2.2.

CVE-2017-13826: nimetön tutkija

Pikakatselu

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2017-13822: Australian Cyber Security Centre (Australian Signals Directorate)

Pikakatselu

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Haitallisen Office-dokumentin jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-7132: Australian Cyber Security Centre (Australian Signals Directorate)

QuickTime

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2017-13823: Xiangkun Jia (Institute of Software Chinese Academy of Sciences)

Kohta päivitetty 10.11.2017

Etähallinta

Saatavuus: macOS Sierra 10.12.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13808: nimetön tutkija

Eristys

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-13838: Alastair Houghton

Kohta päivitetty 10.11.2017

StreamingZip

Saatavuus: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Haitallinen zip-tiedosto saattoi pystyä muokkaamaan tiedostojärjestelmän rajoitettuja alueita

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2017-13804: @qwertyoruiopz (KJC Research Intl. S.R.L.)

tcpdump

Saatavuus: macOS High Sierra 10.13, macOS Sierra 10.12.6

Vaikutus: tcpdumpissa esiintyi useita ongelmia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 4.9.2.

CVE-2017-11108

CVE-2017-11541

CVE-2017-11542

CVE-2017-11543

CVE-2017-12893

CVE-2017-12894

CVE-2017-12895

CVE-2017-12896

CVE-2017-12897

CVE-2017-12898

CVE-2017-12899

CVE-2017-12900

CVE-2017-12901

CVE-2017-12902

CVE-2017-12985

CVE-2017-12986

CVE-2017-12987

CVE-2017-12988

CVE-2017-12989

CVE-2017-12990

CVE-2017-12991

CVE-2017-12992

CVE-2017-12993

CVE-2017-12994

CVE-2017-12995

CVE-2017-12996

CVE-2017-12997

CVE-2017-12998

CVE-2017-12999

CVE-2017-13000

CVE-2017-13001

CVE-2017-13002

CVE-2017-13003

CVE-2017-13004

CVE-2017-13005

CVE-2017-13006

CVE-2017-13007

CVE-2017-13008

CVE-2017-13009

CVE-2017-13010

CVE-2017-13011

CVE-2017-13012

CVE-2017-13013

CVE-2017-13014

CVE-2017-13015

CVE-2017-13016

CVE-2017-13017

CVE-2017-13018

CVE-2017-13019

CVE-2017-13020

CVE-2017-13021

CVE-2017-13022

CVE-2017-13023

CVE-2017-13024

CVE-2017-13025

CVE-2017-13026

CVE-2017-13027

CVE-2017-13028

CVE-2017-13029

CVE-2017-13030

CVE-2017-13031

CVE-2017-13032

CVE-2017-13033

CVE-2017-13034

CVE-2017-13035

CVE-2017-13036

CVE-2017-13037

CVE-2017-13038

CVE-2017-13039

CVE-2017-13040

CVE-2017-13041

CVE-2017-13042

CVE-2017-13043

CVE-2017-13044

CVE-2017-13045

CVE-2017-13046

CVE-2017-13047

CVE-2017-13048

CVE-2017-13049

CVE-2017-13050

CVE-2017-13051

CVE-2017-13052

CVE-2017-13053

CVE-2017-13054

CVE-2017-13055

CVE-2017-13687

CVE-2017-13688

CVE-2017-13689

CVE-2017-13690

CVE-2017-13725

Wi-Fi

Saatavuus: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Wi-Fi-alueella oleva hyökkääjä saattoi pakottaa nonce-uudelleenkäytön WPA-täsmälähetys-/PTK-asiakkaissa (avaimen uudelleenasennushyökkäykset – KRACK)

Kuvaus: Tilasiirtymien käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2017-13077: Mathy Vanhoef (imec-DistriNet-ryhmä, KU Leuven)

CVE-2017-13078: Mathy Vanhoef (imec-DistriNet-ryhmä, KU Leuven)

Kohta päivitetty 3.11.2017

Wi-Fi

Saatavuus: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Wi-Fi-alueella oleva hyökkääjä saattoi pakottaa nonce-uudelleenkäytön WPA-monilähetys-/GTK-asiakkaissa (avaimen uudelleenasennushyökkäykset – KRACK)

Kuvaus: Tilasiirtymien käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2017-13080: Mathy Vanhoef (imec-DistriNet-ryhmä, KU Leuven)

Kohta päivitetty 3.11.2017

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: