Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A macOS Sierra 10.12.6, az El Capitan 2017-003-as biztonsági frissítése és a Yosemite 2017-003-as biztonsági frissítése
Kiadási dátum: 2017. július 19.
afclip
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7016: riusksk(泉哥; Tencent Security Platform Department)
afclip
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7033: riusksk (泉哥; Tencent Security Platform Department)
AppleGraphicsPowerManagement
A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7021: sss és Axis (Qihoo 360 Nirvan Team)
Hang
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7015: riusksk (泉哥; Tencent Security Platform Department)
Bluetooth
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7050: Min (Spark) Zheng (Alibaba Inc.)
CVE-2017-7051: Alex Plaskett (MWR InfoSecurity)
Bluetooth
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7054: Alex Plaskett (MWR InfoSecurity), Lufeng Li (Qihoo 360 Vulcan Team)
Kontaktok
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb határérték-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7008: Yangkang (@dnpushme; Qihoo 360 Qex Team)
curl
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: Több hiba is fennállt a curl esetén.
Leírás: Több hibát elhárítottak a 7.54.0-s verziójára való frissítéssel.
CVE-2016-9586
CVE-2016-9594
CVE-2017-2629
CVE-2017-7468
Foundation
A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7031: HappilyCoded (ant4g0nist és r3dsm0k3)
Font Importer
A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.
Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2017-13850: John Villamil, Doyensec
Bejegyzés hozzáadva 2017. október 31-én.
Intel grafikus illesztőprogram
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7014: Lee (Minionz), Axis és sss (Qihoo 360 Nirvan Team)
CVE-2017-7017: chenqin (Ant-financial Light-Year Security Lab; 蚂蚁金服巴斯光年安全实验室)
CVE-2017-7035: shrek_wzw (Qihoo 360 Nirvan Team)
CVE-2017-7044: shrek_wzw (Qihoo 360 Nirvan Team)
Intel grafikus illesztőprogram
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.
CVE-2017-7036: shrek_wzw (Qihoo 360 Nirvan Team)
CVE-2017-7045: shrek_wzw (Qihoo 360 Nirvan Team)
IOUSBFamily
A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7009: shrek_wzw (Qihoo 360 Nirvan Team)
Kernel
A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7022: anonim kutató
CVE-2017-7024: anonim kutató
Kernel
A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7023: anonim kutató
Kernel
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7025: anonim kutató
CVE-2017-7027: anonim kutató
CVE-2017-7069: Proteas (Qihoo 360 Nirvan Team)
Kernel
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7026: anonim kutató
Kernel
A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.
CVE-2017-7028: anonim kutató
CVE-2017-7029: anonim kutató
Kernel
A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.
CVE-2017-7067: shrek_wzw (Qihoo 360 Nirvan Team)
Kext-eszközök
A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7032: Axis és sss (Qihoo 360 Nirvan Team)
libarchive
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy puffertúlcsordulást okozó problémát.
CVE-2017-7068: found by OSS-Fuzz
libxml2
A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.
Érintett terület: Az ártó szándékkal létrehozott XML-dokumentumok elemzésekor felfedhetők voltak a felhasználói adatok.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.
CVE-2017-7010: Apple
CVE-2017-7013: found by OSS-Fuzz
libxpc
A következőkhöz érhető el: macOS Sierra 10.12.5 és OS X El Capitan 10.11.6.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7047: Ian Beer (Google Project Zero)
Wi-Fi
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: A hatókörön belül tartózkodó támadók tetszőleges programkódot tudtak futtatni a Wi-Fi-chipen.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-7065: Gal Beniamini (Google Project Zero)
A bejegyzés hozzáadva: 2017. szeptember 25.
Wi-Fi
A következőhöz érhető el: macOS Sierra 10.12.5.
Érintett terület: A hatókörön belül tartózkodó támadók tetszőleges programkódot tudtak futtatni a Wi-Fi-chipen.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-9417: Nitay Artenstein (Exodus Intelligence)
A macOS Sierra 10.12.6, az El Capitan 2017-003-as biztonsági frissítése és a Yosemite 2017-003-as biztonsági frissítése magában foglalja a Safari 10.1.2 biztonsági tartalmát.
További köszönetnyilvánítás
curl
Köszönjük Dave Murdock (Tangerine Element) segítségét.