Informazioni sui contenuti di sicurezza di macOS Sierra 10.12.6, dell'aggiornamento di sicurezza 2017-003 per El Capitan e dell'aggiornamento di sicurezza 2017-003 per Yosemite
In questo documento vengono descritti i contenuti di sicurezza di macOS Sierra 10.12.6, dell'aggiornamento di sicurezza 2017-003 per El Capitan e dell'aggiornamento di sicurezza 2017-003 per Yosemite.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.
Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
macOS Sierra 10.12.6, aggiornamento di sicurezza 2017-003 per El Capitan e aggiornamento di sicurezza 2017-003 per Yosemite
afclip
Disponibile per: macOS Sierra 10.12.5
Impatto: l'elaborazione di un file audio pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-7016: riusksk(泉哥) di Tencent Security Platform Department
afclip
Disponibile per: macOS Sierra 10.12.5
Impatto: l'elaborazione di un file audio pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7033: riusksk(泉哥) di Tencent Security Platform Department
AppleGraphicsPowerManagement
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7021: sss e Axis del Nirvan Team di Qihoo 360
Audio
Disponibile per: macOS Sierra 10.12.5
Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7015: riusksk(泉哥) di Tencent Security Platform Department
Bluetooth
Disponibile per: macOS Sierra 10.12.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7050: Min (Spark) Zheng di Alibaba Inc.
CVE-2017-7051: Alex Plaskett di MWR InfoSecurity
Bluetooth
Disponibile per: macOS Sierra 10.12.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7054: Alex Plaskett di MWR InfoSecurity, Lufeng Li del Vulcan Team di Qihoo 360
Contatti
Disponibile per: macOS Sierra 10.12.5
Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
Disponibile per: macOS Sierra 10.12.5
Impatto: l'elaborazione di un file video pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-7008: Yangkang (@dnpushme) del Qex Team di Qihoo 360
curl
Disponibile per: macOS Sierra 10.12.5
Impatto: diversi problemi in curl.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 7.54.0.
CVE-2016-9586
CVE-2016-9594
CVE-2017-2629
CVE-2017-7468
Foundation
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-7031: HappilyCoded (ant4g0nist e r3dsm0k3)
Importazione di font
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: l'elaborazione di un font pericoloso può causare la divulgazione della memoria dei processi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-13850: John Villamil, Doyensec
Driver Intel Graphics
Disponibile per: macOS Sierra 10.12.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7014: Lee di Minionz, Axis e sss del Nirvan Team di Qihoo 360
CVE-2017-7017: chenqin di Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7035: shrek_wzw del Nirvan Team di Qihoo 360
CVE-2017-7044: shrek_wzw del Nirvan Team di Qihoo 360
Driver Intel Graphics
Disponibile per: macOS Sierra 10.12.5
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-7036: shrek_wzw del Nirvan Team di Qihoo 360
CVE-2017-7045: shrek_wzw del Nirvan Team di Qihoo 360
IOUSBFamily
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7009: shrek_wzw del Nirvan Team di Qihoo 360
Kernel
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7022: un ricercatore anonimo
CVE-2017-7024: un ricercatore anonimo
Kernel
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7023: un ricercatore anonimo
Kernel
Disponibile per: macOS Sierra 10.12.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7025: un ricercatore anonimo
CVE-2017-7027: un ricercatore anonimo
CVE-2017-7069: Proteas del Nirvan Team di Qihoo 360
Kernel
Disponibile per: macOS Sierra 10.12.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7026: un ricercatore anonimo
Kernel
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-7028: un ricercatore anonimo
CVE-2017-7029: un ricercatore anonimo
Kernel
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-7067: shrek_wzw del Nirvan Team di Qihoo 360
Strumenti kext
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7032: Axis e sss del Nirvan Team di Qihoo 360
libarchive
Disponibile per: macOS Sierra 10.12.5
Impatto: l'estrazione di un archivio pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-7068: rilevato da OSS-Fuzz
libxml2
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: l'analisi di un documento XML pericoloso può determinare la divulgazione delle informazioni utente.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso il miglioramento del controllo dei limiti.
CVE-2017-7010: Apple
CVE-2017-7013: rilevato da OSS-Fuzz
libxpc
Disponibile per: macOS Sierra 10.12.5 e OS X El Capitan 10.11.6
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7047: Ian Beer di Google Project Zero
Wi-Fi
Disponibile per: macOS Sierra 10.12.5
Impatto: un utente malintenzionato nel raggio di portata può causare l'esecuzione di codice arbitrario nel chip Wi-Fi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7065: Gal Beniamini di Google Project Zero
Wi-Fi
Disponibile per: macOS Sierra 10.12.5
Impatto: un utente malintenzionato nel raggio di portata può causare l'esecuzione di codice arbitrario nel chip Wi-Fi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-9417: Nitay Artenstein di Exodus Intelligence
Altri riconoscimenti
curl
Ringraziamo Dave Murdock di Tangerine Element per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.