Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple-termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
macOS Sierra 10.12.3
Kiadási dátum: 2017. január 23.
APNs Server
A következőhöz érhető el: macOS Sierra 10.12.2.
Érintett terület: A magas hálózati jogosultságú támadók nyomon tudták követni a felhasználói tevékenységeket.
Leírás: A klienstanúsítvány továbbítása egyszerű szövegként történt meg. A tanúsítványok hatékonyabb kezelésével hárították el a problémát.
CVE-2017-2383: Matthias Wachs és Quirin Scheitle (Technical University Munich [TUM])
Bejegyzés hozzáadva 2017. március 28-án.
apache_mod_php
A következőhöz érhető el: macOS Sierra 10.12.2.
Érintett terület: A PHP több biztonsági rése.
Leírás: Több hibát elhárítottak a PHP 5.6.28-as verziójára való frissítéssel.
CVE-2016-8670
CVE-2016-9933
CVE-2016-9934
Bluetooth
A következőhöz érhető el: macOS Sierra 10.12.2.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2017-2353: Ian Beer (Google Project Zero)
Grafikus illesztőprogramok
A következőhöz érhető el: macOS Sierra 10.12.2.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2017-2358: Team Pangu és lokihardt (PwnFest 2016)
Help Viewer
A következőhöz érhető el: macOS Sierra 10.12.2.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb URL-ellenőrzéssel elhárítottak egy webhelyek közötti, parancsfájlokkal kapcsolatos problémát.
CVE-2017-2361: lokihardt (Google Project Zero)
IOAudioFamily
A következőhöz érhető el: macOS Sierra 10.12.2.
Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória elrendezését.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy nem inicializált memóriával kapcsolatos problémát.
CVE-2017-2357: Team Pangu és lokihardt (PwnFest 2016)
Kernel
A következőhöz érhető el: macOS Sierra 10.12.2.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.
CVE-2017-2370 : Ian Beer (Google Project Zero)
Kernel
A következőhöz érhető el: macOS Sierra 10.12.2.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2017-2360 : Ian Beer (Google Project Zero)
libarchive
A következőhöz érhető el: macOS Sierra 10.12.2.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.
CVE-2016-8687: Agostino Sarubbo (Gentoo)
Vim
A következőhöz érhető el: macOS Sierra 10.12.2.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok megnyitásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Beviteli érvényesség-ellenőrzési probléma állt fenn a „modeline” elemek esetén. Hatékonyabb bevitelellenőrzéssel hárították el a problémát.
CVE-2016-1248: Florian Larysch
A macOS Sierra 10.12.3 magában foglalja a Safari 10.0.3 biztonsági tartalmát.