Om sikkerhetsinnholdet i macOS Sierra 10.12.4, sikkerhetsoppdateringen 2017-001 El Capitan og sikkerhetsoppdateringen 2017-001 Yosemite

Dette dokumentet beskriver sikkerhetsinnholdet i macOS Sierra 10.12.4, sikkerhetsoppdateringen 2017-001 El Capitan og sikkerhetsoppdateringen 2017-001 Yosemite.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

macOS Sierra 10.12.4, sikkerhetsoppdateringen 2017-001 El Capitan og sikkerhetsoppdateringen 2017-001 Yosemite

Utgitt 27. mars 2017

apache

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: En ekstern angriper kan forårsake nekting av tjeneste

Beskrivelse: Det var flere problemer i Apache før 2.4.25. Disse ble løst ved å oppdatere Apache til versjon 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Oppføring oppdatert 28. mars 2017

apache_mod_php

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Der var flere problemer i PHP før 5.6.30

Beskrivelse: Der var flere problemer i PHP før 5.6.30. Disse ble løst ved å oppdatere PHP til versjon 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter

Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret minnehåndtering.

CVE-2017-2421: @cocoahuke

AppleRAID

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.

CVE-2017-2438: sss og Axis fra 360Nirvanteam

Lyd

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av en skadelig lydfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2430: en anonym forsker som arbeider med Trend Micros Zero Day Initiative

CVE-2017-2462: en anonym forsker som arbeider med Trend Micros Zero Day Initiative

Bluetooth

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa og Marko Laakso fra Synopsys Software Integrity Group

Bluetooth

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-2427: Axis og sss fra Qihoo 360 Nirvan Team

Bluetooth

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.

CVE-2017-2449: sss og Axis fra 360NirvanTeam

Carbon

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av en skadelig .dfont-fil kan føre til utføring av vilkårlig kode

Beskrivelse: Det var en bufferoverflyt i håndteringen av fontfiler. Problemet ble løst gjennom forbedret grensekontroll.

CVE-2017-2379: riusksk (泉哥) fra Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: En uendelig rekursjon ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-2417: riusksk (泉哥) fra Tencent Security Platform Department

CoreMedia

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av en skadelig .mov-fil kan føre til utføring av vilkårlig kode

Beskrivelse: Der var et problem med skadet minne i håndteringen av .mov-filer. Problemet ble løst gjennom forbedret minnehåndtering.

CVE-2017-2431: kimyok fra Tencent Security Platform Department

CoreText

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av en skadelig tekstfil kan føre til tjenestenekt for et program

Beskrivelse: Et problem med tømming av ressurser ble løst gjennom forbedret validering av inndata.

CVE-2017-2461: Isaac Archambault fra IDAoADI, en anonym forsker

curl

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Skadelig brukerinndata til libculr API kan føre til utføring av vilkårlig kode

Beskrivelse: Bufferoverflyt ble løst gjennom forbedret grensekontroll.

CVE-2016-9586: Daniel Stenberg fra Mozilla

EFI

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: En skadelig Thunderbolt-adapter kan oppdage FileVault 2-krypterte passord

Beskrivelse: Der var et problem i behandlingen av DMA. Dette problemet ble løst ved å aktivere VT-d i EFI.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Rettigheter kan bli tilbakestilt uventet når koblinger sendes

Beskrivelse: Der var et problem med rettigheter i håndteringen av Send kobling-funksjonen i iCloud-deling. Dette problemet ble løst gjennom forbedret rettighetskontroll.

CVE-2017-2429: Raymond Wong DO fra Arnot Ogden Medical Center

Oppføring oppdatert 23.august 2017

FontParser

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2487: riusksk (泉哥) fra Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) fra Tencent Security Platform Department

FontParser

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Parsing av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2407: riusksk (泉哥) fra Tencent Security Platform Department

FontParser

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2017-2439: John Villamil, Doyensec

FontParser

Tilgjengelig for: OS X El Capitan v10.11.6 og OS X Yosemite v10.10.5

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode 

Beskrivelse: Det var en bufferoverflyt i håndteringen av fontfiler. Problemet ble løst gjennom forbedret grensekontroll.

CVE-2016-4688: Simon Huang fra Alipay company

Oppføring lagt til 11. april 2017

HTTPProtocol

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: En skadelig HTTP/2-tjener kan forårsake udefinert atferd

Beskrivelse: Det var flere problemer i nghttp2 før 1.17.0. Disse ble løst ved å oppdatere nghttp2 til versjon 1.17.0.

CVE-2017-2428

Oppføring oppdatert 28. mars 2017

Hypervisor

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Programmer som bruker hypervisorrammeverket kan uventet lekke CR8-kontrollregisteret mellom gjest og vert

Beskrivelse: Et problem med informasjonslekkasje ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-2418: Alex Fishman og Izik Eidus fra Veertu Inc.

iBooks

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Analyse av en skadelig iBooks-fil kan føre til avsløring av lokale filer

Beskrivelse: Det var informasjonslekkasje i håndteringen av filnettadresser. Problemet ble løst gjennom forbedret håndtering av nettadresser.

CVE-2017-2426: Craig Arendt fra Stratum Security, Jun Kokatsu (@shhnjk)

ImageIO

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) fra KeenLab, Tencent

ImageIO

Tilgjengelig for: macOS Sierra 10.12.3, OS X El Capitan v10.11.6 og OS X Yosemite v10.10.5

Virkning: Visning av en skadelig JPEG-fil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2432: en anonym forsker som arbeider med Trend Micros Zero Day Initiative

ImageIO

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av en skadelig fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2467

ImageIO

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av et skadelig bilde kan føre til uventet avslutning av et program

Beskrivelse: Det var et problem med lesing utenfor området i LibTIFF-versjoner før 4.0.7. Dette ble løst ved å oppdatere LibTIFF i ImageIO til versjon 4.0.7.

CVE-2016-3619

Intel Graphics-driver

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter 

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2443: Ian Beer fra Google Project Zero

Intel Graphics-driver

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan oppgi kjerneminne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-2489: Ian Beer fra Google Project Zero

Oppføring lagt til 31. mars 2017

IOATAFamily

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-2408: Yangkang (@dnpushme) fra Qihoo360 Qex Team

IOFireWireAVC

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2436: Orr A, IBM Security

IOFireWireAVC

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: En lokal angriper kan utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) fra Blue Frost Security

IOFireWireFamily

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan forårsake tjenestenekt

Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering av inndata.

CVE-2017-2388: Brandon Azad, en anonym forsker

Kjerne

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2398: Lufeng Li fra Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li fra Qihoo 360 Vulcan Team

Kjerne

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Der var et problem med validering av inndata i kjernen. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2017-2410: Apple

Kjerne

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.

CVE-2017-2440: en anonym forsker

Kjerne

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et skadelig program kan utføre vilkårlig kode med rotrettigheter

Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret minnehåndtering.

CVE-2017-2456: lokihardt fra Google Project Zero

Kjerne

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.

CVE-2017-2472: Ian Beer fra Google Project Zero

Kjerne

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-2473: Ian Beer fra Google Project Zero

Kjerne

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med forskyvning på én ble løst gjennom forbedret grensekontroll.

CVE-2017-2474: Ian Beer fra Google Project Zero

Kjerne

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter

Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.

CVE-2017-2478: Ian Beer fra Google Project Zero

Kjerne

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2017-2482: Ian Beer fra Google Project Zero

CVE-2017-2483: Ian Beer fra Google Project Zero

Kjerne

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan utføre vilkårlig kode med utvidede rettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-2490: Ian Beer fra Google Project Zero, Storbritannias National Cyber Security Centre (NCSC)

Oppføring lagt til 31. mars 2017

Kjerne

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Skjermen kan uventet forbli ulåst når lokket lukkes

Beskrivelse: Et problem med utilstrekkelig låsing ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-7070: Ed McKenzie

Oppføring lagt til 10. august 2017

Tastaturer

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan utføre vilkårlig kode

Beskrivelse: Bufferoverflyt ble løst gjennom forbedret grensekontroll.

CVE-2017-2458: Shashank (@cyberboyIndia)

Nøkkelring

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: En angriper som er i stand til å fange opp TLS-tilkoblinger, kan lese hemmeligheter som beskyttes av iCloud-nøkkelringen.

Beskrivelse: Under visse forhold kunne ikke iCloud-nøkkelringen validere ektheten av OTR-pakker. Problemet ble løst gjennom forbedret validering.

CVE-2017-2448: Alex Radocea fra Longterm Security, Inc.

Oppføring oppdatert 30. mars 2017

libarchive

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: En lokal angriper kan endre filsystemrettigheter for vilkårlige kataloger

Beskrivelse: Det var et valideringsproblem i håndteringen av symlinks. Problemet ble løst gjennom forbedret validering av symlinks.

CVE-2017-2390: Omer Medan fra enSilo Ltd

libc++abi

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Utpakking av et skadelig C++-program kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.

CVE-2017-2441

LibreSSL

Tilgjengelig for: macOS Sierra 10.12.3 og OS X El Capitan v10.11.6

Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon

Beskrivelse: En tidtakende sidekanal lot en angriper gjenopprette nøkler. Problemet ble løst ved å introdusere konstant beregningstid.

CVE-2016-7056: Cesar Pereida García og Billy Brumley (Tampere University of Technology)

libxslt

Tilgjengelig for: OS X El Capitan v10.11.6

Virkning: Flere sårbarheter i libxslt

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-2477

Oppføring lagt til 30. mars 2017

libxslt

Tilgjengelig for: macOS Sierra 10.12.3, OS X El Capitan v10.11.6 og Yosemite v10.10.5

Virkning: Flere sårbarheter i libxslt

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-5029: Holger Fuhrmannek

Oppføring lagt til 28. mars 2017

MCX Client

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Fjerning av en konfigurasjonsprofil med flere entiteter fjerner ikke nødvendigvis tillit til Active Directory-sertifikat

Beskrivelse: Der var et problem med profilavinstallering. Problemet ble løst gjennom forbedret opprydding.

CVE-2017-2402: en anonym forsker

Menus

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan avsløre prosessminne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-2422: @cocoahuke

OpenSSH

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Flere problemer i OpenSSH

Beskrivelse: Der var flere problemer i OpenSSH før versjon 7.4. Disse ble løst ved å oppdatere OpenSSH til versjon 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon

Beskrivelse: Et problem med en tidtakende sidekanal ble løst ved å bruke konstant beregningstid.

CVE-2016-7056: Cesar Pereida García og Billy Brumley (Tampere University of Technology)

Utskrift

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Klikking på en skadelig IPP(S)-kobling kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med ukontrollert formatstreng ble løst gjennom forbedret validering av inndata.

CVE-2017-2403: beist fra GrayHash

python

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av skadelige zip-arkiver med Python kan føre til utføring av vilkårlig kode

Beskrivelse: Der var et problem med skadet minne i håndteringen av zip-arkiver. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2016-5636

QuickTime

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Visning av skadelige mediafiler kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Der var et problem med skadet minne i QuickTime. Problemet ble løst gjennom forbedret minnehåndtering.

CVE-2017-2413: Simon Huang(@HuangShaomang) og pjf fra IceSword Lab of Qihoo 360

Sikkerhet

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Validering av tomme signaturer med SecKeyRawVerify() kan uventet lykkes

Beskrivelse: Det var et valideringsproblem med kryptografiske API-kall. Problemet ble løst gjennom forbedret parametervalidering.

CVE-2017-2423: en anonym forsker

Sikkerhet

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et program kan utføre vilkårlig kode med rotrettigheter

Beskrivelse: Bufferoverflyt ble løst gjennom forbedret grensekontroll.

CVE-2017-2451: Alex Radocea fra Longterm Security, Inc.

Sikkerhet

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av et skadelig x509-sertifikat kan føre til utføring av vilkårlig kode

Beskrivelse: Det var et problem med skadet minne i parsingen av sertifikater. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2017-2485: Aleksandar Nikolic fra Cisco Talos

SecurityFoundation

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av et skadelig sertifikat kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med dobbel frigivelse ble løst gjennom forbedret minnehåndtering.

CVE-2017-2425: kimyok fra Tencent Security Platform Department

sudo

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: En bruker i en gruppe som heter «admin» på en nettverkskatalogserver kan uventet øke privilegier ved hjelp av sudo

Beskrivelse: Der var et problem med tilgang i sudo. Problemet ble løst gjennom forbedret kontroll av tillatelser.

CVE-2017-2381

Beskyttelse av systemintegritet

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Et skadelig program kan endre beskyttede diskplasseringer

Beskrivelse: Der var et problem med validering i håndteringen av systeminstallasjoner. Dette problemet ble løst gjennom forbedret håndtering i installasjonsprosessen.

CVE-2017-6974: Patrick Wardle fra Synack

tcpdump

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: En angriper i en privilegert nettverksposisjon kan utføre vilkårlig kode med brukerassistanse

Beskrivelse: Der var flere problemer i tcpdump før 4.9.0. Disse ble løst ved å oppdatere tcpdump til versjon 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Tilgjengelig for: macOS Sierra 10.12.3

Virkning: Behandling av et skadelig bilde kan føre til uventet avslutning av et program

Beskrivelse: Der var en lesing utenfor området i LibTIFF-versjoner før 4.0.7. Dette ble løst ved å oppdatere LibTIFF i AKCmds til versjon 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

macOS Sierra 10.12.4, sikkerhetsoppdateringen 2017-001 El Capitan og sikkerhetsoppdateringen 2017-001 Yosemite inkluderer sikkerhetsinnholdet til Safari 10.1.

Ytterligere anerkjennelse

XNU

Vi vil gjerne takke Lufeng Li fra Qihoo 360 Vulcan Team for deres bistand.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: