Over de beveiligingsinhoud van macOS Sierra 10.12.4, Beveiligingsupdate 2017-001 El Capitan en Beveiligingsupdate 2017-001 Yosemite

In dit document wordt de beveiligingsinhoud beschreven van macOS Sierra 10.12.4, Beveiligingsupdate 2017-001 El Capitan en Beveiligingsupdate 2017-001 Yosemite.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

macOS Sierra 10.12.4, Beveiligingsupdate 2017-001 El Capitan en Beveiligingsupdate 2017-001 Yosemite

Releasedatum: 27 maart 2017

apache

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: er waren meerdere problemen in versies van Apache die lager zijn dan 2.4.25. Deze zijn verholpen door Apache bij te werken naar versie 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Bijgewerkt op 28 maart 2017

apache_mod_php

Beschikbaar voor: macOS Sierra 10.12.3

Impact: er waren meerdere problemen in versies van PHP die lager zijn dan 5.6.30

Beschrijving: er waren meerdere problemen in versies van PHP die lager zijn dan 5.6.30. Deze zijn verholpen door PHP bij te werken naar versie 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een race-voorwaarde is verholpen door verbeterde geheugenverwerking.

CVE-2017-2421: @cocoahuke

AppleRAID

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2438: sss en Axis van 360Nirvanteam

Audio

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2430: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2017-2462: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

Bluetooth

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa en Marko Laakso van Synopsys Software Integrity Group

Bluetooth

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2427: Axis en sss van Qihoo 360 Nirvan Team

Bluetooth

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2449: sss en Axis van 360NirvanTeam

Carbon

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigd DFONT-bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: Er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-2017-2379: riusksk (泉哥) van Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service

Beschrijving: een oneindige recursie is verholpen door middel van verbeterd statusbeheer.

CVE-2017-2417: riusksk (泉哥) van Tencent Security Platform Department

CoreMedia

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigd .mov-bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van .mov-bestanden. Dit probleem is verholpen door een verbeterd geheugenbeheer.

CVE-2017-2431: kimyok van Tencent Security Platform Department

CoreText

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigd tekstbericht kan leiden tot een denial of service van het programma

Beschrijving: er is een bronuitputtingsprobleem aangepakt door verbeterde invoervalidatie.

CVE-2017-2461: Isaac Archambault van IDAoADI, een anonieme onderzoeker

curl

Beschikbaar voor: macOS Sierra 10.12.3

Impact: kwaadwillig vervaardigde gebruikersinvoer naar libcurl-API kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een bufferoverloop is verholpen door verbeterde controle van de grenzen.

CVE-2016-9586: Daniel Stenberg van Mozilla

EFI

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een schadelijke Thunderbolt-adapter kan het FileVault 2-coderingswachtwoord ophalen

Beschrijving: er was een probleem bij de verwerking van DMA. Dit probleem is opgelost door VT-d in EFI in te schakelen.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

Beschikbaar voor: macOS Sierra 10.12.3

Impact: bevoegdheden worden mogelijk onverwacht opnieuw ingesteld bij het verzenden van koppelingen

Beschrijving: er was een probleem met bevoegdheden bij de verwerking van de functie Stuur koppeling van iCloud-deling. Dit probleem is verholpen door een verbeterd beheer van bevoegdheden.

CVE-2017-2429: Raymond Wong DO van Arnot Ogden Medical Center

Bijgewerkt op 23 augustus 2017

FontParser

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.

CVE-2017-2487: riusksk (泉哥) van Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) van Tencent Security Platform Department

FontParser

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het parseren van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.

CVE-2017-2407: riusksk (泉哥) van Tencent Security Platform Department

FontParser

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2017-2439: John Villamil, Doyensec

FontParser

Beschikbaar voor: OS X El Capitan v10.11.6 en OS X Yosemite v10.10.5

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code 

Beschrijving: Er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-2016-4688: Simon Huang van Alipay

Toegevoegd op 11 april 2017

HTTP-protocol

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een kwaadwillige HTTP/2-server veroorzaakt mogelijk ongedefinieerd gedrag

Beschrijving: er waren meerdere problemen in versies van nghttp2 die lager zijn dan 1.17.0. Deze zijn verholpen door nghttp2 bij te werken naar versie 1.17.0.

CVE-2017-2428

Bijgewerkt op 28 maart 2017

Hypervisor

Beschikbaar voor: macOS Sierra 10.12.3

Impact: programma's die het Hypervisor-framework gebruiken, maken mogelijk onverwacht het CR8-beheerregister bekend tussen gast en host

Beschrijving: een probleem met bekendmaking van gegevens is opgelost door verbeterd statusbeheer.

CVE-2017-2418: Alex Fishman en Izik Eidus van Veertu Inc.

iBooks

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het parseren van een kwaadwillig vervaardigd iBooks-bestand leidt mogelijk tot openbaarmaking van lokale bestanden

Beschrijving: er was een gegevenslek bij de verwerking van bestands-URL's. Dit probleem is verholpen door een verbeterde verwerking van URL's.

CVE-2017-2426: Craig Arendt van Stratum Security, Jun Kokatsu (@shhnjk)

ImageIO

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) van KeenLab, Tencent

ImageIO

Beschikbaar voor: macOS Sierra 10.12.3, OS X El Capitan v10.11.6 en OS X Yosemite v10.10.5

Impact: het bekijken van een kwaadwillig vervaardigd JPEG-bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2432: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

ImageIO

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2467

ImageIO

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het onverwacht beëindigen van het programma

Beschrijving: Er was een probleem met lezen buiten het bereik in LibTIFF-versies lager dan 4.0.7. Dit probleem is verholpen door LibTIFF in ImageIO bij te werken naar versie 4.0.7.

CVE-2016-3619

Intel Graphics Driver

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden 

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2443: Ian Beer van Google Project Zero

Intel Graphics Driver

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan het kernelgeheugen vrijgeven

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2017-2489: Ian Beer van Google Project Zero

Toegevoegd op 31 maart 2017

IOATAFamily

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2408: Yangkang (@dnpushme) van Qihoo360 Qex Team

IOFireWireAVC

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2436: Orr A, IBM Security

IOFireWireAVC

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een lokale aanvaller kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) van Blue Frost Security

IOFireWireFamily

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma zorgt mogelijk voor een denial of service

Beschrijving: een null pointer-dereferentieprobleem is verholpen door verbeterde invoervalidatie.

CVE-2017-2388: Brandon Azad, een anonieme onderzoeker

Kernel

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2398: Lufeng Li van Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li van Qihoo 360 Vulcan Team

Kernel

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: er was een probleem met de invoervalidatie in de kernel. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-2410: Apple

Kernel

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met overloop van gehele getallen is verholpen door een verbeterde invoervalidatie.

CVE-2017-2440: een anonieme onderzoeker

Kernel

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met rootbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door verbeterde geheugenverwerking.

CVE-2017-2456: lokihardt van Google Project Zero

Kernel

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2472: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2473: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem 'off-by-one' is verholpen door een verbeterde controle van de grenzen.

CVE-2017-2474: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een racevoorwaarde is verholpen via verbeterde vergrendeling.

CVE-2017-2478: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2482: Ian Beer van Google Project Zero

CVE-2017-2483: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan willekeurige code uitvoeren met verhoogde bevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2490: Ian Beer van Google Project Zero, het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk

Toegevoegd op 31 maart 2017

Kernel

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het scherm kan onverwacht ontgrendeld blijven als de klep gesloten is

Beschrijving: een probleem met ontoereikende vergrendeling is opgelost door verbeterd statusbeheer.

CVE-2017-7070: Ed McKenzie

Toegevoegd op 10 augustus 2017

Toetsenborden

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan willekeurige code uitvoeren

Beschrijving: een bufferoverloop is verholpen door verbeterde controle van de grenzen.

CVE-2017-2458: Shashank (@cyberboyIndia)

Sleutelhanger

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een aanvaller die TLS-verbindingen kan onderscheppen, kan geheimen lezen die worden beveiligd door iCloud-sleutelhanger.

Beschrijving: Onder bepaalde omstandigheden kan iCloud-sleutelhanger de authenticiteit van OTR-pakketten niet valideren. Dit probleem is verholpen door een verbeterde validatie.

CVE-2017-2448: Alex Radocea van Longterm Security, Inc.

Bijgewerkt op 30 maart 2017

libarchive

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een lokale aanvaller kan de bestandssysteembevoegdheden voor willekeurige mappen wijzigen

Beschrijving: Er was een validatieprobleem bij de verwerking van symlinks. Dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2017-2390: Omer Medan van enSilo Ltd

libc++abi

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het herstellen van een kwaadwillig C++-programma kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2441

LibreSSL

Beschikbaar voor: macOS Sierra 10.12.3 en OS X El Capitan v10.11.6

Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie vrijgeven

Beschrijving: een timingzijkanaal stond een aanvaller toe sleutels op te halen. Dit probleem is verholpen door de introductie van constante tijdsberekeningen.

CVE-2016-7056: Cesar Pereida García en Billy Brumley (Tampere University of Technology)

libxslt

Beschikbaar voor: OS X El Capitan v10.11.6

Impact: meerdere kwetsbaarheden in libxslt

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2477

Toegevoegd op 30 maart 2017

libxslt

Beschikbaar voor: macOS Sierra 10.12.3, El Capitan v10.11.6 en OS X Yosemite v10.10.5

Impact: meerdere kwetsbaarheden in libxslt

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-5029: Holger Fuhrmannek

Toegevoegd op 28 maart 2017

MCX Client

Beschikbaar voor: macOS Sierra 10.12.3

Impact: door het verwijderen van een configuratieprofiel met meerdere payloads wordt Active Directory-certificaatvertrouwen mogelijk niet verwijderd

Beschrijving: er was een probleem met het verwijderen van het profiel. Dit probleem is verholpen door een verbeterde opschoning.

CVE-2017-2402: een anonieme onderzoeker

Menu's

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan het procesgeheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2422: @cocoahuke

OpenSSH

Beschikbaar voor: macOS Sierra 10.12.3

Impact: meerdere problemen in OpenSSH

Beschrijving: er waren meerdere problemen in versies van OpenSSH die lager zijn dan 7.4. Deze zijn verholpen door OpenSSH bij te werken naar versie 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie vrijgeven

Beschrijving: een probleem met timingzijkanaal is opgelost door constante tijdsberekeningen te gebruiken.

CVE-2016-7056: Cesar Pereida García en Billy Brumley (Tampere University of Technology)

Afdrukken

Beschikbaar voor: macOS Sierra 10.12.3

Impact: als op een schadelijke IPP(S)-koppeling wordt geklikt, kan dit leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met onbeheerde indelingen van tekenreeksen is opgelost door verbeterde invoervalidatie.

CVE-2017-2403: beist van GrayHash

python

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van kwaadwillig vervaardigde zip-archieven met Python kan leiden tot het uitvoeren van willekeurige code

Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van zip-archieven. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2016-5636

QuickTime

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het bekijken van een kwaadwillig vervaardigd mediabestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: er was een probleem met geheugenbeschadiging in QuickTime. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2413: Simon Huang(@HuangShaomang) en pjf van IceSword Lab van Qihoo 360

Beveiliging

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het valideren van lege handtekeningen met SecKeyRawVerify() kan onverwacht lukken

Beschrijving: Er was een validatieprobleem met cryptografische API-aanroepen. Dit probleem is opgelost door een verbeterde parametervalidatie.

CVE-2017-2423: een anonieme onderzoeker

Beveiliging

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een programma kan willekeurige code uitvoeren met rootbevoegdheden

Beschrijving: een bufferoverloop is verholpen door verbeterde controle van de grenzen.

CVE-2017-2451: Alex Radocea van Longterm Security, Inc.

Beveiliging

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigd x509-certificaat kan leiden tot het uitvoeren van willekeurige code

Beschrijving: Er was een probleem met geheugenbeschadiging bij het parseren van certificaten. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-2485: Aleksandar Nikolic van Cisco Talos

SecurityFoundation

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigd certificaat kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een double free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2425: kimyok van Tencent Security Platform Department

sudo

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een gebruiker in een groep genaamd 'admin' op een adreslijstserver van het netwerk kan onverwacht bevoegdheden escaleren met behulp van sudo

Beschrijving: er was een probleem met toegang in sudo. Dit probleem is verholpen door een verbeterde controle van de bevoegdheden.

CVE-2017-2381

System Integrity Protection

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een schadelijk programma kan beveiligde schijflocaties wijzigen

Beschrijving: er was een validatieprobleem bij de verwerking van systeeminstallatie. Dit probleem is opgelost door verbeterde verwerking en validatie tijdens het installatieproces.

CVE-2017-6974: Patrick Wardle van Synack

tcpdump

Beschikbaar voor: macOS Sierra 10.12.3

Impact: een aanvaller met een geprivilegieerde netwerkpositie kan mogelijk willekeurige code uitvoeren met gebruikersassistentie

Beschrijving: er waren meerdere problemen in versies van tcpdump die lager zijn dan 4.9.0. Deze zijn verholpen door tcpdump bij te werken naar versie 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Beschikbaar voor: macOS Sierra 10.12.3

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het onverwacht beëindigen van het programma

Beschrijving: er was een probleem met lezen buiten het bereik in LibTIFF-versies lager dan 4.0.7. Dit probleem is verholpen door LibTIFF in AKCmds bij te werken naar versie 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

macOS Sierra 10.12.4, Beveiligingsupdate 2017-001 El Capitan en Beveiligingsupdate 2017-001 Yosemite bevatten de beveiligingsinhoud van Safari 10.1.

Aanvullende erkenning

XNU

Met dank aan Lufeng Li van Qihoo 360 Vulcan Team voor zijn hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: