Informacije o sigurnosnom sadržaju sustava macOS High Sierra 10.13.2, sigurnosnom ažuriranju 2017-002 Sierra i sigurnosnom ažuriranju 2017-005 El Capitan

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS High Sierra 10.13.2, sigurnosno ažuriranje 2017-002 Sierra i sigurnosno ažuriranje 2017-005 El Capitan.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

macOS High Sierra 10.13.2, sigurnosno ažuriranje 2017-002 Sierra i sigurnosno ažuriranje 2017-005 El Capitan

Objavljeno 6. prosinca 2017.

APFS

Dostupno za: macOS High Sierra 10.13.1

Učinak: APFS šifrirani ključevi možda se ne mogu sigurno izbrisati nakon hibernacije

Opis: logički problem postojao je u APFS-u pri brisanju ključeva tijekom hibernacije. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-13887: David Ryskalczyk

Unos dodan 21. lipnja 2018.

apache

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: obradom zlonamjerne Apache konfiguracije može se otkriti procesna memorija

Opis: veći broj problema riješen je ažuriranjem na verziju 2.4.28.

CVE-2017-9798: Hanno Böck

Unos ažuriran 18. prosinca 2018.

Automatsko otključavanje

Dostupno za: macOS High Sierra 10.13.1

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2017-13905: Samuel Groß (@5aelo)

Unos dodan 18. listopada 2018.

CFNetwork Session

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7172: Richard Zhu (fluorescence) i inicijativa Zero Day (Trend Micro)

Unos dodan 22. siječnja 2018.

Kontakti

Dostupno za: macOS High Sierra 10.13.1

Učinak: dijeljenje podataka o kontaktima može dovesti do neočekivane razmjene podataka

Opis: postojao je problem s postupanjem dijeljenja kontakata. Taj je problem riješen poboljšanim upravljanjem korisničkih podataka.

CVE-2017-13892: Ryan Manly iz srednje škole Glenbrook High School District 225

Unos dodan 18. listopada 2018.

CoreAnimation

Dostupno za: macOS High Sierra 10.13.1

Učinak: uz dodatne ovlasti aplikacija može izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7171: 360 Security i inicijativa Zero Day (Trend Micro), Tencent Keen Security Lab (@keen_lab) i inicijativa Zero Day (Trend Micro)

Unos dodan 22. siječnja 2018.

CoreFoundation

Dostupno za: macOS High Sierra 10.13.1

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2017-7151: Samuel Groß (@5aelo)

Unos dodan 18. listopada 2018.

curl

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: zlonamjerni FTP poslužitelji mogli bi uzrokovati da klijent čita prekoračenu memoriju

Opis: postojao je problem s prekoračenjem čitanja u raščlanjivanju FTP PWD odgovora. Taj je problem riješen poboljšanom provjerom ograničenja.

CVE-2017-1000254: Max Dymond

Uslužni program direktorija

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Nije zahvaćeno: macOS Sierra 10.12.6 i stariji

Učinak: napadač će možda moći zaobići provjeru autentičnosti administratora bez davanja lozinke administratora

Opis: U provjeri valjanosti vjerodajnice postojala je logička pogreška. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.

CVE-2017-13872

ICU

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: neke aplikacije mogu čitati ograničenu memoriju

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-15422: Yuan Deng (Ant-financial Light-Year Security Lab)

Unos dodan 14. ožujka 2018.

Intelov grafički upravljački program

Dostupno za: macOS High Sierra 10.13.1

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13883: Yu Wang (Didi Research America)

CVE-2017-7163: Yu Wang (Didi Research America)

CVE-2017-7155: Yu Wang (Didi Research America)

Unos ažuriran 21. prosinca 2017.

Intelov grafički upravljački program

Dostupno za: macOS High Sierra 10.13.1

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju

Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-13878: Ian Beer (Google Project Zero)

Intelov grafički upravljački program

Dostupno za: macOS High Sierra 10.13.1

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2017-13875: Ian Beer (Google Project Zero)

IOAcceleratorFamily

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7159: pronašao je IMF razvio je HyungSeok Han (daramg.gift) iz tvrtke SoftSec, KAIST (softsec.kaist.ac.kr)

Unos ažuriran 21. prosinca 2017.

IOKit

Dostupno za: macOS High Sierra 10.13.1

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: u kernelu je otkriven problem s provjerom valjanosti ulaza. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-13848: Alex Plaskett (MWR InfoSecurity)

CVE-2017-13858: anonimni istraživač

IOKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: nekoliko problema s oštećenom memorijom riješeno je boljim upravljanjem stanjem.

CVE-2017-13847: Ian Beer (Google Project Zero)

IOKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-7162: Keen Security Lab (Tencent, @keen_lab) i inicijativa Zero Day (Trend Micro)

Unos ažuriran 10. siječnja 2018.

Kernel

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13904: Kevin Backhouse (Semmle Ltd.)

Unos dodan 14. veljače 2018.

Kernel

Dostupno za: macOS High Sierra 10.13.1

Učinak: neke su aplikacije mogle čitati kernelsku memoriju (Meltdown)

Opis: sustavi s mikroprocesorima koji imaju funkciju špekulativnog izvršavanja i neizravnog predviđanja ogranka mogu dopustiti neovlašteno razotkrivanje informacija napadačima s lokalnim korisničkim pristupom putem analize sporednog kanala pričuvne memorije podataka.

CVE-2017-5754: Jann Horn (Google Project Zero), Moritz Lipp (Tehnološko sveučilište u Grazu), Michael Schwarz (Tehnološko sveučilište u Grazu), Daniel Gruss (Tehnološko sveučilište u Grazu), Thomas Prescher (Cyberus Technology GmbH), Werner Haas (Cyberus Technology GmbH), Stefan Mangard (Tehnološko sveučilište u Grazu), Paul Kocher, Daniel Genkin (Sveučilište u Pennsylvaniji i Sveučilište u Marylandu), Yuval Yarom (Sveučilište u Adelaideu i Data61) te Mike Hamburg (Rambus, Odjel za istraživanje kriptografije)

Unos ažuriran 5. siječnja 2018.

Kernel

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer (Google Project Zero)

Unos ažuriran 21. prosinca 2017.

Kernel

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: neke aplikacije mogu čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2017-7173: Brandon Azad

Unos ažuriran 11. siječnja 2018.

Kernel

Dostupno za: macOS High Sierra 10.13.1

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13876: Ian Beer (Google Project Zero)

Kernel

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2017-13855: Jann Horn (Google Project Zero)

Kernel

Dostupno za: macOS High Sierra 10.13.1

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-13865: Ian Beer (Google Project Zero)

Kernel

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn (Google Project Zero)

Kernel

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.

Opis: u kernelu je otkriven problem s provjerom valjanosti ulaza. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2017-7154: Jann Horn (Google Project Zero)

Unos dodan 21. prosinca 2017.

Mail

Dostupno za: macOS High Sierra 10.13.1

Učinak: S/MIME šifrirana e-pošta može se nehotice poslati nešifrirano ako S/MIME certifikat primatelja nije instaliran

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-13871: Lukas Pitschl iz tvrtke GPGTools

Unos ažuriran 21. prosinca 2017.

Skice e-mail poruka

Dostupno za: macOS High Sierra 10.13.1

Učinak: napadači s mrežnim ovlastima mogli su presresti vjerodajnice za sadržaj

Opis: u vjerodajnicama za S/MIME otkriven je problem s enkripcijom. Taj je problem riješen dodatnim provjerama i korisničkom kontrolom.

CVE-2017-13860: Michael Weishaar (INNEO Solutions GmbH)

Unos ažuriran 10. siječnja 2018.

OpenSSL

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak: neke aplikacije mogu čitati ograničenu memoriju

Opis: problem s prekoračenjem čitanja postojao je u raščlanjivanju X.509 IPAddressFamily. Taj je problem riješen poboljšanom provjerom ograničenja.

CVE-2017-3735: otkrio OSS-Fuzz

Perl

Dostupno za: macOS Sierra 10.12.6

Učinak: ove pogreške mogu dopustiti udaljenim napadačima da uzrokuju uskraćivanje usluge

Opis: javni CVE-2017-12837 je riješen ažuriranjem funkcije u programskom jeziku Perl 5.18

CVE-2017-12837: Jakub Wilk

Unos dodan 18. listopada 2018.

Poslužitelj za dijeljenje zaslona

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Učinak korisnik s pristupom dijeljenju zaslona možda će moći pristupiti bilo kojoj datoteci koja se može čitati korijenom

Opis: u načinu rukovanjem sesijama dijeljenja zaslona otkriven je problem s dozvolama. Taj je problem riješen poboljšanim rukovanjem dozvola.

CVE-2017-7158: Trevor Jacques iz Toronta

Unos ažuriran 21. prosinca 2017.

SIP

Dostupno za: macOS High Sierra 10.13.1

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.

CVE-2017-13911: Timothy Perfitt (Twocanoes Software)

Unos ažuriran 8. kolovoza 2018., ažurirano 25. rujna 2018.

Wi-Fi

Dostupno za: macOS High Sierra 10.13.1

Učinak: neprivilegirani korisnik može promijeniti parametre Wi-Fi sustava što dovodi do uskraćivanja usluge

Opis: postoji problem s pristupom s privilegiranom konfiguracijom Wi-Fi sustava. Problem je riješen dodatnim ograničenjima.

CVE-2017-13886: David Kreitschmann i Matthias Schulz iz laboratorija za sigurno mobilno umrežavanje na sveučilištu TU Darmstadt

Unos dodan 2. svibnja 2018.

Dodatna zahvala

Mail

Želimo zahvaliti Jonu Bottariniju iz tvrtke HackerOne za njegovu pomoć.

Unos dodan 6. veljače 2020.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 06. studenoga 2023.