A macOS High Sierra 10.13 biztonsági változásjegyzéke

Ez a dokumentum a macOS High Sierra 10.13 biztonsági bejelentéseit és változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

macOS High Sierra 10.13

Kiadási dátum: 2017. szeptember 25.

802.1X

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A támadók ki tudták használni a TLS 1.0-s verziójában fennálló réseket.

Leírás: A TLS 1.1 és a TLS 1.2 engedélyezésével elhárítottak egy protokollbiztonsági hibát.

CVE-2017-13832: Doug Wussler (Florida State University)

Bejegyzés hozzáadva: 2017. október 31., frissítve: 2017. november 10.

apache

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az Apache több biztonsági rése.

Leírás: Több probléma is fennállt az Apache esetén. Az Apache 2.4.25-ös verzióra való frissítésével hárítottuk el a problémákat.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Bejegyzés hozzáadva 2017. október 31-én, frissítve 2018. december 14-én.

Apple-fiók beállításai

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Értintett terület: A helyi támadók hozzáférést szerezhettek az iCloud-hitelesítési tokenekhez

Leírás: Hiba lépett fel a bizalmas jellegű tokenek tárolásával kapcsolatban. A problémát azzal hárítottuk el, hogy a tokeneket a Kulcskarikába helyeztük.

CVE-2017-13909: Andreas Nilsson

Bejegyzés hozzáadva: 2018. október 18.

AppleScript

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy egy AppleScript osadecompile segítségével történő visszafejtésekor tetszőleges programkód végrehajtására került sor.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2017-13809: bat0s

Bejegyzés hozzáadva: 2017. október 31., frissítve: 2017. november 10.

Alkalmazástűzfal

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy frissítést követően egy korábban elutasított alkalmazástűzfal-beállítás érvényesült.

Leírás: Frissítési probléma lépett fel a tűzfalbeállítások kezelésekor. A tűzfalbeállítások frissítések során történő hatékonyabb kezelésével hárították el a problémát.

CVE-2017-7084: anonim kutató

AppSandbox

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az alkalmazások szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2017-7074: Daniel Jalkut (Red Sweater Software)

ATS

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13820: John Villamil, Doyensec

Bejegyzés hozzáadva 2017. október 31-én.

Hang

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott QuickTime-fájlok elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriafelhasználási hibát.

CVE-2017-13807: Yangkang (@dnpushme; Qihoo 360 Qex Team)

Bejegyzés hozzáadva 2017. október 31-én.

Captive Network Assistant

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy a helyi felhasználók véletlenül titkosítás nélkül küldtek el jelszavakat a hálózaton keresztül.

Leírás: A hitelesítési portál böngészőjének biztonsági állapota nem volt nyilvánvaló. Azáltal hárították el a problémát, hogy jobban láthatóvá tették a hitelesítési portál böngészőjének biztonsági állapotát.

CVE-2017-7143: Matthew Green (Johns Hopkins University)

Bejegyzés frissítve 2017. október 3-án.

CFNetwork

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13829: Niklas Baumstark és Samuel Gro, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2017-13833: Niklas Baumstark és Samuel Gro, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2017. november 10.

CFNetwork proxyk

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)

CFString

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

Bejegyzés hozzáadva 2017. október 31-én.

CoreAudio

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Az Opus 1.1.4-es verziójára való frissítéssel elhárítottunk egy határon kívüli olvasással kapcsolatos hibát.

CVE-2017-0381: V.E.O (@VYSEa; Mobile Threat Research Team), Trend Micro

CoreText

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Bejegyzés hozzáadva: 2017. október 31., frissítve: 2018. november 16.

CoreTypes

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott weboldalak feldolgozásakor a rendszer felcsatolt egy lemezképet.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2017-13890: Apple, Theodor Ragnar Gislason (Syndis)

Bejegyzés hozzáadva: 2018. március 29.

DesktopServices

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A helyi támadók meg tudták figyelni a védelem nélküli felhasználói adatokat.

Leírás: Fájlelérési hiba állt fenn bizonyos fájlokkal a saját mappában. Hatékonyabb hozzáférés-ellenőrzéssel hárítottuk el a problémát.

CVE-2017-13851: Henrique Correa de Amorim

Bejegyzés hozzáadva: 2017. november 2., frissítve: 2018. február 14.

Címtársegédprogram

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A helyi támadók meg tudták határozni a számítógép tulajdonosának Apple ID azonosítóját.

Leírás: Engedélyezési hiba állt fenn az Apple ID azonosító kezelési módjában. Hatékonyabb hozzáférés-ellenőrzéssel hárították el a problémát.

CVE-2017-7138: Daniel Kvak (Masaryk University)

Bejegyzés frissítve 2017. október 3-án.

file

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Több biztonsági rés volt a file esetén.

Leírás: Több hibát elhárítottak az 5.30-as verziójára való frissítéssel.

CVE-2017-7121: az OSS-Fuzz fedezte fel

CVE-2017-7122: az OSS-Fuzz fedezte fel

CVE-2017-7123: az OSS-Fuzz fedezte fel

CVE-2017-7124: az OSS-Fuzz fedezte fel

CVE-2017-7125: az OSS-Fuzz fedezte fel

CVE-2017-7126: az OSS-Fuzz fedezte fel

file

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Több biztonsági rés volt a file esetén.

Leírás: Több hibát elhárítottak az 5.31-es verzióra való frissítéssel.

CVE-2017-13815

Bejegyzés hozzáadva 2017. október 31-én.

Betűtípusok

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy nem megbízható szövegek renderelésekor hamisításra került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2017-13828: Leonard Grey és Robert Sesek (Google Chrome)

Bejegyzés hozzáadva: 2017. október 31., frissítve: 2017. november 10.

fsck_msdos

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13811: V.E.O (@VYSEa; Mobile Threat Team; Trend Micro)

Bejegyzés frissítve: 2017. november 2.

fsck_msdos

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A magasabb szintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13835: anonim kutató

Bejegyzés hozzáadva: 2018. október 18.

Heimdal

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásnak tudták kiadni magukat.

Leírás: Érvényesítési hiba lépett fel a KDC-REP szolgáltatásnév kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni és Nico Williams

Segítőlapozó

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A karanténba helyezett HTML-fájlok tetszőleges, „cross-origin” (eltérő eredetű) típusú JavaScript-lekéréseket tudtak kezdeményezni.

Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Segítőlapozóban. Az érintett fájl eltávolításával küszöbölték ki a problémát.

CVE-2017-13819: Filippo Cavallarin (SecuriTeam Secure Disclosure)

Bejegyzés hozzáadva: 2017. október 31., frissítve: 2017. november 10.

HFS

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13830: Sergej Schumilo (Ruhr-University Bochum)

Bejegyzés hozzáadva 2017. október 31-én.

ImageIO

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

Bejegyzés hozzáadva: 2017. október 31., frissítve: 2018. november 16.

ImageIO

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13831: Glen Carmichael

Bejegyzés hozzáadva 2017. október 31-én, frissítve 2019. április 3-án.

Telepítő

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a FileVault-feloldókulcshoz.

Leírás: A további jogosultságok eltávolításával hárították el a problémát.

CVE-2017-13837: Patrick Wardle (Synack)

Bejegyzés hozzáadva: 2017. október 31., frissítve: 2017. november 10.

IOAcceleratorFamily

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13906

Bejegyzés hozzáadva: 2018. október 18.

IOFireWireFamily

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-7077: Brandon Azad

IOFireWireFamily

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng (Alibaba Inc.), Benjamin Gnahm (@mitp0sh; PDX)

Kernel

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)

Kernel

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Engedélyezési hiba lépett fel a kernelcsomag-számlálókkal. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.

CVE-2017-13810: Zhiyun Qian (University of California), Riverside

Bejegyzés hozzáadva: 2017. október 31., frissítve: 2017. november 10.

Kernel

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Egy határon kívüli olvasással kapcsolatos hiba miatt felfedésre kerülhetett a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2017-13817: Maxime Villard (m00nbsd)

Bejegyzés hozzáadva 2017. október 31-én.

Kernel

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2017-13818: National Cyber Security Centre (NCSC, Egyesült Királyság)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse (Semmle Ltd.)

Bejegyzés hozzáadva: 2017. október 31., frissítve: 2018. június 18.

Kernel

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13843: anonim kutató, anonim kutató

Bejegyzés hozzáadva 2017. október 31-én.

Kernel

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13854: shrek_wzw (Qihoo 360 Nirvan Team)

Bejegyzés hozzáadva: 2017. november 2.

Kernel

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy a hibás formázású mach-binárisok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13834: Maxime Villard (m00nbsd)

Bejegyzés hozzáadva: 2017. november 10.

Kernel

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A rosszindulatú alkalmazások információkat tudtak szerezni a készüléken lévő egyéb alkalmazások jelenlétéről és működéséről.

Leírás: Alkalmazások korlátlanul hozzá tudtak férni az operációs rendszer által kezelt hálózati tevékenységekkel kapcsolatos információkhoz. Úgy hárítottuk el a problémát, hogy korlátoztuk a külső alkalmazások számára rendelkezésre álló információkat.

CVE-2017-13873: Xiaokuan Zhang és Yinqian Zhang (Ohio State University), Xueqiang Wang és XiaoFeng Wang (Indiana University Bloomington) és Xiaolong Bai (Tsinghua University)

Bejegyzés hozzáadva: 2017. november 30.

Kext-eszközök

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel kiküszöbölték a kext-betöltés során fellépő logikai hibát.

CVE-2017-13827: anonim kutató

Bejegyzés hozzáadva 2017. október 31-én.

libarchive

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.

CVE-2017-13813: az OSS-Fuzz fedezte fel

CVE-2017-13816: az OSS-Fuzz fedezte fel

Bejegyzés hozzáadva 2017. október 31-én.

libarchive

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

Leírás: Több memóriasérüléssel kapcsolatos probléma állt fenn a libarchive esetén. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémákat.

CVE-2017-13812: az OSS-Fuzz fedezte fel

Bejegyzés hozzáadva 2017. október 31-én.

libarchive

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2016-4736: anonim kutató

Bejegyzés hozzáadva 2017. október 31-én.

libc

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Egy hatékonyabb algoritmussal elhárították a glob() esetén fellépett, erőforrásfogyással kapcsolatos hibát.

CVE-2017-7086: Russ Cox (Google)

libc

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az alkalmazások szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriafelhasználási hibát.

CVE-2017-1000373

libexpat

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az expat több biztonsági rése.

Leírás: Több hibát elhárítottak a 2.2.1-es verzióra való frissítéssel.

CVE-2016-9063

CVE-2017-9233

libxml2

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2018-4302: Gustavo Grieco

Bejegyzés hozzáadva: 2018. október 18.

libxml2

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2017-5130: anonim kutató

CVE-2017-7376: anonim kutató

Bejegyzés hozzáadva: 2018. október 18.

libxml2

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-9050: Mateusz Jurczyk (j00ru, Google Project Zero)

Bejegyzés hozzáadva: 2018. október 18.

libxml2

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2017-9049: Wei Lei és Liu Yang (Nanyang Technological University, Szingapúr)

Bejegyzés hozzáadva: 2018. október 18.

Mail

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az e-mail feladója meg tudta határozni a címzett IP-címét.

Leírás: A „Távoli tartalom betöltése az üzenetekben” funkció kikapcsolásakor a művelet nem érvényesült az összes postafiók esetén. Hatékonyabb beállításpropagálással hárították el a problémát.

CVE-2017-7141: John Whitehead (The New York Times)

Bejegyzés frissítve 2017. október 3-án.

E-mail-vázlatok

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A magas hálózati jogosultságú támadók meg tudták szerezni az e-mail-fiókok tartalmát.

Leírás: Titkosítási probléma lépett fel az e-mail-vázlatok kezelésekor. A titkosított módon elküldeni kívánt e-mail-vázlatok hatékonyabb kezelésével hárították el a problémát.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE (Franciaország, Marseille), anonim kutató

Bejegyzés frissítve 2017. október 3-án.

ntp

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az ntp több biztonsági rése.

Leírás: Több hibát elhárítottak a 4.2.8p10-es verzióra való frissítéssel.

CVE-2017-6451: Cure53

CVE-2017-6452: Cure53

CVE-2017-6455: Cure53

CVE-2017-6458: Cure53

CVE-2017-6459: Cure53

CVE-2017-6460: Cure53

CVE-2017-6462: Cure53

CVE-2017-6463: Cure53

CVE-2017-6464: Cure53

CVE-2016-9042: Matthew Van Gundy (Cisco)

Open Scripting Architecture

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy egy AppleScript osadecompile segítségével történő visszafejtésekor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13824: anonim kutató

Bejegyzés hozzáadva 2017. október 31-én.

PCRE

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A pcre több biztonsági rése.

Leírás: Több hibát elhárítottak a 8.40-es verzióra való frissítéssel.

CVE-2017-13846

Bejegyzés hozzáadva 2017. október 31-én.

Postfix

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A Postfix több biztonsági rése.

Leírás: Több hibát elhárítottak a 3.2.2-es verzióra való frissítéssel.

CVE-2017-10140: anonim kutató

Bejegyzés hozzáadva: 2017. október 31., frissítve: 2017. november 17.

Gyorsnézet

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

Bejegyzés hozzáadva 2017. október 31-én.

Gyorsnézet

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Office-dokumentumok elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriafelhasználási hibát.

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

Bejegyzés hozzáadva 2017. október 31-én.

QuickTime

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2017-13823: Xiangkun Jia (Institute of Software Chinese Academy of Sciences)

Bejegyzés hozzáadva: 2017. október 31., frissítve: 2017. november 10.

Távoli felügyelet

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13808: anonim kutató

Bejegyzés hozzáadva 2017. október 31-én.

Sandbox

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13838: Alastair Houghton

Bejegyzés hozzáadva: 2017. október 31., frissítve: 2017. november 10.

Kijelzőzár

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy az alkalmazástűzfal párbeszédpanelei megjelentek a bejelentkezési ablakban.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy ablakkezelési problémát.

CVE-2017-7082: Tim Kingman

Biztonság

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Meg lehetett jelölni megbízhatóként a visszavont tanúsítványokat.

Leírás: Tanúsítványhitelesítéssel kapcsolatos probléma lépett fel a visszavonási adatok kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

CVE-2017-7080: Sven Driemecker (adesso mobile solutions gmbh), Rune Darrud (@theflyingcorpse; Bærum kommune), anonim kutató, anonim kutató

SMB

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A helyi támadók nem végrehajtható szöveges fájlokat tudtak végrehajtani SMB-megosztáson keresztül

Leírás: A fájlokkal kapcsolatos engedélyek hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2017-13908: anonim kutató

Bejegyzés hozzáadva: 2018. október 18.

Spotlight

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy a Spotlight olyan fájlokat is megjelenített, amelyek nem a felhasználóhoz tartoztak.

Leírás: Egy hozzáféréssel összefüggő probléma állt fenn a Spotlightban. Hatékonyabb hozzáférés-korlátozással hárították el a problémát.

CVE-2017-13839: Ken Harris (Free Robot Collective)

Bejegyzés hozzáadva: 2017. október 31., frissítve: 2017. november 10.

Spotlight

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Előfordult, hogy alkalmazások hozzá tudtak férni korlátozott fájlokhoz.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát az alkalmazásokban.

CVE-2017-13910

Bejegyzés hozzáadva: 2018. október 18.

SQLite

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: Az SQLite több biztonsági rése.

Leírás: Több hibát elhárítottak a 3.19.3-as verzióra való frissítéssel.

CVE-2017-10989: az OSS-Fuzz fedezte fel

CVE-2017-7128: az OSS-Fuzz fedezte fel

CVE-2017-7129: az OSS-Fuzz fedezte fel

CVE-2017-7130: az OSS-Fuzz fedezte fel

SQLite

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-7127: anonim kutató

zlib

A következőkhöz érhető el: OS X Mountain Lion 10.8 és újabb verziók.

Érintett terület: A zlib több biztonsági rése.

Leírás: Több hibát elhárítottak az 1.2.11-es verzióra való frissítéssel.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

További köszönetnyilvánítás

Mail

Köszönjük Jon Bottarini (HackerOne) segítségét.

Bejegyzés hozzáadva: 2020. február 6.

Biztonság

Köszönjük Abhinav Bansal (Zscaler, Inc.) segítségét.

NSWindow

Köszönjük Trent Apted segítségét (a Google Chrome csapatából).

WebKit Web Inspector

Köszönjük Ioan Bizău (Bloggify) segítségét.

A macOS High Sierra 10.13 kiegészítő frissítése

A macOS High Sierra 10.13-as verziójához kapcsolódó új letöltések magukban foglalják a macOS High Sierra 10.13 kiegészítő frissítését.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: