Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.
Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
macOS High Sierra 10.13
Data di rilascio: 25 settembre 2017
802.1X
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un utente malintenzionato può essere in grado di sfruttare le debolezze di TLS 1.0.
Descrizione: un problema di sicurezza del protocollo è stato risolto abilitando TLS 1.1 e TLS 1.2.
CVE-2017-13832: Doug Wussler della Florida State University
Voce aggiunta il 31 ottobre 2017, aggiornata il 10 novembre 2017
Apache
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: diversi problemi presenti in Apache.
Descrizione: in Apache erano presenti diversi problemi, che sono stati risolti con l'aggiornamento di Apache alla versione 2.4.25.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
Voce aggiunta il 31 ottobre 2017, aggiornata il 14 dicembre 2018
Impostazioni dell'account Apple
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un utente malintenzionato locale può ottenere l'accesso ai token di autenticazione di iCloud.
Descrizione: un problema nell'archiviazione dei token sensibili è stato risolto inserendo i token nel portachiavi.
CVE-2017-13909: Andreas Nilsson
Voce aggiunta il 18 ottobre 2018
AppleScript
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: la decompilazione di un AppleScript con osadecompile può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-13809: bat0s
Voce aggiunta il 31 ottobre 2017, aggiornata il 10 novembre 2017
Applicazione Firewall
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'impostazione dell'applicazione Firewall precedentemente negata può diventare effettiva dopo l'upgrade.
Descrizione: si verificava un problema di upgrade nella gestione delle impostazioni del firewall che è stato risolto attraverso una migliore gestione delle impostazioni del firewall durante gli upgrade.
CVE-2017-7084: un ricercatore anonimo
AppSandbox
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio.
Descrizione: diversi problemi di interruzione del servizio sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-7074: Daniel Jalkut di Red Sweater Software
ATS
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-13820: John Villamil, Doyensec
Voce aggiunta il 31 ottobre 2017
Audio
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'analisi di un file QuickTime dannoso può provocare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13807: Yangkang (@dnpushme) del Qex Team di Qihoo 360
Voce aggiunta il 31 ottobre 2017
Captive Network Assistant
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un utente locale potrebbe inavvertitamente inviare una password non codificata su una rete.
Descrizione: lo stato della sicurezza del browser per captive portal non era evidente. Questo problema è stato risolto attraverso una migliore visibilità dello stato della sicurezza del browser per captive portal.
CVE-2017-7143: Matthew Green di Johns Hopkins University
Voce aggiornata il 3 ottobre 2017
CFNetwork
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13829: Niklas Baumstark e Samuel Gro in collaborazione con Zero Day Initiative di Trend Micro
CVE-2017-13833: Niklas Baumstark e Samuel Gro in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 10 novembre 2017
Proxy CFNetwork
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un utente malintenzionato in una posizione privilegiata nella rete può essere in grado di causare un'interruzione del servizio.
Descrizione: diversi problemi di interruzione del servizio sono stati risolti attraverso una migliore gestione della memoria.
CVE-2017-7083: Abhinav Bansal di Zscaler Inc.
CFString
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
Voce aggiunta il 31 ottobre 2017
CoreAudio
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso l'aggiornamento a Opus 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) del Mobile Threat Research Team, Trend Micro
CoreText
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'elaborazione di un file di font dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
Voce aggiunta il 31 ottobre 2017, aggiornata il 16 novembre 2018
CoreTypes
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'elaborazione di una pagina web dannosa può causare un montaggio dell'immagine disco.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2017-13890: Apple, Theodor Ragnar Gislason di Syndis
Voce aggiunta il 29 marzo 2018
DesktopServices
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un utente malintenzionato locale può essere in grado di osservare i dati non protetti dell'utente.
Descrizione: esisteva un problema di accesso ad alcuni file della cartella Inizio che è stato risolto attraverso migliori restrizioni di accesso.
CVE-2017-13851: Henrique Correa de Amorim
Voce aggiunta il 2 novembre 2017, aggiornata il 14 febbraio 2018
Utility Directory
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un utente malintenzionato locale può essere in grado di determinare l'ID Apple del proprietario del computer.
Descrizione: si verificava un problema di autorizzazioni nella gestione dell'ID Apple che è stato risolto attraverso un migliore controllo degli accessi.
CVE-2017-7138: Daniel Kvak di Masaryk University
Voce aggiornata il 3 ottobre 2017
file
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: diversi problemi presenti in file.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 5.30.
CVE-2017-7121: rilevato da OSS-Fuzz
CVE-2017-7122: rilevato da OSS-Fuzz
CVE-2017-7123: rilevato da OSS-Fuzz
CVE-2017-7124: rilevato da OSS-Fuzz
CVE-2017-7125: rilevato da OSS-Fuzz
CVE-2017-7126: rilevato da OSS-Fuzz
file
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: diversi problemi presenti in file.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 5.31.
CVE-2017-13815
Voce aggiunta il 31 ottobre 2017
Font
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: il rendering di testo non attendibile può causare lo spoofing.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2017-13828: Leonard Grey e Robert Sesek di Google Chrome
Voce aggiunta il 31 ottobre 2017, aggiornata il 10 novembre 2017
fsck_msdos
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13811: V.E.O. (@VYSEa) di Mobile Threat Team, Trend Micro
Voce aggiornata il 2 novembre 2017
fsck_msdos
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può eseguire codice arbitrario con privilegi elevati.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13835: un ricercatore anonimo
Voce aggiunta il 18 ottobre 2018
Heimdal
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un utente malintenzionato in una posizione privilegiata nella rete può essere in grado di impersonare un servizio.
Descrizione: si verificava un problema di convalida nella gestione del nome del servizio KDC-REP che è stato risolto attraverso una migliore convalida.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni e Nico Williams
Visore Aiuto
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un file HTML in quarantena può consentire l'esecuzione multiorigine di JavaScript arbitrario.
Descrizione: si verificava un problema di cross-site scripting nel Visore Aiuto che è stato risolto attraverso la rimozione del file interessato.
CVE-2017-13819: Filippo Cavallarin di SecuriTeam Secure Disclosure
Voce aggiunta il 31 ottobre 2017, aggiornata il 10 novembre 2017
HFS
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13830: Sergej Schumilo, Ruhr-University Bochum
Voce aggiunta il 31 ottobre 2017
ImageIO
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
Voce aggiunta il 31 ottobre 2017, aggiornata il 16 novembre 2018
ImageIO
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'elaborazione di un'immagine dannosa può causare l'interruzione del servizio.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-13831: Glen Carmichael
Voce aggiunta il 31 ottobre 2017, aggiornata il 3 aprile 2019
Programma di installazione
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione dannosa può essere in grado di accedere alla chiave di sblocco di FileVault.
Descrizione: questo problema è stato risolto attraverso la rimozione dei diritti aggiuntivi.
CVE-2017-13837: Patrick Wardle di Synack
Voce aggiunta il 31 ottobre 2017, aggiornata il 10 novembre 2017
IOAcceleratorFamily
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13906
Voce aggiunta il 18 ottobre 2018
IOFireWireFamily
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7077: Brandon Azad
IOFireWireFamily
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng di Alibaba Inc., Benjamin Gnahm (@mitp0sh) di PDX
Kernel
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7114: Alex Plaskett di MWR InfoSecurity
Kernel
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un utente locale può essere in grado di divulgare informazioni sensibili degli utenti.
Descrizione: si verificava un problema di autorizzazioni nei contatori dei pacchetti kernel che è stato risolto attraverso una migliore convalida delle autorizzazioni.
CVE-2017-13810: Zhiyun Qian della University of California, Riverside
Voce aggiunta il 31 ottobre 2017, aggiornata il 10 novembre 2017
Kernel
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un utente locale può essere in grado di leggere la memoria del kernel.
Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-13817: Maxime Villard (m00nbsd)
Voce aggiunta il 31 ottobre 2017
Kernel
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-13818: National Cyber Security Centre (NCSC) del Regno Unito
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Kevin Backhouse di Semmle Ltd.
Voce aggiunta il 31 ottobre 2017, aggiornata il 18 giugno 2018
Kernel
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13843: un ricercatore anonimo, un ricercatore anonimo
Voce aggiunta il 31 ottobre 2017
Kernel
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13854: shrek_wzw del Nirvan Team di Qihoo 360
Voce aggiunta il 2 novembre 2017
Kernel
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'elaborazione di un file binario Mach non corretto può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2017-13834: Maxime Villard (m00nbsd)
Voce aggiunta il 10 novembre 2017
Kernel
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione dannosa può essere in grado di acquisire informazioni sulla presenza e sul funzionamento di altre applicazioni sul dispositivo.
Descrizione: un'applicazione era in grado di accedere alle informazioni sull'attività di rete gestite dal sistema operativo senza restrizioni. Il problema è stato risolto riducendo le informazioni accessibili alle applicazioni di terze parti.
CVE-2017-13873: Xiaokuan Zhang e Yinqian Zhang della Ohio State University, Xueqiang Wang e XiaoFeng Wang dell'Indiana University Bloomington e Xiaolong Bai della Tsinghua University
Voce aggiunta il 30 novembre 2017
Strumenti kext
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un errore logico nel caricamento di kext è stato risolto attraverso una migliore gestione dello stato.
CVE-2017-13827: un ricercatore anonimo
Voce aggiunta il 31 ottobre 2017
libarchive
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'estrazione di un archivio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13813: rilevato da OSS-Fuzz
CVE-2017-13816: rilevato da OSS-Fuzz
Voce aggiunta il 31 ottobre 2017
libarchive
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'estrazione di un archivio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificavano diversi problemi di danneggiamento della memoria in libarchive che sono stati risolti attraverso una migliore convalida dell'input.
CVE-2017-13812: rilevato da OSS-Fuzz
Voce aggiunta il 31 ottobre 2017
libarchive
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2016-4736: un ricercatore anonimo
Voce aggiunta il 31 ottobre 2017
libc
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un utente malintenzionato remoto può essere in grado di provocare un'interruzione del servizio.
Descrizione: un problema di esaurimento delle risorse in glob() è stato risolto attraverso il miglioramento di un algoritmo.
CVE-2017-7086: Russ Cox di Google
libc
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di causare un'interruzione del servizio.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-1000373
libexpat
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: diversi problemi presenti in expat.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 2.2.1.
CVE-2016-9063
CVE-2017-9233
libxml2
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di dereferenziazione del puntatore null è stato risolto attraverso una migliore convalida.
CVE-2018-4302: Gustavo Grieco
Voce aggiunta il 18 ottobre 2018
libxml2
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-5130: un ricercatore anonimo
CVE-2017-7376: un ricercatore anonimo
Voce aggiunta il 18 ottobre 2018
libxml2
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2017-9050: Mateusz Jurczyk (j00ru) di Google Project Zero
Voce aggiunta il 18 ottobre 2018
libxml2
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-9049: Wei Lei e Liu Yang della Nanyang Technological University, Singapore
Voce aggiunta il 18 ottobre 2018
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: il mittente di un'email può essere in grado di determinare l'indirizzo IP del destinatario.
Descrizione: la disattivazione dell'opzione “Carica contenuto remoto dei messaggi” non veniva applicata a tutte le caselle di posta. Questo problema è stato risolto attraverso una migliore propagazione delle impostazioni.
CVE-2017-7141: John Whitehead del New York Times
Voce aggiornata il 3 ottobre 2017
Bozze dei messaggi di posta
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un utente malintenzionato in una posizione privilegiata nella rete può essere in grado di intercettare i contenuti della posta.
Descrizione: si verificava un problema di codifica nella gestione delle bozze dei messaggi di posta che è stato risolto attraverso a una migliore gestione delle bozze dei messaggi di posta destinati a essere codificati.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE di Marsiglia (Francia), un ricercatore anonimo
Voce aggiornata il 3 ottobre 2017
ntp
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: diversi problemi presenti in ntp.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 4.2.8p10.
CVE-2017-6451: Cure53
CVE-2017-6452: Cure53
CVE-2017-6455: Cure53
CVE-2017-6458: Cure53
CVE-2017-6459: Cure53
CVE-2017-6460: Cure53
CVE-2017-6462: Cure53
CVE-2017-6463: Cure53
CVE-2017-6464: Cure53
CVE-2016-9042: Matthew Van Gundy di Cisco
Open Scripting Architecture
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: la decompilazione di un AppleScript con osadecompile può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13824: un ricercatore anonimo
Voce aggiunta il 31 ottobre 2017
PCRE
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: diversi problemi in PCRE.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 8.40.
CVE-2017-13846
Voce aggiunta il 31 ottobre 2017
Postfix
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: diversi problemi in Postfix.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 3.2.2.
CVE-2017-10140: un ricercatore anonimo
Voce aggiunta il 31 ottobre 2017, aggiornata il 17 novembre 2017
QuickLook
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
Voce aggiunta il 31 ottobre 2017
QuickLook
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: l'analisi di un documento Microsoft Office dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
Voce aggiunta il 31 ottobre 2017
QuickTime
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2017-13823: Xiangkun Jia dell'Institute of Software Chinese Academy of Sciences
Voce aggiunta il 31 ottobre 2017, aggiornata il 10 novembre 2017
Gestione remota
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13808: un ricercatore anonimo
Voce aggiunta il 31 ottobre 2017
Sandbox
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-13838: Alastair Houghton
Voce aggiunta il 31 ottobre 2017, aggiornata il 10 novembre 2017
Blocco schermo
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: le richieste dell'applicazione Firewall possono essere visualizzate sopra la finestra di accesso.
Descrizione: un problema di gestione delle finestre è stato risolto con una migliore gestione dello stato.
CVE-2017-7082: Tim Kingman
Sicurezza
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un certificato revocato può risultare attendibile.
Descrizione: si verificava un problema di convalida dei certificati nella gestione dei dati di revoca che è stato risolto attraverso una migliore convalida.
CVE-2017-7080: Sven Driemecker di adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) di Bærum kommune, un ricercatore anonimo, un ricercatore anonimo
SMB
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un utente malintenzionato può essere in grado di eseguire file di testo non eseguibili mediante una condivisione SMB.
Descrizione: un problema nella gestione dei permessi del file è stato risolto attraverso una migliore convalida.
CVE-2017-13908: un ricercatore anonimo
Voce aggiunta il 18 ottobre 2018
Spotlight
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: Spotlight può visualizzare nei risultati file non appartenenti all'utente.
Descrizione: si verificava un problema di accesso in Spotlight che è stato risolto attraverso migliori restrizioni di accesso.
CVE-2017-13839: Ken Harris di Free Robot Collective
Voce aggiunta il 31 ottobre 2017, aggiornata il 10 novembre 2017
Spotlight
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può accedere a file con restrizioni.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox sulle applicazioni.
CVE-2017-13910
Voce aggiunta il 18 ottobre 2018
SQLite
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: diversi problemi presenti in SQLite.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 3.19.3.
CVE-2017-10989: rilevato da OSS-Fuzz
CVE-2017-7128: rilevato da OSS-Fuzz
CVE-2017-7129: rilevato da OSS-Fuzz
CVE-2017-7130: rilevato da OSS-Fuzz
SQLite
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2017-7127: un ricercatore anonimo
zlib
Disponibile per: OS X Mountain Lion 10.8 e versioni successive
Impatto: diversi problemi presenti in zlib.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Altri riconoscimenti
Ringraziamo Jon Bottarini di HackerOne per l'assistenza.
Voce aggiunta il 6 febbraio 2020
Sicurezza
Ringraziamo Abhinav Bansal di Zscaler, Inc. per l'assistenza.
NSWindow
Ringraziamo Trent Apted del team Google Chrome per l'assistenza.
Inspector web di WebKit
Ringraziamo Ioan Bizău di Bloggify per l'assistenza.
Aggiornamento supplementare di macOS High Sierra 10.13
I nuovi download di macOS High Sierra 10.13 includono i contenuti di sicurezza dell'aggiornamento supplementare di macOS High Sierra 10.13.