Om sikkerhetsinnholdet i macOS Sierra 10.12.6, sikkerhetsoppdateringen 2017-003 El Capitan og sikkerhetsoppdateringen 2017-003 Yosemite.

Dette dokumentet beskriver sikkerhetsinnholdet i macOS Sierra 10.12.6, sikkerhetsoppdateringen 2017-003 El Capitan og sikkerhetsoppdateringen 2017-003 Yosemite.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

macOS Sierra 10.12.6, sikkerhetsoppdateringen 2017-003 El Capitan og sikkerhetsoppdateringen 2017-003 Yosemite

Utgitt 19. juli 2017

afclip

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: Behandling av en skadelig lydfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-7016: riusksk (泉哥) fra Tencent Security Platform Department

afclip

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: Behandling av en skadelig lydfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7033: riusksk (泉哥) fra Tencent Security Platform Department

AppleGraphicsPowerManagement

Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7021: sss og Axis fra Qihoo 360 Nirvan Team

Lyd

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7015: riusksk (泉哥) fra Tencent Security Platform Department

Bluetooth

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7050: Min (Spark) Zheng fra Alibaba Inc.

CVE-2017-7051: Alex Plaskett fra MWR InfoSecurity

Bluetooth

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7054: Alex Plaskett fra MWR InfoSecurity og Lufeng Li fra Qihoo 360 Vulcan Team

Kontakter

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: Behandling av en skadelig filmfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret grensekontroll.

CVE-2017-7008: Yangkang (@dnpushme) fra Qihoo 360 Qex-teamet

curl

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: Flere problemer i curl

Beskrivelse: Flere problemer ble løst ved oppdatering til versjon 7.54.0.

CVE-2016-9586

CVE-2016-9594

CVE-2017-2629

CVE-2017-7468

Foundation

Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-7031: HappilyCoded (ant4g0nist og r3dsm0k3)

Font Importer

Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2017-13850: John Villamil, Doyensec

Oppføring lagt til 31. oktober 2017

Intel Graphics-driver

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7014: Lee fra Minionz, Axis og sss fra Qihoo 360 Nirvan Team

CVE-2017-7017: chenqin fra Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7035: shrek_wzw fra Qihoo 360 Nirvan Team

CVE-2017-7044: shrek_wzw fra Qihoo 360 Nirvan Team

Intel Graphics-driver

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-7036: shrek_wzw fra Qihoo 360 Nirvan Team

CVE-2017-7045: shrek_wzw fra Qihoo 360 Nirvan Team

IOUSBFamily

Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7009: shrek_wzw fra Qihoo 360 Nirvan-teamet

Kjerne

Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7022: en anonym forsker

CVE-2017-7024: en anonym forsker

Kjerne

Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7023: en anonym forsker

Kjerne

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7025: en anonym forsker

CVE-2017-7027: en anonym forsker

CVE-2017-7069: Proteas fra Qihoo 360 Nirvan-teamet

Kjerne

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7026: en anonym forsker

Kjerne

Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-7028: en anonym forsker

CVE-2017-7029: en anonym forsker

Kjerne

Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2017-7067: shrek_wzw fra Qihoo 360 Nirvan Team

kext-verktøy

Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7032: Axis og sss fra Qihoo 360 Nirvan Team

libarchive

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres

Beskrivelse: Bufferoverflyt ble løst gjennom forbedret grensekontroll.

CVE-2017-7068: funnet av OSS-Fuzz

libxml2

Tilgjengelig for: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 og OS X Yosemite 10.10.5

Virkning: Parsing av et skadelig XML-dokument kan føre til at brukerinformasjon avsløres

Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grensekontroll.

CVE-2017-7010: Apple

CVE-2017-7013: funnet av OSS-Fuzz

libxpc

Tilgjengelig for: macOS Sierra 10.12.5 og OS X El Capitan 10.11.6

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7047: Ian Beer fra Google Project Zero

Wi-Fi

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: En angriper innen rekkevidde kan utføre vilkårlig kode på Wi-Fi-brikken

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-7065: Gal Beniamini fra Google Project Zero

Oppføring lagt til 25. september 2017

Wi-Fi

Tilgjengelig for: macOS Sierra 10.12.5

Virkning: En angriper innen rekkevidde kan utføre vilkårlig kode på Wi-Fi-brikken

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2017-9417: Nitay Artenstein fra Exodus Intelligence

macOS Sierra 10.12.6, sikkerhetsoppdatering 2017-003 El Capitan, og sikkerhetsoppdatering 2017-003 Yosemite inneholder sikkerhetsinnhold for Safari 10.1.2.

Ytterligere anerkjennelse

curl

Vi vil gjerne takke Dave Murdock fra Tangerine Element for hjelpen.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: