Informazioni sui contenuti di sicurezza di macOS Sierra 10.12.6, dell‘aggiornamento di sicurezza 2017-003 per El Capitan e dell‘aggiornamento di sicurezza 2017-003 per Yosemite

In questo documento vengono descritti i contenuti di sicurezza di macOS Sierra 10.12.6, dell'aggiornamento di sicurezza 2017-003 per El Capitan e dell'aggiornamento di sicurezza 2017-003 per Yosemite.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

macOS Sierra 10.12.6, aggiornamento di sicurezza 2017-003 per El Capitan e aggiornamento di sicurezza 2017-003 per Yosemite

Rilasciato il 19 luglio 2017

afclip

Disponibile per: macOS Sierra 10.12.5

Impatto: l'elaborazione di un file audio pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-7016: riusksk(泉哥) di Tencent Security Platform Department

afclip

Disponibile per: macOS Sierra 10.12.5

Impatto: l'elaborazione di un file audio pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7033: riusksk(泉哥) di Tencent Security Platform Department

AppleGraphicsPowerManagement

Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7021: sss e Axis del Nirvan Team di Qihoo 360

Audio

Disponibile per: macOS Sierra 10.12.5

Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7015: riusksk(泉哥) di Tencent Security Platform Department

Bluetooth

Disponibile per: macOS Sierra 10.12.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7050: Min (Spark) Zheng di Alibaba Inc.

CVE-2017-7051: Alex Plaskett di MWR InfoSecurity

Bluetooth

Disponibile per: macOS Sierra 10.12.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7054: Alex Plaskett di MWR InfoSecurity, Lufeng Li del Vulcan Team di Qihoo 360

Contatti

Disponibile per: macOS Sierra 10.12.5

Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Disponibile per: macOS Sierra 10.12.5

Impatto: l'elaborazione di un file video pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-7008: Yangkang (@dnpushme) del Qex Team di Qihoo 360

curl

Disponibile per: macOS Sierra 10.12.5

Impatto: diversi problemi in curl.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 7.54.0.

CVE-2016-9586

CVE-2016-9594

CVE-2017-2629

CVE-2017-7468

Foundation

Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-7031: HappilyCoded (ant4g0nist e r3dsm0k3)

Importazione di font

Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: l'elaborazione di un font pericoloso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2017-13850: John Villamil, Doyensec

Voce aggiunta il 31 ottobre 2017

Driver Intel Graphics

Disponibile per: macOS Sierra 10.12.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7014: Lee di Minionz, Axis e sss del Nirvan Team di Qihoo 360

CVE-2017-7017: chenqin di Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7035: shrek_wzw del Nirvan Team di Qihoo 360

CVE-2017-7044: shrek_wzw del Nirvan Team di Qihoo 360

Driver Intel Graphics

Disponibile per: macOS Sierra 10.12.5

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2017-7036: shrek_wzw del Nirvan Team di Qihoo 360

CVE-2017-7045: shrek_wzw del Nirvan Team di Qihoo 360

IOUSBFamily

Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7009: shrek_wzw del Nirvan Team di Qihoo 360

Kernel

Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7022: un ricercatore anonimo

CVE-2017-7024: un ricercatore anonimo

Kernel

Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7023: un ricercatore anonimo

Kernel

Disponibile per: macOS Sierra 10.12.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7025: un ricercatore anonimo

CVE-2017-7027: un ricercatore anonimo

CVE-2017-7069: Proteas del Nirvan Team di Qihoo 360

Kernel

Disponibile per: macOS Sierra 10.12.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7026: un ricercatore anonimo

Kernel

Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2017-7028: un ricercatore anonimo

CVE-2017-7029: un ricercatore anonimo

Kernel

Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2017-7067: shrek_wzw del Nirvan Team di Qihoo 360

Strumenti kext

Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7032: Axis e sss del Nirvan Team di Qihoo 360

libarchive

Disponibile per: macOS Sierra 10.12.5

Impatto: l'estrazione di un archivio pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2017-7068: rilevato da OSS-Fuzz

libxml2

Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impatto: l'analisi di un documento XML pericoloso può determinare la divulgazione delle informazioni utente.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso il miglioramento del controllo dei limiti.

CVE-2017-7010: Apple

CVE-2017-7013: rilevato da OSS-Fuzz

libxpc

Disponibile per: macOS Sierra 10.12.5 e OS X El Capitan 10.11.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7047: Ian Beer di Google Project Zero

Wi-Fi

Disponibile per: macOS Sierra 10.12.5

Impatto: un utente malintenzionato nel raggio di portata può causare l'esecuzione di codice arbitrario nel chip Wi-Fi.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-7065: Gal Beniamini di Google Project Zero

Voce aggiunta il 25 settembre 2017

Wi-Fi

Disponibile per: macOS Sierra 10.12.5

Impatto: un utente malintenzionato nel raggio di portata può causare l'esecuzione di codice arbitrario nel chip Wi-Fi.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2017-9417: Nitay Artenstein di Exodus Intelligence

macOS Sierra 10.12.6, l'aggiornamento di sicurezza 2017-003 per El Capitan e l'aggiornamento di sicurezza 2017-003 per Yosemite includono i contenuti di sicurezza di Safari 10.1.2.

Altri riconoscimenti

curl

Ringraziamo Dave Murdock di Tangerine Element per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: