À propos des correctifs de sécurité de macOS High Sierra 10.13

Ce document décrit les correctifs de sécurité de macOS High Sierra 10.13.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple. Vous pouvez chiffrer les communications avec Apple à l’aide de la clé PGP du groupe de sécurité produit d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

macOS High Sierra 10.13

Publié le 25 septembre 2017

802.1X

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un attaquant peut exploiter les faiblesses du protocole TLS 1.0.

Description : un problème de sécurité de protocole a été résolu par l’activation de TLS 1.1 et TLS 1.2.

CVE-2017-13832 : Doug Wussler de l’université d’État de Floride

Entrée ajoutée le 31 octobre 2017, mise à jour le 10 novembre 2017

apache

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : Apache présentait plusieurs problèmes.

Description : plusieurs vulnérabilités affectaient Apache. Elles ont été corrigées par une mise à jour d’Apache vers la version 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Entrée ajoutée le 31 octobre 2017, mise à jour le 14 décembre 2018

Réglages du compte Apple

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un attaquant local peut être en mesure d’accéder aux jetons d’authentification iCloud.

Description : il existait un problème avec le stockage des jetons sensibles. Ce problème a été résolu en plaçant les jetons dans Trousseau.

CVE-2017-13909 : Andreas Nilsson

Entrée ajoutée le 18 octobre 2018

AppleScript

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : la décompilation d’un AppleScript avec osadecompile peut entraîner l’exécution arbitraire de code.

Description : un problème de validation a été résolu par un meilleur nettoyage des entrées.

CVE-2017-13809 : bat0s

Entrée ajoutée le 31 octobre 2017, mise à jour le 10 novembre 2017

Coupe-feu applicatif

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : le réglage du coupe-feu d’une application précédemment refusée peut prendre effet après une mise à niveau.

Description : un problème de mise à niveau existait au niveau de la gestion des réglages du coupe-feu. Ce problème a été résolu par une meilleure gestion des réglages du coupe-feu lors des mises à niveau.

CVE-2017-7084 : un chercheur anonyme

AppSandbox

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être à l’origine d’un déni de service.

Description : plusieurs problèmes de déni de service ont été résolus par une meilleure gestion de la mémoire.

CVE-2017-7074 : Daniel Jalkut de Red Sweater Software

ATS

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : le traitement d’une police malveillante peut entraîner la divulgation du contenu de la mémoire de traitement.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2017-13820 : John Villamil, Doyensec

Entrée ajoutée le 31 octobre 2017

Audio

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : l’analyse d’un fichier QuickTime malveillant peut entraîner la fermeture inopinée d’une application ou l’exécution arbitraire de code.

Description : un problème de consommation de la mémoire a été résolu par une meilleure gestion de celle-ci.

CVE-2017-13807 : Yangkang (@dnpushme) de la Qihoo 360 Qex Team

Entrée ajoutée le 31 octobre 2017

Captive Network Assistant

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un utilisateur local peut envoyer, sans le savoir, un mot de passe non chiffré sur le réseau.

Description : l’état de sécurité du navigateur du portail captif n’était pas évident. Ce problème a été résolu par une meilleure visibilité de l’état de sécurité du navigateur du portail captif.

CVE-2017-7143 : Matthew Green de l’université Johns-Hopkins

Entrée mise à jour le 3 octobre 2017

CFNetwork

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-13829 : Niklas Baumstark et Samuel Gro en collaboration avec le programme Zero Day Initiative de Trend Micro

CVE-2017-13833 : Niklas Baumstark et Samuel Gro en collaboration avec le programme Zero Day Initiative de Trend Micro

Entrée ajoutée le 10 novembre 2017

Proxys CFNetwork

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut être à l’origine d’un déni de service.

Description : plusieurs problèmes de déni de service ont été résolus par une meilleure gestion de la mémoire.

CVE-2017-7083 : Abhinav Bansal de Zscaler Inc.

CFString

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure de lire la mémoire restreinte.

Description : un problème de validation a été résolu par un meilleur nettoyage des entrées.

CVE-2017-13821 : centre de cybersécurité australien – Australian Signals Directorate

Entrée ajoutée le 31 octobre 2017

CoreAudio

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure de lire la mémoire restreinte.

Description : un problème de lecture hors limites a été résolu par une mise à jour vers la version 1.1.4 d’Opus.

CVE-2017-0381 : V.E.O (@VYSEa) de la Mobile Threat Research Team, Trend Micro

CoreText

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de consommation de mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-13825 : centre de cybersécurité australien – Australian Signals Directorate

Entrée ajoutée le 31 octobre 2017, mise à jour le 16 novembre 2018

CoreTypes

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : le traitement d’une page web malveillante peut avoir pour effet de monter une image disque.

Description : un problème de logique a été résolu par de meilleures restrictions.

CVE-2017-13890 : Apple, Theodor Ragnar Gislason de Syndis

Entrée ajoutée le 29 mars 2018

DesktopServices

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un attaquant local peut être en mesure d’examiner des données utilisateur non sécurisées.

Description : certains fichiers du dossier de départ présentaient un problème d’accès. Ce problème a été résolu par une amélioration des restrictions d’accès.

CVE-2017-13851 : Henrique Correa de Amorim

Entrée ajoutée le 2 novembre 2017, mise à jour le 14 février 2018

Utilitaire d’annuaire

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un attaquant local peut être en mesure de déterminer l’identifiant Apple du propriétaire de l’ordinateur.

Description : un problème d’autorisations existait au niveau de la gestion de l’identifiant Apple. Ce problème a été résolu par une amélioration des contrôles d’accès.

CVE-2017-7138 : Daniel Kvak de l’université Masaryk

Entrée mise à jour le 3 octobre 2017

file

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : file présentait plusieurs problèmes.

Description : de nombreux problèmes ont été résolus par la mise à jour vers la version 5.30.

CVE-2017-7121 : découvert par OSS-Fuzz

CVE-2017-7122 : découvert par OSS-Fuzz

CVE-2017-7123 : découvert par OSS-Fuzz

CVE-2017-7124 : découvert par OSS-Fuzz

CVE-2017-7125 : découvert par OSS-Fuzz

CVE-2017-7126 : découvert par OSS-Fuzz

file

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : file présentait plusieurs problèmes.

Description : de nombreux problèmes ont été résolus par la mise à jour vers la version 5.31.

CVE-2017-13815

Entrée ajoutée le 31 octobre 2017

Fonts

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : le rendu de texte non fiable peut entraîner une utilisation détournée.

Description : un problème d’incohérence de l’interface utilisateur a été résolu grâce à une meilleure gestion des états.

CVE-2017-13828 : Leonard Grey et Robert Sesek de Google Chrome

Entrée ajoutée le 31 octobre 2017, mise à jour le 10 novembre 2017

fsck_msdos

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-13811 : V.E.O. (@VYSEa) de la Mobile Advanced Threat Team de Trend Micro

Entrée mise à jour le 2 novembre 2017

fsck_msdos

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut exécuter un code arbitraire avec des privilèges élevés.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-13835 : un chercheur anonyme

Entrée ajoutée le 18 octobre 2018

Heimdal

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut imiter un service.

Description : un problème de validation se produisait lors de la gestion du nom de service KDC-REP. Il a été résolu par une meilleure validation.

CVE-2017-11103 : Jeffrey Altman, Viktor Duchovni et Nico Williams

Visualisation Aide

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un fichier HTML placé en quarantaine peut exécuter du code JavaScript arbitraire d’origines multiples.

Description : Visualisation Aide présentait un problème d’injection de code indirect (XSS). Ce problème a été résolu par la suppression du fichier affecté.

CVE-2017-13819 : Filippo Cavallarin de SecuriTeam Secure Disclosure

Entrée ajoutée le 31 octobre 2017, mise à jour le 10 novembre 2017

HFS

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-13830 : Sergej Schumilo de l’Université de la Ruhr à Bochum

Entrée ajoutée le 31 octobre 2017

ImageIO

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : le traitement d’une image malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2017-13814 : centre de cybersécurité australien – Australian Signals Directorate

Entrée ajoutée le 31 octobre 2017, mise à jour le 16 novembre 2018

ImageIO

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : le traitement d’une image malveillante peut entraîner un déni de service.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2017-13831 : Glen Carmichael

Entrée ajoutée le 31 octobre 2017, mise à jour le 3 avril 2019

Programme d’installation

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application malveillante est susceptible d’accéder à la clé de déverrouillage de FileVault.

Description : ce problème a été résolu par la suppression des droits supplémentaires.

CVE-2017-13837 : Patrick Wardle de Synack

Entrée ajoutée le 31 octobre 2017, mise à jour le 10 novembre 2017

IOAcceleratorFamily

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application malveillante peut permettre l’augmentation des privilèges.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-13906

Entrée ajoutée le 18 octobre 2018

IOFireWireFamily

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-7077 : Brandon Azad

IOFireWireFamily

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure de lire la mémoire restreinte.

Description : un problème de validation a été résolu par un meilleur nettoyage des entrées.

CVE-2017-7119 : Xiaolong Bai, Min (Spark) Zheng d’Alibaba Inc., Benjamin Gnahm (@mitp0sh) de PDX

Noyau

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut exécuter un code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-7114 : Alex Plaskett de MWR InfoSecurity

Noyau

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un utilisateur local peut divulguer des données utilisateur sensibles.

Description : les autorisations présentaient un problème au niveau des compteurs de paquets dans le noyau. Ce problème a été résolu par une meilleure validation des autorisations.

CVE-2017-13810 : Zhiyun Qian de l’Université de Californie, Riverside

Entrée ajoutée le 31 octobre 2017, mise à jour le 10 novembre 2017

Noyau

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un utilisateur local peut être en mesure de lire la mémoire du noyau.

Description : un problème de lecture hors limites entraînait la divulgation de la mémoire du noyau. Ce problème a été résolu par une meilleure validation des entrées.

CVE-2017-13817 : Maxime Villard (m00nbsd)

Entrée ajoutée le 31 octobre 2017

Noyau

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure de lire la mémoire restreinte.

Description : un problème de validation a été résolu par un meilleur nettoyage des entrées.

CVE-2017-13818 : centre national de cybersécurité du Royaume-Uni (NCSC)

CVE-2017-13836 : Vlad Tsyrklevich

CVE-2017-13841 : Vlad Tsyrklevich

CVE-2017-13840 : Vlad Tsyrklevich

CVE-2017-13842 : Vlad Tsyrklevich

CVE-2017-13782 : Kevin Backhouse de Semmle Ltd.

Entrée ajoutée le 31 octobre 2017, mise à jour le 18 juin 2018

Noyau

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut exécuter un code arbitraire avec des privilèges liés au noyau.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-13843 : un chercheur anonyme, un chercheur anonyme

Entrée ajoutée le 31 octobre 2017

Noyau

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-13854 : shrek_wzw de la Qihoo 360 Nirvan Team

Entrée ajoutée le 2 novembre 2017

Noyau

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : le traitement d’un fichier Mach-O mal formé peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.

CVE-2017-13834 : Maxime Villard (m00nbsd)

Entrée ajoutée le 10 novembre 2017

Noyau

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application malveillante peut être en mesure d’obtenir des informations sur la présence et le fonctionnement d’autres applications figurant sur l’appareil.

Description : une application pouvait accéder aux informations sur l’activité réseau qui étaient gérées par le système d’exploitation non restreint. Ce problème a été résolu en réduisant le volume d’informations mis à disposition des applications tierces.

CVE-2017-13873 : Xiaokuan Zhang et Yinqian Zhang de l’université d’État de l’Ohio, Xueqiang Wang et XiaoFeng Wang de l’université de l’Indiana à Bloomington, et Xiaolong Bai de l’université Tsinghua

Entrée ajoutée le 30 novembre 2017

Outils kext

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

Description : une erreur logique existait au niveau du chargement des extensions de noyau (kext). Elle a été corrigée grâce à une meilleure gestion des états.

CVE-2017-13827 : un chercheur anonyme

Entrée ajoutée le 31 octobre 2017

libarchive

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : la décompression d’une archive malveillante peut entraîner l’exécution arbitraire de code.

Description : un problème de dépassement de la mémoire tampon a été résolu par une meilleure gestion de la mémoire.

CVE-2017-13813 : découvert par OSS-Fuzz

CVE-2017-13816 : découvert par OSS-Fuzz

Entrée ajoutée le 31 octobre 2017

libarchive

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : la décompression d’une archive malveillante peut entraîner l’exécution arbitraire de code.

Description : libarchive présentait plusieurs problèmes de corruption de la mémoire. Ces problèmes ont été résolus par une meilleure validation des entrées.

CVE-2017-13812 : découvert par OSS-Fuzz

Entrée ajoutée le 31 octobre 2017

libarchive

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure de lire la mémoire restreinte.

Description : un problème de validation a été résolu par un meilleur nettoyage des entrées.

CVE-2016-4736 : un chercheur anonyme

Entrée ajoutée le 31 octobre 2017

libc

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un attaquant distant peut être à l’origine d’un déni de service.

Description : un problème d’épuisement des ressources dans glob() a été résolu par une amélioration de l’algorithme.

CVE-2017-7086 : Russ Cox de Google

libc

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être à l’origine d’un déni de service.

Description : un problème de consommation de la mémoire a été résolu par une meilleure gestion de celle-ci.

CVE-2017-1000373

libexpat

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : expat présentait plusieurs problèmes.

Description : de nombreux problèmes ont été résolus par la mise à jour vers la version 2.2.1.

CVE-2016-9063

CVE-2017-9233

libxml2

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : le traitement d’un fichier XML malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution arbitraire de code.

Description : un déréférencement de pointeurs null a été résolu par une meilleure validation.

CVE-2018-4302 : Gustavo Grieco

Entrée ajoutée le 18 octobre 2018

libxml2

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : le traitement d’un fichier XML malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution arbitraire de code.

Description : un problème de dépassement de la mémoire tampon a été résolu par une meilleure gestion de la mémoire.

CVE-2017-5130 : un chercheur anonyme

CVE-2017-7376 : un chercheur anonyme

Entrée ajoutée le 18 octobre 2018

libxml2

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : le traitement d’un fichier XML malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation des entrées.

CVE-2017-9050 : Mateusz Jurczyk (j00ru) de Google Project Zero

Entrée ajoutée le 18 octobre 2018

libxml2

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : le traitement d’un fichier XML malveillant peut entraîner l’arrêt inopiné d’applications ou l’exécution arbitraire de code.

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2017-9049 : Wei Lei et Liu Yang - Université de technologie de Nanyang de Singapour

Entrée ajoutée le 18 octobre 2018

Mail

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : l’expéditeur d’un e-mail peut être en mesure de déterminer l’adresse IP du destinataire.

Description : la désactivation de l’option « Charger le contenu distant des messages » ne s’est pas appliquée à toutes les boîtes aux lettres. Ce problème a été résolu par une meilleure propagation des réglages.

CVE-2017-7141 : John Whitehead du New York Times

Entrée mise à jour le 3 octobre 2017

Brouillons d’e-mails

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter des contenus d’e-mails.

Description : un problème de chiffrement existait au niveau de la gestion des brouillons d’e-mails. Ce problème a été résolu par une meilleure gestion des brouillons d’e-mails destinés à être envoyés chiffrés.

CVE-2017-7078 : Petter Flink, Pierre ALBARÈDE de Marseille, un chercheur anonyme

Entrée mise à jour le 3 octobre 2017

ntp

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : ntp présente plusieurs problèmes.

Description : de nombreux problèmes ont été résolus par la mise à jour vers la version 4.2.8p10.

CVE-2017-6451 : Cure53

CVE-2017-6452 : Cure53

CVE-2017-6455 : Cure53

CVE-2017-6458 : Cure53

CVE-2017-6459 : Cure53

CVE-2017-6460 : Cure53

CVE-2017-6462 : Cure53

CVE-2017-6463 : Cure53

CVE-2017-6464 : Cure53

CVE-2016-9042 : Matthew Van Gundy de Cisco

Open Scripting Architecture

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : la décompilation d’un AppleScript avec osadecompile peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-13824 : un chercheur anonyme

Entrée ajoutée le 31 octobre 2017

PCRE

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : PCRE présentait plusieurs problèmes.

Description : de nombreux problèmes ont été résolus par la mise à jour vers la version 8.40.

CVE-2017-13846

Entrée ajoutée le 31 octobre 2017

Postfix

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : Postfix présentait plusieurs problèmes.

Description : de nombreux problèmes ont été résolus par la mise à jour vers la version 3.2.2.

CVE-2017-10140 : un chercheur anonyme

Entrée ajoutée le 31 octobre 2017, mise à jour le 17 novembre 2017

Coup d’œil

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure de lire la mémoire restreinte.

Description : un problème de validation a été résolu par un meilleur nettoyage des entrées.

CVE-2017-13822 : centre de cybersécurité australien – Australian Signals Directorate

Entrée ajoutée le 31 octobre 2017

Coup d’œil

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : l’analyse d’un document Office malveillant peut entraîner la fermeture inopinée de l’application ou l’exécution arbitraire de code.

Description : un problème de consommation de la mémoire a été résolu par une meilleure gestion de celle-ci.

CVE-2017-7132 : centre de cybersécurité australien – Australian Signals Directorate

Entrée ajoutée le 31 octobre 2017

QuickTime

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure de lire la mémoire restreinte.

Description : un problème de validation a été résolu par un meilleur nettoyage des entrées.

CVE-2017-13823 : Xiangkun Jia de l’Institute of Software, Académie chinoise des sciences

Entrée ajoutée le 31 octobre 2017, mise à jour le 10 novembre 2017

Gestion à distance

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-13808 : un chercheur anonyme

Entrée ajoutée le 31 octobre 2017

Sandbox

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-13838 : Alastair Houghton

Entrée ajoutée le 31 octobre 2017, mise à jour le 10 novembre 2017

Verrouillage de l’écran

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : des invites du coupe-feu applicatif peuvent s’afficher au-dessus de la fenêtre d’ouverture de session.

Description : un problème de gestion des fenêtres a été résolu par une meilleure gestion des états.

CVE-2017-7082 : Tim Kingman

Sécurité

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un certificat révoqué peut être considéré comme un certificat de confiance.

Description : un problème de validation des certificats existait au niveau de la gestion des données de révocation. Il a été résolu par une meilleure validation.

CVE-2017-7080 : Sven Driemecker d’adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) de Bærum kommune, un chercheur anonyme, un chercheur anonyme

SMB

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : un attaquant local pourrait être en mesure d’exécuter des fichiers texte non exécutables via un partage SMB.

Description : un problème de gestion des autorisations d’accès aux fichiers a été résolu par une meilleure validation.

CVE-2017-13908 : un chercheur anonyme

Entrée ajoutée le 18 octobre 2018

Spotlight

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : des résultats correspondant à des fichiers n’appartenant pas à l’utilisateur peuvent être affichés par Spotlight.

Description : Spotlight présentait un problème d’accès. Ce problème a été résolu par un meilleur contrôle des restrictions d’accès.

CVE-2017-13839 : Ken Harris du Free Robot Collective

Entrée ajoutée le 31 octobre 2017, mise à jour le 10 novembre 2017

Spotlight

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure d’accéder à des fichiers restreints.

Description : un problème d’accès a été résolu par des restrictions supplémentaires de la sandbox sur les applications.

CVE-2017-13910

Entrée ajoutée le 18 octobre 2018

SQLite

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : SQLite présentait plusieurs problèmes.

Description : de nombreux problèmes ont été résolus par la mise à jour vers la version 3.19.3.

CVE-2017-10989 : découvert par OSS-Fuzz

CVE-2017-7128 : découvert par OSS-Fuzz

CVE-2017-7129 : découvert par OSS-Fuzz

CVE-2017-7130 : découvert par OSS-Fuzz

SQLite

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2017-7127 : un chercheur anonyme

zlib

Disponible pour : OS X Mountain Lion 10.8 et versions ultérieures.

Conséquence : zlib présentait plusieurs problèmes.

Description : de nombreux problèmes ont été résolus par la mise à jour vers la version 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Remerciements supplémentaires

Mail

Nous tenons à remercier Jon Bottarini de HackerOne pour son aide.

Entrée ajoutée le 6 février 2020

Sécurité

Nous souhaiterions remercier Abhinav Bansal de Zscaler, Inc. pour son aide.

NSWindow

Nous souhaiterions remercier Trent Apted de l’équipe Google Chrome pour son aide.

Inspecteur Web WebKit

Nous souhaiterions remercier Ioan Bizău de Bloggify pour son aide.

Mise à jour supplémentaire de macOS High Sierra 10.13

Les nouveaux téléchargements de macOS High Sierra 10.13 comprennent les correctifs de sécurité de la mise à jour supplémentaire de macOS High Sierra 10.13.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: