Om sikkerhetsinnholdet i macOS Sierra 10.12.6, sikkerhetsoppdateringen 2017-003 El Capitan og sikkerhetsoppdateringen 2017-003 Yosemite.
Dette dokumentet beskriver sikkerhetsinnholdet i macOS Sierra 10.12.6, sikkerhetsoppdateringen 2017-003 El Capitan og sikkerhetsoppdateringen 2017-003 Yosemite.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
macOS Sierra 10.12.6, sikkerhetsoppdateringen 2017-003 El Capitan og sikkerhetsoppdateringen 2017-003 Yosemite
afclip
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: Behandling av en skadelig lydfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-7016: riusksk (泉哥) fra Tencent Security Platform Department
afclip
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: Behandling av en skadelig lydfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7033: riusksk (泉哥) fra Tencent Security Platform Department
AppleGraphicsPowerManagement
Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7021: sss og Axis fra Qihoo 360 Nirvan Team
Lyd
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7015: riusksk (泉哥) fra Tencent Security Platform Department
Bluetooth
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7050: Min (Spark) Zheng fra Alibaba Inc.
CVE-2017-7051: Alex Plaskett fra MWR InfoSecurity
Bluetooth
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7054: Alex Plaskett fra MWR InfoSecurity og Lufeng Li fra Qihoo 360 Vulcan Team
Kontakter
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: Behandling av en skadelig filmfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret grensekontroll.
CVE-2017-7008: Yangkang (@dnpushme) fra Qihoo 360 Qex-teamet
curl
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: Flere problemer i curl
Beskrivelse: Flere problemer ble løst ved oppdatering til versjon 7.54.0.
CVE-2016-9586
CVE-2016-9594
CVE-2017-2629
CVE-2017-7468
Foundation
Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-7031: HappilyCoded (ant4g0nist og r3dsm0k3)
Font Importer
Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-13850: John Villamil, Doyensec
Intel Graphics-driver
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7014: Lee fra Minionz, Axis og sss fra Qihoo 360 Nirvan Team
CVE-2017-7017: chenqin fra Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7035: shrek_wzw fra Qihoo 360 Nirvan Team
CVE-2017-7044: shrek_wzw fra Qihoo 360 Nirvan Team
Intel Graphics-driver
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2017-7036: shrek_wzw fra Qihoo 360 Nirvan Team
CVE-2017-7045: shrek_wzw fra Qihoo 360 Nirvan Team
IOUSBFamily
Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7009: shrek_wzw fra Qihoo 360 Nirvan-teamet
Kjerne
Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7022: en anonym forsker
CVE-2017-7024: en anonym forsker
Kjerne
Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7023: en anonym forsker
Kjerne
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7025: en anonym forsker
CVE-2017-7027: en anonym forsker
CVE-2017-7069: Proteas fra Qihoo 360 Nirvan-teamet
Kjerne
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7026: en anonym forsker
Kjerne
Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2017-7028: en anonym forsker
CVE-2017-7029: en anonym forsker
Kjerne
Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2017-7067: shrek_wzw fra Qihoo 360 Nirvan Team
kext-verktøy
Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7032: Axis og sss fra Qihoo 360 Nirvan Team
libarchive
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres
Beskrivelse: Bufferoverflyt ble løst gjennom forbedret grensekontroll.
CVE-2017-7068: funnet av OSS-Fuzz
libxml2
Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5
Virkning: Parsing av et skadelig XML-dokument kan føre til at brukerinformasjon avsløres
Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grensekontroll.
CVE-2017-7010: Apple
CVE-2017-7013: funnet av OSS-Fuzz
libxpc
Tilgjengelig for: macOS Sierra 10.12.5 og OS X El Capitan 10.11.6
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7047: Ian Beer fra Google Project Zero
Wi-Fi
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: En angriper innen rekkevidde kan utføre vilkårlig kode på Wi-Fi-brikken
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-7065: Gal Beniamini fra Google Project Zero
Wi-Fi
Tilgjengelig for: macOS Sierra 10.12.5
Virkning: En angriper innen rekkevidde kan utføre vilkårlig kode på Wi-Fi-brikken
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-9417: Nitay Artenstein fra Exodus Intelligence
Ytterligere anerkjennelse
curl
Vi vil gjerne takke Dave Murdock fra Tangerine Element for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.