Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.
Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
macOS Sierra 10.12.6, aggiornamento di sicurezza 2017-003 per El Capitan e aggiornamento di sicurezza 2017-003 per Yosemite
Rilasciato il 19 luglio 2017
afclip
Disponibile per: macOS Sierra 10.12.5
Impatto: l'elaborazione di un file audio pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-7016: riusksk(泉哥) di Tencent Security Platform Department
afclip
Disponibile per: macOS Sierra 10.12.5
Impatto: l'elaborazione di un file audio pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7033: riusksk(泉哥) di Tencent Security Platform Department
AppleGraphicsPowerManagement
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7021: sss e Axis del Nirvan Team di Qihoo 360
Audio
Disponibile per: macOS Sierra 10.12.5
Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7015: riusksk(泉哥) di Tencent Security Platform Department
Bluetooth
Disponibile per: macOS Sierra 10.12.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7050: Min (Spark) Zheng di Alibaba Inc.
CVE-2017-7051: Alex Plaskett di MWR InfoSecurity
Bluetooth
Disponibile per: macOS Sierra 10.12.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7054: Alex Plaskett di MWR InfoSecurity, Lufeng Li del Vulcan Team di Qihoo 360
Contatti
Disponibile per: macOS Sierra 10.12.5
Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
Disponibile per: macOS Sierra 10.12.5
Impatto: l'elaborazione di un file video pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-7008: Yangkang (@dnpushme) del Qex Team di Qihoo 360
curl
Disponibile per: macOS Sierra 10.12.5
Impatto: diversi problemi in curl.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 7.54.0.
CVE-2016-9586
CVE-2016-9594
CVE-2017-2629
CVE-2017-7468
Foundation
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: l'elaborazione di un file pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-7031: HappilyCoded (ant4g0nist e r3dsm0k3)
Importazione di font
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: l'elaborazione di un font pericoloso può causare la divulgazione della memoria dei processi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-13850: John Villamil, Doyensec
Voce aggiunta il 31 ottobre 2017
Driver Intel Graphics
Disponibile per: macOS Sierra 10.12.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7014: Lee di Minionz, Axis e sss del Nirvan Team di Qihoo 360
CVE-2017-7017: chenqin di Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7035: shrek_wzw del Nirvan Team di Qihoo 360
CVE-2017-7044: shrek_wzw del Nirvan Team di Qihoo 360
Driver Intel Graphics
Disponibile per: macOS Sierra 10.12.5
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-7036: shrek_wzw del Nirvan Team di Qihoo 360
CVE-2017-7045: shrek_wzw del Nirvan Team di Qihoo 360
IOUSBFamily
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7009: shrek_wzw del Nirvan Team di Qihoo 360
Kernel
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7022: un ricercatore anonimo
CVE-2017-7024: un ricercatore anonimo
Kernel
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7023: un ricercatore anonimo
Kernel
Disponibile per: macOS Sierra 10.12.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7025: un ricercatore anonimo
CVE-2017-7027: un ricercatore anonimo
CVE-2017-7069: Proteas del Nirvan Team di Qihoo 360
Kernel
Disponibile per: macOS Sierra 10.12.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7026: un ricercatore anonimo
Kernel
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-7028: un ricercatore anonimo
CVE-2017-7029: un ricercatore anonimo
Kernel
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-7067: shrek_wzw del Nirvan Team di Qihoo 360
Strumenti kext
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7032: Axis e sss del Nirvan Team di Qihoo 360
libarchive
Disponibile per: macOS Sierra 10.12.5
Impatto: l'estrazione di un archivio pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2017-7068: rilevato da OSS-Fuzz
libxml2
Disponibile per: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impatto: l'analisi di un documento XML pericoloso può determinare la divulgazione delle informazioni utente.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso il miglioramento del controllo dei limiti.
CVE-2017-7010: Apple
CVE-2017-7013: rilevato da OSS-Fuzz
libxpc
Disponibile per: macOS Sierra 10.12.5 e OS X El Capitan 10.11.6
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7047: Ian Beer di Google Project Zero
Wi-Fi
Disponibile per: macOS Sierra 10.12.5
Impatto: un utente malintenzionato nel raggio di portata può causare l'esecuzione di codice arbitrario nel chip Wi-Fi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7065: Gal Beniamini di Google Project Zero
Voce aggiunta il 25 settembre 2017
Wi-Fi
Disponibile per: macOS Sierra 10.12.5
Impatto: un utente malintenzionato nel raggio di portata può causare l'esecuzione di codice arbitrario nel chip Wi-Fi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-9417: Nitay Artenstein di Exodus Intelligence
macOS Sierra 10.12.6, l'aggiornamento di sicurezza 2017-003 per El Capitan e l'aggiornamento di sicurezza 2017-003 per Yosemite includono i contenuti di sicurezza di Safari 10.1.2.
Altri riconoscimenti
curl
Ringraziamo Dave Murdock di Tangerine Element per l'assistenza.