A macOS High Sierra 10.13.1, a Sierra 2017-001-es biztonsági frissítésének és az El Capitan 2017-004-es biztonsági frissítésének biztonsági változásjegyzéke

Ez a dokumentum a macOS High Sierra 10.13.1, a Sierra 2017-001-es biztonsági frissítésének és az El Capitan 2017-004-es biztonsági frissítésének biztonsági bejelentéseit és változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

macOS High Sierra 10.13.1, a Sierra 2017-001-es biztonsági frissítése és az El Capitan 2017-004-es biztonsági frissítése

Kiadási dátum: 2017. október 31.

apache

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Az Apache több biztonsági rése.

Leírás: Több hibát elhárítottak a 2.4.27-es verziójára való frissítéssel.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

Bejegyzés frissítve: 2017. november 14.

APFS

A következőhöz érhető el: macOS High Sierra 10.13.

Érintett terület: A rosszindulatú Thunderbolt-adapterek fel tudtak fedni titkosítatlan APFS fájlrendszerű adatokat.

Leírás: Hiba lépett fel a DMA kezelésekor. Azáltal hárítottuk el a problémát, hogy a FileVault visszafejtési pufferei csak addig legyenek a DMA által leképezve, amíg az I/O művelet tart.

CVE-2017-13786: Dmytro Oleksiuk

Bejegyzés frissítve: 2017. november 10.

APFS

A következőhöz érhető el: macOS High Sierra 10.13.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13800: Sergej Schumilo (Ruhr-University Bochum)

AppleScript

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Előfordult, hogy egy AppleScript osadecompile segítségével történő visszafejtésekor tetszőleges programkód végrehajtására került sor.

Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.

CVE-2017-13809: bat0s

Bejegyzés frissítve: 2017. november 10.

ATS

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2017-13820: John Villamil, Doyensec

Hang

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott QuickTime-fájlok elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2017-13807: Yangkang (@dnpushme; Qihoo 360 Qex Team)

A bejegyzés frissítve: 2019. január 22.

CFNetwork

A következőkhöz érhető el: OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13829: Niklas Baumstark és Samuel Gro, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként 

CVE-2017-13833: Niklas Baumstark és Samuel Gro, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2017. november 10.

CFString

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

CoreText

A következőkhöz érhető el: OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

A bejegyzés frissítve: 2018. november 16.

curl

A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Érintett terület: Az ártó szándékkal létrehozott és a libcurl könyvtárral használt URL-címekre történő TFTP-s feltöltés adott esetben felfedte az alkalmazásmemóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.

CVE-2017-1000100: Even Rouault, az OSS-Fuzz fedezte fel

curl

A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott és a libcurl könyvtárral használt URL-címek feldolgozása váratlan alkalmazásleálláshoz végrehajtásához vagy a folyamatmemória beolvasásához vezetett.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.

CVE-2017-1000101: Brian Carpenter, Yongji Ouyang

Szótár widget

A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Érintett terület: A Szótár widgetbe beillesztett szövegben való kereséskor felfedhetők voltak a felhasználói adatok.

Leírás: Érvényesítési hiba állt fenn, ami lehetőséget adott a helyi fájlok elérésére. Beviteltisztítással hárítottuk el a problémát.

CVE-2017-13801: xisigr (Tencent; Xuanwu Lab; tencent.com)

file

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: Több biztonsági rés volt a file esetén.

Leírás: Több hibát elhárítottak az 5.31-es verzióra való frissítéssel.

CVE-2017-13815: az OSS-Fuzz fedezte fel

A bejegyzés frissítve: 2018. október 18.

Betűtípusok

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Előfordult, hogy nem megbízható szövegek renderelésekor hamisításra került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2017-13828: Leonard Grey és Robert Sesek (Google Chrome)

Bejegyzés frissítve: 2017. november 10.

fsck_msdos

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13811: V.E.O (@VYSEa; Mobile Threat Team; Trend Micro)

Bejegyzés frissítve: 2017. november 2.

HFS

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13830: Sergej Schumilo (Ruhr-University Bochum)

Heimdal

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásnak tudták kiadni magukat.

Leírás: Érvényesítési hiba lépett fel a KDC-REP szolgáltatásnév kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni és Nico Williams

A bejegyzés frissítve: 2019. január 22.

Segítőlapozó

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: A karanténba helyezett HTML-fájlok tetszőleges, „cross-origin” (eltérő eredetű) típusú JavaScript-lekéréseket tudtak kezdeményezni.

Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Segítőlapozóban. Az érintett fájl eltávolításával küszöbölték ki a problémát.

CVE-2017-13819: Filippo Cavallarin (SecuriTeam Secure Disclosure)

Bejegyzés frissítve: 2017. november 10.

ImageIO

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

A bejegyzés frissítve: 2018. november 16.

ImageIO

A következőkhöz érhető el: OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Adatközzétételi probléma lépett fel a lemezképek kezelésekor. Hatékonyabb memóriakezeléssel küszöböltük ki a problémát.

CVE-2017-13831: Glen Carmichael

A bejegyzés frissítve: 2018. november 16.

IOAcceleratorFamily

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-13906

Bejegyzés hozzáadva: 2018. október 18.

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Engedélyezési hiba lépett fel a kernelcsomag-számlálókkal. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.

CVE-2017-13810: Zhiyun Qian (University of California), Riverside

A bejegyzés frissítve: 2019. január 22.

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Egy határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2017-13817: Maxime Villard (m00nbsd)

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2017-13818: National Cyber Security Centre (NCSC, Egyesült Királyság)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse (Semmle Ltd.)

A bejegyzés frissítve: 2018. június 18.

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13843: anonim kutató, anonim kutató

Kernel

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy a hibás formázású mach-binárisok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13834: Maxime Villard (m00nbsd)

A bejegyzés frissítve: 2019. január 22.

Kernel

A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13799: Lufeng Li (Qihoo 360 Vulcan Team)

Bejegyzés frissítve: 2017. november 10.

Kernel

A következőhöz érhető el: macOS High Sierra 10.13.

Érintett terület: A rosszindulatú alkalmazások információkat tudtak szerezni a készüléken lévő egyéb alkalmazások jelenlétéről és működéséről.

Leírás: Az alkalmazások korlátlanul hozzá tudtak férni az operációs rendszer által kezelt folyamatinformációkhoz. Gyakoriságkorlátozással küszöböltük ki a problémát.

CVE-2017-13852: Xiaokuan Zhang és Yinqian Zhang (Ohio State University), Xueqiang Wang és XiaoFeng Wang (Indiana University Bloomington) és Xiaolong Bai (Tsinghua University)

Bejegyzés hozzáadva: 2017. november 10., frissítve: 2019. január 22.

libarchive

A következőhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

Leírás: Több memóriasérüléssel kapcsolatos probléma állt fenn a libarchive esetén. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémákat.

CVE-2017-13813: az OSS-Fuzz fedezte fel

Bejegyzés hozzáadva: 2018. november 16., frissítve: 2019. január 22.

libarchive

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

Leírás: Több memóriasérüléssel kapcsolatos probléma állt fenn a libarchive esetén. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémákat.

CVE-2017-13812: az OSS-Fuzz fedezte fel

A bejegyzés frissítve: 2019. január 22.

libarchive

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2016-4736 : Proteas (Qihoo 360 Nirvan Team)

Bejegyzés frissítve: 2017. december 21.

libxml2

A következőkhöz érhető el: OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy címke nélküli mutatófeloldási hibát.

CVE-2017-5969: Gustavo Grieco

Bejegyzés hozzáadva: 2018. október 18.

libxml2

A következőhöz érhető el: OS X El Capitan 10.11.6

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2017-5130: anonim kutató

CVE-2017-7376: anonim kutató

Bejegyzés hozzáadva: 2018. október 18.

libxml2

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2017-9050: Mateusz Jurczyk (j00ru, Google Project Zero)

Bejegyzés hozzáadva: 2018. október 18.

libxml2

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott XML-dokumentumok feldolgozásakor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2017-9049: Wei Lei és Liu Yang (Nanyang Technological University, Szingapúr)

Bejegyzés hozzáadva: 2018. október 18.

LinkPresentation

A következőhöz érhető el: macOS High Sierra 10.13.

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2018-4390: Rayyan Bijoora (@Bijoora; The City School, PAF Chapter)

CVE-2018-4391: Rayyan Bijoora (@Bijoora; The City School, PAF Chapter)

Bejegyzés hozzáadva: 2018. november 16.

Bejelentkezési ablak

A következőhöz érhető el: macOS High Sierra 10.13.

Érintett terület: A kijelzőzár váratlanul feloldódott

Leírás: Hatékonyabb állapotellenőrzéssel elhárítottunk egy állapotkezeléssel összefüggő problémát.

CVE-2017-13907: anonim kutató

Bejegyzés hozzáadva: 2018. október 18.

Open Scripting Architecture

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Előfordult, hogy egy AppleScript osadecompile segítségével történő visszafejtésekor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-13824: anonim kutató

PCRE

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: A pcre több biztonsági rése.

Leírás: Több hibát elhárítottak a 8.40-es verzióra való frissítéssel.

CVE-2017-13846

Postfix

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: A Postfix több biztonsági rése.

Leírás: Több hibát elhárítottak a 3.2.2-es verzióra való frissítéssel.

CVE-2017-10140: anonim kutató

Bejegyzés frissítve: 2017. november 17.

Gyorsnézet

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

Gyorsnézet

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott Office-dokumentumok elemzésekor váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

A bejegyzés frissítve: 2019. január 22.

QuickTime

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2017-13823: Xiangkun Jia (Institute of Software Chinese Academy of Sciences)

Bejegyzés frissítve: 2017. november 10.

Távoli felügyelet

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13808: anonim kutató

Sandbox

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2017-13838: Alastair Houghton

Bejegyzés frissítve: 2017. november 10.

Biztonság

A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2017-7170: Patrick Wardle (Synack)

Bejegyzés hozzáadva: 2018. január 11.

Biztonság

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: A rosszindulatú alkalmazások ki tudtak nyerni kulcskarikán tárolt jelszavakat.

Leírás: Az alkalmazások számára rendelkezésre állt egy módszer, amelynek révén meg tudták kerülni a kulcskarika-hozzáférési párbeszédpanelt egy szintetikus kattintással. Azáltal hárult el a probléma, hogy a kulcskarika-hozzáférési párbeszédpanel most már kéri a felhasználói jelszót.

CVE-2017-7150: Patrick Wardle (Synack)

Bejegyzés hozzáadva: 2017. november 17.

SMB

A következőkhöz érhető el: OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: A helyi támadók nem végrehajtható szöveges fájlokat tudtak végrehajtani SMB-megosztáson keresztül

Leírás: A fájlokkal kapcsolatos engedélyek hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2017-13908: anonim kutató

Bejegyzés hozzáadva: 2018. október 18.

StreamingZip

A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Érintett terület: A rosszindulatú zip-fájlok módosítani tudták a fájlrendszer korlátozott területeit.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2017-13804: @qwertyoruiopz (KJC Research Intl.) S.R.L.

tcpdump

A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6.

Érintett terület: A tcpdump több biztonsági rése.

Leírás: Több hibát elhárítottak a 4.9.2-es verziójára való frissítéssel.

CVE-2017-11108

CVE-2017-11541

CVE-2017-11542

CVE-2017-11543

CVE-2017-12893

CVE-2017-12894

CVE-2017-12895

CVE-2017-12896

CVE-2017-12897

CVE-2017-12898

CVE-2017-12899

CVE-2017-12900

CVE-2017-12901

CVE-2017-12902

CVE-2017-12985

CVE-2017-12986

CVE-2017-12987

CVE-2017-12988

CVE-2017-12989

CVE-2017-12990

CVE-2017-12991

CVE-2017-12992

CVE-2017-12993

CVE-2017-12994

CVE-2017-12995

CVE-2017-12996

CVE-2017-12997

CVE-2017-12998

CVE-2017-12999

CVE-2017-13000

CVE-2017-13001

CVE-2017-13002

CVE-2017-13003

CVE-2017-13004

CVE-2017-13005

CVE-2017-13006

CVE-2017-13007

CVE-2017-13008

CVE-2017-13009

CVE-2017-13010

CVE-2017-13011

CVE-2017-13012

CVE-2017-13013

CVE-2017-13014

CVE-2017-13015

CVE-2017-13016

CVE-2017-13017

CVE-2017-13018

CVE-2017-13019

CVE-2017-13020

CVE-2017-13021

CVE-2017-13022

CVE-2017-13023

CVE-2017-13024

CVE-2017-13025

CVE-2017-13026

CVE-2017-13027

CVE-2017-13028

CVE-2017-13029

CVE-2017-13030

CVE-2017-13031

CVE-2017-13032

CVE-2017-13033

CVE-2017-13034

CVE-2017-13035

CVE-2017-13036

CVE-2017-13037

CVE-2017-13038

CVE-2017-13039

CVE-2017-13040

CVE-2017-13041

CVE-2017-13042

CVE-2017-13043

CVE-2017-13044

CVE-2017-13045

CVE-2017-13046

CVE-2017-13047

CVE-2017-13048

CVE-2017-13049

CVE-2017-13050

CVE-2017-13051

CVE-2017-13052

CVE-2017-13053

CVE-2017-13054

CVE-2017-13055

CVE-2017-13687

CVE-2017-13688

CVE-2017-13689

CVE-2017-13690

CVE-2017-13725

Wi-Fi

A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Érintett terület: A Wi-Fi-hatókörön belül tartózkodó támadók ki tudták kényszeríteni az egyszeri kulcsok ismételt használatát a WPA-s unicast-/PTK-kliensekben (Key Reinstallation Attacks – KRACK)

Leírás: Logikai probléma lépett fel az állapotváltások kezelésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.

CVE-2017-13077: Mathy Vanhoef (imec-DistriNet csoport, KU Leuven)

CVE-2017-13078: Mathy Vanhoef (imec-DistriNet csoport, KU Leuven)

Bejegyzés frissítve: 2017. november 3.

Wi-Fi

A következőkhöz érhető el: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Érintett terület: A Wi-Fi-hatókörön belül tartózkodó támadók ki tudták kényszeríteni az egyszeri kulcsok ismételt használatát a WPA-s multicast-/GTK-kliensekben (Key Reinstallation Attacks – KRACK).

Leírás: Logikai probléma lépett fel az állapotváltások kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2017-13080: Mathy Vanhoef (imec-DistriNet csoport, KU Leuven)

Bejegyzés frissítve: 2017. november 3.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: