A macOS Sierra 10.12.6, az El Capitan 2017-003-as biztonsági frissítésének és a Yosemite 2017-003-as biztonsági frissítésének biztonsági változásjegyzéke

Ez a dokumentum a macOS Sierra 10.12.6, az El Capitan 2017-003-as biztonsági frissítésének és a Yosemite 2017-003-as biztonsági frissítésének biztonsági bejelentéseit és változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A macOS Sierra 10.12.6, az El Capitan 2017-003-as biztonsági frissítése és a Yosemite 2017-003-as biztonsági frissítése

afclip

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7016: riusksk(泉哥; Tencent Security Platform Department)

afclip

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7033: riusksk (泉哥; Tencent Security Platform Department)

AppleGraphicsPowerManagement

A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7021: sss és Axis (Qihoo 360 Nirvan Team)

Hang

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7015: riusksk (泉哥; Tencent Security Platform Department)

Bluetooth

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7050: Min (Spark) Zheng (Alibaba Inc.)

CVE-2017-7051: Alex Plaskett (MWR InfoSecurity)

Bluetooth

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7054: Alex Plaskett (MWR InfoSecurity), Lufeng Li (Qihoo 360 Vulcan Team)

Kontaktok

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7008: Yangkang (@dnpushme; Qihoo 360 Qex Team)

curl

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: Több hiba is fennállt a curl esetén.

Leírás: Több hibát elhárítottak a 7.54.0-s verziójára való frissítéssel.

CVE-2016-9586

CVE-2016-9594

CVE-2017-2629

CVE-2017-7468

Foundation

A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7031: HappilyCoded (ant4g0nist és r3dsm0k3)

Font Importer

A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2017-13850: John Villamil, Doyensec

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7014: Lee (Minionz), Axis és sss (Qihoo 360 Nirvan Team)

CVE-2017-7017: chenqin (Ant-financial Light-Year Security Lab; 蚂蚁金服巴斯光年安全实验室)

CVE-2017-7035: shrek_wzw (Qihoo 360 Nirvan Team)

CVE-2017-7044: shrek_wzw (Qihoo 360 Nirvan Team)

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.

CVE-2017-7036: shrek_wzw (Qihoo 360 Nirvan Team)

CVE-2017-7045: shrek_wzw (Qihoo 360 Nirvan Team)

IOUSBFamily

A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7009: shrek_wzw (Qihoo 360 Nirvan Team)

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7022: anonim kutató

CVE-2017-7024: anonim kutató

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7023: anonim kutató

Kernel

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7025: anonim kutató

CVE-2017-7027: anonim kutató

CVE-2017-7069: Proteas (Qihoo 360 Nirvan Team)

Kernel

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7026: anonim kutató

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.

CVE-2017-7028: anonim kutató

CVE-2017-7029: anonim kutató

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.

CVE-2017-7067: shrek_wzw (Qihoo 360 Nirvan Team)

Kext-eszközök

A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7032: Axis és sss (Qihoo 360 Nirvan Team)

libarchive

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy puffertúlcsordulást okozó problémát.

CVE-2017-7068: found by OSS-Fuzz

libxml2

A következőkhöz érhető el: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 és OS X Yosemite 10.10.5.

Érintett terület: Az ártó szándékkal létrehozott XML-dokumentumok elemzésekor felfedhetők voltak a felhasználói adatok.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.

CVE-2017-7010: Apple

CVE-2017-7013: found by OSS-Fuzz

libxpc

A következőkhöz érhető el: macOS Sierra 10.12.5 és OS X El Capitan 10.11.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7047: Ian Beer (Google Project Zero)

Wi-Fi

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: A hatókörön belül tartózkodó támadók tetszőleges programkódot tudtak futtatni a Wi-Fi-chipen.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7065: Gal Beniamini (Google Project Zero)

Wi-Fi

A következőhöz érhető el: macOS Sierra 10.12.5.

Érintett terület: A hatókörön belül tartózkodó támadók tetszőleges programkódot tudtak futtatni a Wi-Fi-chipen.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-9417: Nitay Artenstein (Exodus Intelligence)

További köszönetnyilvánítás

curl

Köszönjük Dave Murdock (Tangerine Element) segítségét.