Over de beveiligingsinhoud van macOS High Sierra 10.13.2, Beveiligingsupdate 2017-002 Sierra en Beveiligingsupdate 2017-005 El Capitan

In dit document wordt de beveiligingsinhoud van macOS High Sierra 10.13.2, Beveiligingsupdate 2017-002 Sierra en Beveiligingsupdate 2017-005 El Capitan beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

macOS High Sierra 10.13.2, Beveiligingsupdate 2017-002 Sierra en Beveiligingsupdate 2017-005 El Capitan

Releasedatum 6 december 2017

apache

Beschikbaar voor: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: het verwerken van een kwaadwillig vervaardigde Apache-configuratierichtlijn kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar versie 2.4.28.

CVE-2017-9798

curl

Beschikbaar voor: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: kwaadaardige FTP-servers kunnen er mogelijk voor zorgen dat de klant buiten het geheugenbereik kan lezen

Beschrijving: een probleem met het lezen buiten het bereik trad op bij het parseren van FTP PWD-reacties. Dit probleem is verholpen door een verbeterde bounds checking.

CVE-2017-1000254: Max Dymond

Adreslijsthulpprogramma

Beschikbaar voor: macOS High Sierra 10.13 en macOS High Sierra 10.13.1

Niet van invloed op: macOS Sierra 10.12.6 en eerder 

Impact: een aanvaller kan mogelijk de identiteitscontrole voor een beheerder omzeilen zonder een beheerderswachtwoord op te geven

Beschrijving: er was een logische fout in de validatie van inloggegevens. Dit is verholpen door een verbeterde validatie van inloggegevens.

CVE-2017-13872

Intel Graphics Driver

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-13883: een anonieme onderzoeker

Intel Graphics Driver

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-13878: Ian Beer van Google Project Zero

Intel Graphics Driver

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met lezen buiten het bereik is verholpen door middel van een verbeterde controle van de grenzen.

CVE-2017-13875: Ian Beer van Google Project Zero

IOAcceleratorFamily

Beschikbaar voor: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-13844: gevonden door IMF, ontwikkeld door HyungSeok Han (daramg.gift) van SoftSec, KAIST (softsec.kaist.ac.kr)

IOKit

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: er was een probleem met de invoervalidatie in de kernel. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-13848: Alex Plaskett van MWR InfoSecurity

CVE-2017-13858: een anonieme onderzoeker

IOKit

Beschikbaar voor: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterd statusbeheer.

CVE-2017-13847: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-13862: Apple

Kernel

Beschikbaar voor: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.

CVE-2017-13833: Brandon Azad

Kernel

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-13876: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met verwarring van het type is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-13855: Jann Horn van Google Project Zero

Kernel

Beschikbaar voor: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-13867: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2017-13865: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn van Google Project Zero

Mail

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een S/MIME-gecodeerde e-mail kan onopzettelijk ongecodeerd verzonden worden als het S/MIME-certificaat van de ontvanger niet is geïnstalleerd.

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen met verbeterd statusbeheer.

CVE-2017-13871: een anonieme onderzoeker

Concepten in Mail

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan e-mails onderscheppen

Beschrijving: er was een coderingsprobleem met S/MIME-inloggegevens. Dit probleem is verholpen door extra controles en bediening van gebruikers.

CVE-2017-13860: Michael Weishaar van INNEO Solutions GmbH

OpenSSL

Beschikbaar voor: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: een programma kan beperkt geheugen lezen

Beschrijving: er was een probleem met het lezen buiten het bereik bij het parseren van X.509 IPAddressFamily. Dit probleem is verholpen door een verbeterde bounds checking.

CVE-2017-3735: gevonden door OSS-Fuzz

Server voor schermdeling

Beschikbaar voor macOS High Sierra 10.13.1, macOS Sierra 10.12.6

Impact: een gebruiker met toegang tot schermdeling kan toegang krijgen tot ieder bestand dat door de root

Beschrijving: er was een probleem met bevoegdheden bij de verwerking van schermdelingsessies. Dit probleem is verholpen door een verbeterde verwerking van gegevens.

CVE-2017-13826: Trevor Jacques van Toronto

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: