Informacije o sigurnosnom sadržaju sustava macOS High Sierra 10.13

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS High Sierra 10.13.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

macOS High Sierra 10.13

Izdano 25. rujna 2017.

802.1X

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: napadači su mogli iskoristiti slabe točke u TLS-u 1.0

Opis: problem sa sigurnošću protokola riješen je tako da su omogućeni TLS 1.1 i TLS 1.2.

CVE-2017-13832: Doug Wussler (Floridsko sveučilište)

Unos dodan 31. listopada 2017., ažuriran 10. studenoga 2017.

apache

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: veći broj problema u softveru Apache

Opis: otkriven je veći broj problema u softveru Apache. Problemi su riješeni ažuriranjem softvera Apache na verziju 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Unos dodan 31. listopada 2017., ažuriran 14. prosinca 2018.

Postavke Apple računa

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: lokalni napadač može dobiti pristup tokenima za autorizaciju usluge iCloud

Opis: postojao je problem u pohrani osjetljivih tokena. Taj je problem riješen stavljanjem tokena u privjesak ključeva.

CVE-2017-13909: Andreas Nilsson

Unos dodan 18. listopada 2018.

AppleScript

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: dekompiliranje skripte AppleScript pomoću naredbe osadecompile može dovesti do izvršavanja proizvoljnog koda

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-13809: bat0s

Unos dodan 31. listopada 2017., ažuriran 10. studenoga 2017.

Vatrozid za aplikacije

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: prethodno odbijena postavka vatrozida za aplikacije može stupiti na snagu nakon ažuriranja

Opis: postojao je problem s ažuriranjem u upravljanju postavkama vatrozida. Taj je problem riješen poboljšanim upravljanjem postavkama vatrozida tijekom ažuriranja.

CVE-2017-7084: anonimni istraživač

AppSandbox

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: neke su aplikacije mogle izazvati odbijanje usluge

Opis: veći broj problema s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7074: Daniel Jalkut (Red Sweater Software)

ATS

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-13820: John Villamil (Doyensec)

Unos dodan 31. listopada 2017.

Audio

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: parsiranjem zlonamjerne datoteke aplikacije QuickTime može se izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13807: Yangkang ((@dnpushme), tim Qex tvrtke Qihoo 360)

Unos dodan 31. listopada 2017.

Pomoćnik za komercijalnu mrežu

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: lokalni korisnik nehotice može slati nešifrirane lozinke putem mreže

Opis: stanje sigurnosti komercijalnog pretraživača portala nije bilo očito. Problem je riješen poboljšanom vidljivosti sigurnosnog stanja komercijalnog pretraživača portala.

CVE-2017-7143: Matthew Green (Sveučilište Johns Hopkins)

Unos ažuriran 3. listopada 2017.

CFNetwork

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13829: Niklas Baumstark i Samuel Gro u suradnji s inicijativom Zero Day (Trend Micro) 

CVE-2017-13833: Niklas Baumstark i Samuel Gro u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 10. studenoga 2017.

CFNetwork proxyji

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: napadači s mrežnim ovlastima mogli su izazvati odbijanje usluge

Opis: veći broj problema s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)

CFString

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-13821: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost

Unos dodan 31. listopada 2017.

CoreAudio

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: čitanje ograničene memorije riješeno je ažuriranjem na Opus verzije 1.1.4.

CVE-2017-0381: V.E.O ((@VYSEa), istraživački tim za mobilne prijetnje (Trend Micro))

Jezgreni tekst

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13825: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost

Unos dodan 31. listopada 2017., ažuriran 16. studenoga 2018.

CoreTypes

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: obradom zlonamjerne web-stranice može doći do namještanja slike diska

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2017-13890: Apple, Theodor Ragnar Gislason (Syndis)

Unos dodan 29. ožujka 2018.

DesktopServices

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: lokalni napadač može vidjeti nezaštićene korisničke podatke

Opis: postojao je problem s pristupom datotekama s određenim datotekama u početnoj mapi. Problem je riješen poboljšanim ograničenjima pristupa.

CVE-2017-13851: Henrique Correa de Amorim

Unos dodan 2. studenoga 2017., ažuriran 14. veljače 2018.

Uslužni program direktorija

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: lokalni napadač može odrediti Apple ID vlasnika računala

Opis: u načinu obrade Apple ID-a otkriven je problem s dozvolama. Problem je riješen poboljšanim kontrolama pristupa.

CVE-2017-7138: Daniel Kvak (Sveučilište Masaryk)

Unos ažuriran 3. listopada 2017.

datoteka

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: veći broj problema u datoteci

Opis: veći broj problema riješen je ažuriranjem na verziju 5.30.

CVE-2017-7121: otkrio OSS-Fuzz

CVE-2017-7122: otkrio OSS-Fuzz

CVE-2017-7123: otkrio OSS-Fuzz

CVE-2017-7124: otkrio OSS-Fuzz

CVE-2017-7125: otkrio OSS-Fuzz

CVE-2017-7126: otkrio OSS-Fuzz

datoteka

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: veći broj problema u datoteci

Opis: veći broj problema riješen je ažuriranjem na verziju 5.31.

CVE-2017-13815

Unos dodan 31. listopada 2017.

Fontovi

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: obrada teksta iz nepouzdanog izvora mogla je dovesti do lažnog predstavljanja

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-13828: Leonard Grey i Robert Sesek (Google Chrome)

Unos dodan 31. listopada 2017., ažuriran 10. studenoga 2017.

fsck_msdos

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13811: V.E.O. ((@VYSEa), istraživački tim za mobilne prijetnje (Trend Micro))

Unos ažuriran 2. studenoga 2017.

fsck_msdos

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: uz dodatne ovlasti aplikacija može izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13835: anonimni istraživač

Unos dodan 18. listopada 2018.

Heimdal

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: napadači s mrežnim ovlastima mogli su na servisima preuzeti tuđi identitet

Opis: u rukovanju KDC-REP nazivom servisa otkriven je problem s provjerom valjanosti. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni i Nico Williams

HelpViewer

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: HTML datoteka u karanteni može izvršiti proizvoljnu skriptu JavaScript na više izvora

Opis: u pregledniku HelpViewer otkriven je problem sa skriptiranjem na više stranica. Taj je problem riješen uklanjanjem zahvaćene datoteke.

CVE-2017-13819: Filippo Cavallarin (SecuriTeam Secure Disclosure)

Unos dodan 31. listopada 2017., ažuriran 10. studenoga 2017.

HFS

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13830: Sergej Schumilo (sveučilište Ruhr-Universität Bochum)

Unos dodan 31. listopada 2017.

Ulaz i izlaz slika

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-13814: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost

Unos dodan 31. listopada 2017., ažuriran 16. studenoga 2018.

Ulaz i izlaz slika

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-13831: Glen Carmichael

Unos dodan 31. listopada 2017., ažuriran 3. travnja 2019.

Instalacijski program

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: zlonamjerna aplikacija može pristupiti ključu za otključavanje funkcije FileVault

Opis: problem je riješen uklanjanjem dodatnih prava.

CVE-2017-13837: Patrick Wardle (Synack)

Unos dodan 31. listopada 2017., ažuriran 10. studenoga 2017.

IOAcceleratorFamily

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13906

Unos dodan 18. listopada 2018.

IOFireWireFamily

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7077: Brandon Azad

IOFireWireFamily

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng (Alibaba Inc.), Benjamin Gnahm ((@mitp0sh), PDX)

Kernel

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)

Kernel

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: lokalni je korisnik mogao otkriti povjerljive korisničke podatke

Opis: u brojačima paketa kernela postojao je problem s dozvolama. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.

CVE-2017-13810: Zhiyun Qian (Kalifornijsko sveučilište, Riverside)

Unos dodan 31. listopada 2017., ažuriran 10. studenoga 2017.

Kernel

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: lokalni korisnici mogli su čitati kernelsku memoriju

Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-13817: Maxime Villard (m00nbsd)

Unos dodan 31. listopada 2017.

Kernel

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-13818: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse (Semmle Ltd.)

Unos dodan 31. listopada 2017., ažuriran 18. lipnja 2018.

Kernel

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13843: anonimni istraživač, anonimni istraživač

Unos dodan 31. listopada 2017.

Kernel

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13854: shrek_wzw (tim Nirvan tvrtke Qihoo 360)

Unos dodan 2. studenoga 2017.

Kernel

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: obradom oštećenog mach binarnog formata može doći do izvršavanja proizvoljnog koda

Opis: problem oštećenja memorije riješen je poboljšanom provjerom valjanosti.

CVE-2017-13834: Maxime Villard (m00nbsd)

Unos dodan 10. studenoga 2017.

Kernel

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: zlonamjerne aplikacije mogu otkriti podatke o prisutnosti i radu drugih aplikacija na uređaju.

Opis: aplikacija je mogla pristupiti podacima o mrežnoj aktivnosti koje operacijski sustav nije ograničio. Taj je problem riješen smanjivanjem broja podataka dostupnih aplikacijama drugih proizvođača.

CVE-2017-13873: Xiaokuan Zhang i Yinqian Zhang (Sveučilište u Ohiju), Xueqiang Wang i XiaoFeng Wang (Sveučilište Bloomington u Indiani) i Xiaolong Bai (Sveučilište Tsinghua)

Unos dodan 30. studenoga 2017.

kext alati

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: logička greška u učitavanju kexta riješena je poboljšanim upravljanjem stanja.

CVE-2017-13827: anonimni istraživač

Unos dodan 31. listopada 2017.

libarchive

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13813: otkrio OSS-Fuzz

CVE-2017-13816: otkrio OSS-Fuzz

Unos dodan 31. listopada 2017.

libarchive

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda

Opis: u biblioteci libarchive otkriven je veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanom provjerom ulaza.

CVE-2017-13812: otkrio OSS-Fuzz

Unos dodan 31. listopada 2017.

libarchive

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2016-4736: anonimni istraživač

Unos dodan 31. listopada 2017.

libc

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: udaljeni napadači mogli su izazvati odbijanje usluge

Opis: problem s pražnjenjem resursa u entitetu glob() riješen je poboljšanim algoritmom.

CVE-2017-7086: Russ Cox (Google)

libc

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: neke su aplikacije mogle izazvati odbijanje usluge

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-1000373

libexpat

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: veći broj problema u biblioteci expat

Opis: veći broj problema riješen je ažuriranjem na verziju 2.2.1

CVE-2016-9063

CVE-2017-9233

libxml2

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.

CVE-2018-4302: Gustavo Grieco

Unos dodan 18. listopada 2018.

libxml2

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2017-5130: anonimni istraživač

CVE-2017-7376: anonimni istraživač

Unos dodan 18. listopada 2018.

libxml2

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-9050: Mateusz Jurczyk (j00ru) (Google Project Zero)

Unos dodan 18. listopada 2018.

libxml2

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2017-9049: Wei Lei i Liu Yang – Tehnološko sveučilište u Nanjangu u Singapuru

Unos dodan 18. listopada 2018.

Mail

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: pošiljatelj e-maila može odrediti IP adresu primatelja

Opis: isključivanje opcije „Učitaj udaljeni sadržaj u poruke” nije se primijenilo na sve sandučiće. Problem je riješen poboljšanom propagacijom postavki.

CVE-2017-7141: John Whitehead (The New York Times)

Unos ažuriran 3. listopada 2017.

Skice e-mailova

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: napadači s mrežnim ovlastima mogli su presresti vjerodajnice za sadržaj

Opis: u rukovanju skicama e-mail poruka otkriven je problem s kriptiranjem. Taj je problem riješen poboljšanim upravljanjem skicama e-mail poruka koje se šalju kriptirane.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE (Marseille, Francuska), anonimni istraživač

Unos ažuriran 3. listopada 2017.

ntp

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: veći broj problema u protokolu ntp

Opis: veći broj problema riješen je ažuriranjem na verziju 4.2.8p10

CVE-2017-6451: Cure53 

CVE-2017-6452: Cure53 

CVE-2017-6455: Cure53 

CVE-2017-6458: Cure53 

CVE-2017-6459: Cure53 

CVE-2017-6460: Cure53 

CVE-2017-6462: Cure53 

CVE-2017-6463: Cure53 

CVE-2017-6464: Cure53 

CVE-2016-9042: Matthew Van Gundy (Cisco)

Otvorena arhitektura skriptiranja

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: dekompiliranje skripte AppleScript pomoću naredbe osadecompile može dovesti do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13824: anonimni istraživač

Unos dodan 31. listopada 2017.

PCRE

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: veći broj problema u biblioteci pcre

Opis: veći broj problema riješen je ažuriranjem na verziju 8.40.

CVE-2017-13846

Unos dodan 31. listopada 2017.

Postfix

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: veći broj problema u softveru Postfix

Opis: veći broj problema riješen je ažuriranjem na verziju 3.2.2.

CVE-2017-10140: anonimni istraživač

Unos dodan 31. listopada 2017., ažuriran 17. studenoga 2017.

Brzi pregled

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-13822: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost

Unos dodan 31. listopada 2017.

Brzi pregled

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: raščlanjivanjem zlonamjernih dokumenata sustava Office moglo je doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7132: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost

Unos dodan 31. listopada 2017.

QuickTime

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-13823: Xiangkun Jia (Institut za softver, Kineska akademija znanosti)

Unos dodan 31. listopada 2017., ažuriran 10. studenoga 2017.

Daljinsko upravljanje

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13808: anonimni istraživač

Unos dodan 31. listopada 2017.

Memorija za testiranje

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13838: Alastair Houghton

Unos dodan 31. listopada 2017., ažuriran 10. studenoga 2017.

Zaključavanje zaslona

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: upozorenja o vatrozidu aplikacije može se prikazati preko prozora za prijavu

Opis: problem s upravljanjem prozorom riješen je poboljšanim upravljanjem stanjem.

CVE-2017-7082: Tim Kingman

Sigurnost

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: neki opozvani certifikati mogli su se tretirati kao pouzdani

Opis: u rukovanju opozvanim podacima otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2017-7080: Sven Driemecker (adesso mobile solutions gmbh), Rune Darrud ((@theflyingcorpse), Bærum kommune), anonimni istraživač, anonimni istraživač

SMB

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: lokalni napadač može izvršiti neizvršive tekstualne datoteke putem protokola dijeljenja SMB

Opis: problem s upravljanjem dozvolama datoteka riješen je poboljšanom provjerom valjanosti.

CVE-2017-13908: anonimni istraživač

Unos dodan 18. listopada 2018.

Spotlight

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: Spotlight može prikazati rezultate za datoteke koje ne pripadaju korisniku

Opis: postojao je problem s pristupom u usluzi Spotlight. Problem je riješen poboljšanim ograničenjima pristupa.

CVE-2017-13839: Ken Harris (Free Robot Collective)

Unos dodan 31. listopada 2017., ažuriran 10. studenoga 2017.

Spotlight

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: neke aplikacije mogle su pristupiti datotekama s ograničenjima

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje za aplikacije.

CVE-2017-13910

Unos dodan 18. listopada 2018.

SQLite

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: veći broj problema u bazi podataka SQLite

Opis: veći broj problema riješen je ažuriranjem na verziju 3.19.3.

CVE-2017-10989: otkrio OSS-Fuzz

CVE-2017-7128: otkrio OSS-Fuzz

CVE-2017-7129: otkrio OSS-Fuzz

CVE-2017-7130: otkrio OSS-Fuzz

SQLite

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7127: anonimni istraživač

zlib

Dostupno za: OS X Mountain Lion 10.8 i noviji

Učinak: veći broj problema u biblioteci zlib

Opis: veći broj problema riješen je ažuriranjem na verziju 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Dodatna zahvala

Sigurnost

Na pomoći zahvaljujemo Abhinavu Bansalu (Zscaler, Inc.).

NSWindow

Na pomoći zahvaljujemo Trentu Aptedu (tim za Google Chrome).

Web-inspektor za WebKit

Na pomoći zahvaljujemo Ioanu Bizăuu (Bloggify).

Dodatno ažuriranje macOS High Sierra 10.13

Nova preuzimanja sustava macOS High Sierra 10.13 uključuju sigurnosni sadržaj dodatno ažuriranje macOS High Sierra 10.13.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: