Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
macOS High Sierra 10.13.1, a Sierra 2017-001-es biztonsági frissítése és az El Capitan 2017-004-es biztonsági frissítése
Kiadási dátum: 2017. október 31.
apache
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: Az Apache több biztonsági rése.
Leírás: Több hibát elhárítottak a 2.4.27-es verziójára való frissítéssel.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
CVE-2017-3167
CVE-2017-3169
CVE-2017-7659
CVE-2017-7668
CVE-2017-7679
CVE-2017-9788
CVE-2017-9789
Bejegyzés frissítve: 2017. november 14.
APFS
A következőhöz érhető el: macOS High Sierra 10.13.
Érintett terület: A rosszindulatú Thunderbolt-adapterek fel tudtak fedni titkosítatlan APFS fájlrendszerű adatokat.
Leírás: Hiba lépett fel a DMA kezelésekor. Azáltal hárítottuk el a problémát, hogy a FileVault visszafejtési pufferei csak addig legyenek a DMA által leképezve, amíg az I/O művelet tart.
CVE-2017-13786: Dmytro Oleksiuk
Bejegyzés frissítve: 2017. november 10.
APFS
A következőhöz érhető el: macOS High Sierra 10.13.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13800: Sergej Schumilo (Ruhr-University Bochum)
AppleScript
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: Előfordult, hogy egy AppleScript osadecompile segítségével történő visszafejtésekor tetszőleges programkód végrehajtására került sor.
Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.
CVE-2017-13809: bat0s
Bejegyzés frissítve: 2017. november 10.
ATS
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2017-13820: John Villamil, Doyensec
Hang
A következőhöz érhető el: macOS Sierra 10.12.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott QuickTime-fájlok elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
CVE-2017-13807: Yangkang (@dnpushme; Qihoo 360 Qex Team)
A bejegyzés frissítve: 2019. január 22.
CFNetwork
A következőkhöz érhető el: OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13829: Niklas Baumstark és Samuel Gro, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2017-13833: Niklas Baumstark és Samuel Gro, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Bejegyzés hozzáadva: 2017. november 10.
CFString
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
CoreText
A következőkhöz érhető el: OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
A bejegyzés frissítve: 2018. november 16.
curl
A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Érintett terület: Az ártó szándékkal létrehozott és a libcurl könyvtárral használt URL-címekre történő TFTP-s feltöltés adott esetben felfedte az alkalmazásmemóriát.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.
CVE-2017-1000100: Even Rouault, az OSS-Fuzz fedezte fel
curl
A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott és a libcurl könyvtárral használt URL-címek feldolgozása váratlan alkalmazásleálláshoz végrehajtásához vagy a folyamatmemória beolvasásához vezetett.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.
CVE-2017-1000101: Brian Carpenter, Yongji Ouyang
Szótár widget
A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Érintett terület: A Szótár widgetbe beillesztett szövegben való kereséskor felfedhetők voltak a felhasználói adatok.
Leírás: Érvényesítési hiba állt fenn, ami lehetőséget adott a helyi fájlok elérésére. Beviteltisztítással hárítottuk el a problémát.
CVE-2017-13801: xisigr (Tencent; Xuanwu Lab; tencent.com)
file
A következőhöz érhető el: macOS Sierra 10.12.6.
Érintett terület: Több biztonsági rés volt a file esetén.
Leírás: Több hibát elhárítottak az 5.31-es verzióra való frissítéssel.
CVE-2017-13815: az OSS-Fuzz fedezte fel
A bejegyzés frissítve: 2018. október 18.
Betűtípusok
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: Előfordult, hogy nem megbízható szövegek renderelésekor hamisításra került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2017-13828: Leonard Grey és Robert Sesek (Google Chrome)
Bejegyzés frissítve: 2017. november 10.
fsck_msdos
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13811: V.E.O (@VYSEa; Mobile Threat Team; Trend Micro)
Bejegyzés frissítve: 2017. november 2.
HFS
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13830: Sergej Schumilo (Ruhr-University Bochum)
Heimdal
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásnak tudták kiadni magukat.
Leírás: Érvényesítési hiba lépett fel a KDC-REP szolgáltatásnév kezelésekor. Hatékonyabb ellenőrzéssel hárítottuk el a problémát.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni és Nico Williams
A bejegyzés frissítve: 2019. január 22.
Segítőlapozó
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: A karanténba helyezett HTML-fájlok tetszőleges, „cross-origin” (eltérő eredetű) típusú JavaScript-lekéréseket tudtak kezdeményezni.
Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Segítőlapozóban. Az érintett fájl eltávolításával küszöbölték ki a problémát.
CVE-2017-13819: Filippo Cavallarin (SecuriTeam Secure Disclosure)
Bejegyzés frissítve: 2017. november 10.
ImageIO
A következőhöz érhető el: macOS Sierra 10.12.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
A bejegyzés frissítve: 2018. november 16.
ImageIO
A következőkhöz érhető el: OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13831: Glen Carmichael
Bejegyzés frissítve: 2019. április 3.
IOAcceleratorFamily
A következőhöz érhető el: macOS Sierra 10.12.6.
Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-13906
Bejegyzés hozzáadva: 2018. október 18.
Kernel
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Engedélyezési hiba lépett fel a kernelcsomag-számlálókkal. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.
CVE-2017-13810: Zhiyun Qian (University of California), Riverside
A bejegyzés frissítve: 2019. január 22.
Kernel
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.
Leírás: Egy határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2017-13817: Maxime Villard (m00nbsd)
Kernel
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2017-13818: National Cyber Security Centre (NCSC, Egyesült Királyság)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Kevin Backhouse (Semmle Ltd.)
A bejegyzés frissítve: 2018. június 18.
Kernel
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13843: anonim kutató, anonim kutató
Kernel
A következőhöz érhető el: macOS Sierra 10.12.6.
Érintett terület: Előfordult, hogy a hibás formázású mach-binárisok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13834: Maxime Villard (m00nbsd)
A bejegyzés frissítve: 2019. január 22.
Kernel
A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13799: Lufeng Li (Qihoo 360 Vulcan Team)
Bejegyzés frissítve: 2017. november 10.
Kernel
A következőhöz érhető el: macOS High Sierra 10.13.
Érintett terület: A rosszindulatú alkalmazások információkat tudtak szerezni a készüléken lévő egyéb alkalmazások jelenlétéről és működéséről.
Leírás: Az alkalmazások korlátlanul hozzá tudtak férni az operációs rendszer által kezelt folyamatinformációkhoz. Gyakoriságkorlátozással küszöböltük ki a problémát.
CVE-2017-13852: Xiaokuan Zhang és Yinqian Zhang (Ohio State University), Xueqiang Wang és XiaoFeng Wang (Indiana University Bloomington) és Xiaolong Bai (Tsinghua University)
Bejegyzés hozzáadva: 2017. november 10., frissítve: 2019. január 22.
libarchive
A következőhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.
Leírás: Több memóriasérüléssel kapcsolatos probléma állt fenn a libarchive esetén. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémákat.
CVE-2017-13813: az OSS-Fuzz fedezte fel
Bejegyzés hozzáadva: 2018. november 16., frissítve: 2019. január 22.
libarchive
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.
Leírás: Több memóriasérüléssel kapcsolatos probléma állt fenn a libarchive esetén. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémákat.
CVE-2017-13812: az OSS-Fuzz fedezte fel
A bejegyzés frissítve: 2019. január 22.
libarchive
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2016-4736 : Proteas (Qihoo 360 Nirvan Team)
Bejegyzés frissítve: 2017. december 21.
libxml2
A következőkhöz érhető el: OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.
CVE-2017-5969: Gustavo Grieco
Bejegyzés hozzáadva: 2018. október 18.
libxml2
A következőhöz érhető el: OS X El Capitan 10.11.6
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2017-5130: anonim kutató
CVE-2017-7376: anonim kutató
Bejegyzés hozzáadva: 2018. október 18.
libxml2
A következőhöz érhető el: macOS Sierra 10.12.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2017-9050: Mateusz Jurczyk (j00ru, Google Project Zero)
Bejegyzés hozzáadva: 2018. október 18.
libxml2
A következőhöz érhető el: macOS Sierra 10.12.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2017-9049: Wei Lei és Liu Yang (Nanyang Technological University, Szingapúr)
Bejegyzés hozzáadva: 2018. október 18.
LinkPresentation
A következőhöz érhető el: macOS High Sierra 10.13.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2018-4390: Rayyan Bijoora (@Bijoora; The City School, PAF Chapter)
CVE-2018-4391: Rayyan Bijoora (@Bijoora; The City School, PAF Chapter)
Bejegyzés hozzáadva: 2018. november 16.
Bejelentkezési ablak
A következőhöz érhető el: macOS High Sierra 10.13.
Érintett terület: A kijelzőzár váratlanul feloldódott
Leírás: Hatékonyabb állapotellenőrzéssel elhárítottunk egy állapotkezeléssel összefüggő problémát.
CVE-2017-13907: anonim kutató
Bejegyzés hozzáadva: 2018. október 18.
Open Scripting Architecture
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: Előfordult, hogy egy AppleScript osadecompile segítségével történő visszafejtésekor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-13824: anonim kutató
PCRE
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: A pcre több biztonsági rése.
Leírás: Több hibát elhárítottak a 8.40-es verzióra való frissítéssel.
CVE-2017-13846
Postfix
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: A Postfix több biztonsági rése.
Leírás: Több hibát elhárítottak a 3.2.2-es verzióra való frissítéssel.
CVE-2017-10140: anonim kutató
Bejegyzés frissítve: 2017. november 17.
Gyorsnézet
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
Gyorsnézet
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Office-dokumentumok elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
A bejegyzés frissítve: 2019. január 22.
QuickTime
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2017-13823: Xiangkun Jia (Institute of Software Chinese Academy of Sciences)
Bejegyzés frissítve: 2017. november 10.
Távoli felügyelet
A következőhöz érhető el: macOS Sierra 10.12.6.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13808: anonim kutató
Sandbox
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2017-13838: Alastair Houghton
Bejegyzés frissítve: 2017. november 10.
Biztonság
A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.
CVE-2017-7170: Patrick Wardle (Synack)
Bejegyzés hozzáadva: 2018. január 11.
Biztonság
A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.
Érintett terület: A rosszindulatú alkalmazások ki tudtak nyerni kulcskarikán tárolt jelszavakat.
Leírás: Az alkalmazások számára rendelkezésre állt egy módszer, amelynek révén meg tudták kerülni a kulcskarika-hozzáférési párbeszédpanelt egy szintetikus kattintással. Azáltal hárult el a probléma, hogy a kulcskarika-hozzáférési párbeszédpanel most már kéri a felhasználói jelszót.
CVE-2017-7150: Patrick Wardle (Synack)
Bejegyzés hozzáadva: 2017. november 17.
SMB
A következőkhöz érhető el: OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.
Érintett terület: A helyi támadók nem végrehajtható szöveges fájlokat tudtak végrehajtani SMB-megosztáson keresztül
Leírás: A fájlokkal kapcsolatos engedélyek hatékonyabb ellenőrzésével hárítottuk el a problémát.
CVE-2017-13908: anonim kutató
Bejegyzés hozzáadva: 2018. október 18.
StreamingZip
A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Érintett terület: A rosszindulatú zip-fájlok módosítani tudták a fájlrendszer korlátozott területeit.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2017-13804: @qwertyoruiopz (KJC Research Intl.) S.R.L.
tcpdump
A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6.
Érintett terület: A tcpdump több biztonsági rése.
Leírás: Több hibát elhárítottak a 4.9.2-es verziójára való frissítéssel.
CVE-2017-11108
CVE-2017-11541
CVE-2017-11542
CVE-2017-11543
CVE-2017-12893
CVE-2017-12894
CVE-2017-12895
CVE-2017-12896
CVE-2017-12897
CVE-2017-12898
CVE-2017-12899
CVE-2017-12900
CVE-2017-12901
CVE-2017-12902
CVE-2017-12985
CVE-2017-12986
CVE-2017-12987
CVE-2017-12988
CVE-2017-12989
CVE-2017-12990
CVE-2017-12991
CVE-2017-12992
CVE-2017-12993
CVE-2017-12994
CVE-2017-12995
CVE-2017-12996
CVE-2017-12997
CVE-2017-12998
CVE-2017-12999
CVE-2017-13000
CVE-2017-13001
CVE-2017-13002
CVE-2017-13003
CVE-2017-13004
CVE-2017-13005
CVE-2017-13006
CVE-2017-13007
CVE-2017-13008
CVE-2017-13009
CVE-2017-13010
CVE-2017-13011
CVE-2017-13012
CVE-2017-13013
CVE-2017-13014
CVE-2017-13015
CVE-2017-13016
CVE-2017-13017
CVE-2017-13018
CVE-2017-13019
CVE-2017-13020
CVE-2017-13021
CVE-2017-13022
CVE-2017-13023
CVE-2017-13024
CVE-2017-13025
CVE-2017-13026
CVE-2017-13027
CVE-2017-13028
CVE-2017-13029
CVE-2017-13030
CVE-2017-13031
CVE-2017-13032
CVE-2017-13033
CVE-2017-13034
CVE-2017-13035
CVE-2017-13036
CVE-2017-13037
CVE-2017-13038
CVE-2017-13039
CVE-2017-13040
CVE-2017-13041
CVE-2017-13042
CVE-2017-13043
CVE-2017-13044
CVE-2017-13045
CVE-2017-13046
CVE-2017-13047
CVE-2017-13048
CVE-2017-13049
CVE-2017-13050
CVE-2017-13051
CVE-2017-13052
CVE-2017-13053
CVE-2017-13054
CVE-2017-13055
CVE-2017-13687
CVE-2017-13688
CVE-2017-13689
CVE-2017-13690
CVE-2017-13725
Wi-Fi
A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Érintett terület: A Wi-Fi-hatókörön belül tartózkodó támadók ki tudták kényszeríteni az egyszeri kulcsok ismételt használatát a WPA-s unicast-/PTK-kliensekben (Key Reinstallation Attacks – KRACK)
Leírás: Logikai probléma lépett fel az állapotváltások kezelésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2017-13077: Mathy Vanhoef (imec-DistriNet csoport, KU Leuven)
CVE-2017-13078: Mathy Vanhoef (imec-DistriNet csoport, KU Leuven)
Bejegyzés frissítve: 2017. november 3.
Wi-Fi
A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Érintett terület: A Wi-Fi-hatókörön belül tartózkodó támadók ki tudták kényszeríteni az egyszeri kulcsok ismételt használatát a WPA-s multicast-/GTK-kliensekben (Key Reinstallation Attacks – KRACK).
Leírás: Logikai probléma lépett fel az állapotváltások kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2017-13080: Mathy Vanhoef (imec-DistriNet csoport, KU Leuven)
Bejegyzés frissítve: 2017. november 3.