Over de beveiligingsinhoud van macOS High Sierra 10.13.2, Beveiligingsupdate 2017-002 Sierra en Beveiligingsupdate 2017-005 El Capitan
In dit document wordt de beveiligingsinhoud van macOS High Sierra 10.13.2, Beveiligingsupdate 2017-002 Sierra en Beveiligingsupdate 2017-005 El Capitan beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple versleutelen via de Apple Product Security PGP-sleutel.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
macOS High Sierra 10.13.2, Beveiligingsupdate 2017-002 Sierra en Beveiligingsupdate 2017-005 El Capitan
APFS
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: APFS-encryptiesleutels worden mogelijk niet veilig verwijderd na sluimerstand
Beschrijving: er was een logisch probleem in APFS bij het verwijderen van sleutels in de sluimerstand. Dit is verholpen door verbeterd statusbeheer.
CVE-2017-13887: David Ryskalczyk
apache
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: het verwerken van een kwaadwillig vervaardigde Apache-configuratierichtlijn kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: meerdere problemen zijn verholpen door bij te werken naar versie 2.4.28.
CVE-2017-9798: Hanno Böck
Automatische ontgrendeling
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2017-13905: Samuel Groß (@5aelo)
CFNetwork-sessie
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-7172: Richard Zhu (fluorescence) in samenwerking met het Zero Day Initiative van Trend Micro
Contacten
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: het delen van contactgegevens kan leiden tot het onverwacht delen van gegevens
Beschrijving: er was een probleem bij de verwerking van het delen van contacten. Dit probleem is verholpen door een verbeterde verwerking van gebruikersgegevens.
CVE-2017-13892: Ryan Manly van Glenbrook High School District 225
CoreAnimation
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een programma kan willekeurige code uitvoeren met verhoogde bevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-7171: 360 Security in samenwerking met het Zero Day Initiative van Trend Micro en Tencent Keen Security Lab (@keen_lab) in samenwerking met het Zero Day Initiative van Trend Micro
CoreFoundation
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2017-7151: Samuel Groß (@5aelo)
curl
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: kwaadaardige FTP-servers kunnen er mogelijk voor zorgen dat de klant buiten het geheugenbereik kan lezen
Beschrijving: er was een probleem met het lezen buiten het bereik bij het parseren van FTP PWD-reacties. Dit probleem is verholpen door een verbeterde controle van de grenzen.
CVE-2017-1000254: Max Dymond
Adreslijsthulpprogramma
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Niet van invloed op: macOS Sierra 10.12.6 en eerder
Impact: een aanvaller kan mogelijk de identiteitscontrole voor een beheerder omzeilen zonder een beheerderswachtwoord op te geven
Beschrijving: er was een logische fout in de validatie van inloggegevens. Dit is verholpen door een verbeterde validatie van inloggegevens.
CVE-2017-13872
ICU
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met overloop van gehele getallen is verholpen door een verbeterde invoervalidatie.
CVE-2017-15422: Yuan Deng van Ant-financial Light-Year Security Lab
Intel Graphics Driver
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-13883: Yu Wang van Didi Research America
CVE-2017-7163: Yu Wang van Didi Research America
CVE-2017-7155: Yu Wang van Didi Research America
Intel Graphics Driver
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen
Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2017-13878: Ian Beer van Google Project Zero
Intel Graphics Driver
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met lezen buiten het bereik is verholpen door middel van een verbeterde controle van de grenzen.
CVE-2017-13875: Ian Beer van Google Project Zero
IOAcceleratorFamily
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-7159: gevonden door IMF, ontwikkeld door HyungSeok Han (daramg.gift) van SoftSec, KAIST (softsec.kaist.ac.kr)
IOKit
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met de invoervalidatie in de kernel. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2017-13848: Alex Plaskett van MWR InfoSecurity
CVE-2017-13858: een anonieme onderzoeker
IOKit
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterd statusbeheer.
CVE-2017-13847: Ian Beer van Google Project Zero
IOKit
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) in samenwerking met het Zero Day Initiative van Trend Micro
Kernel
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-13904: Kevin Backhouse van Semmle Ltd.
Kernel
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een programma kan mogelijk het kernelgeheugen lezen (Meltdown)
Beschrijving: systemen met microprocessors die gebruikmaken van speculative execution en indirect branch prediction staan mogelijk ongeautoriseerde vrijgave van informatie toe aan een aanvaller met lokale gebruikerstoegang via een side-channel-analyse van de gegevenscache.
CVE-2017-5754: Jann Horn van Google Project Zero; Moritz Lipp van Graz University of Technology; Michael Schwarz van Graz University of Technology; Daniel Gruss van Graz University of Technology; Thomas Prescher van Cyberus Technology GmbH; Werner Haas van Cyberus Technology GmbH; Stefan Mangard van Graz University of Technology; Paul Kocher; Daniel Genkin van University of Pennsylvania en University of Maryland; Yuval Yarom van University of Adelaide en Data61; Mike Hamburg van Rambus (Cryptography Research Division)
Kernel
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-13862: Apple
CVE-2017-13867: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2017-7173: Brandon Azad
Kernel
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-13876: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een type confusion-probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-13855: Jann Horn van Google Project Zero
Kernel
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2017-13865: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2017-13868: Brandon Azad
CVE-2017-13869: Jann Horn van Google Project Zero
Kernel
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen
Beschrijving: er was een probleem met de invoervalidatie in de kernel. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2017-7154: Jann Horn van Google Project Zero
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een S/MIME-versleutelde e-mail kan onopzettelijk onversleuteld worden verzonden als het S/MIME-certificaat van de ontvanger niet is geïnstalleerd
Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen met verbeterd statusbeheer.
CVE-2017-13871: Lukas Pitschl van GPGTools
Concepten in Mail
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan e-mail onderscheppen
Beschrijving: er was een encryptieprobleem met S/MIME-inloggegevens. Het probleem is opgelost door extra controles en gebruikerscontrole.
CVE-2017-13860: Michael Weishaar van INNEO Solutions GmbH
OpenSSL
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: een programma kan beperkt geheugen lezen
Beschrijving: er was een probleem met het lezen buiten het bereik bij het parseren van X.509 IPAddressFamily. Dit probleem is verholpen door een verbeterde controle van de grenzen.
CVE-2017-3735: gevonden door OSS-Fuzz
Perl
Beschikbaar voor: macOS Sierra 10.12.6
Impact: door deze bug kunnen externe aanvallers mogelijk zorgen voor een denial of service
Beschrijving: openbare CVE-2017-12837 is verholpen door de functie bij te werken in Perl 5.18
CVE-2017-12837: Jakub Wilk
Schermdelingsserver
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.1
Impact: een gebruiker met toegang tot schermdeling kan toegang krijgen tot ieder bestand dat kan worden gelezen door de root
Beschrijving: er was een probleem met bevoegdheden bij de verwerking van schermdelingsessies. Dit probleem is verholpen door een verbeterde verwerking van bevoegdheden.
CVE-2017-7158: Trevor Jacques van Toronto
SIP
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.
CVE-2017-13911: Timothy Perfitt van Twocanoes Software
Wifi
Beschikbaar voor: macOS High Sierra 10.13.1
Impact: een onbevoegde gebruiker kan de systeemparameters voor wifi wijzigen, waardoor een denial of service optreedt
Beschrijving: er was een probleem met geprivilegieerde wifisysteemconfiguratie. Dit probleem is opgelost door extra beperkingen.
CVE-2017-13886: David Kreitschmann en Matthias Schulz van Secure Mobile Networking Lab bij TU Darmstadt
Aanvullende erkenning
Met dank aan Jon Bottarini van HackerOne voor zijn hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.