Zawartość związana z zabezpieczeniami w systemie macOS Sierra 10.12.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Sierra 10.12.3.

Uaktualnienia zabezpieczeń firmy Apple

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z firmą Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach firmy Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

macOS Sierra 10.12.3

Serwer APNs

Dostępne dla: systemu macOS Sierra 10.12.2

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może śledzić działania użytkownika

Opis: certyfikat klienta był wysyłany jako zwykły tekst. Ten błąd naprawiono przez poprawienie procedury obsługi certyfikatów.

CVE-2017-2383: Matthias Wachs i Quirin Scheitle z Technical University Munich (TUM)

apache_mod_php

Dostępne dla: systemu macOS Sierra 10.12.2

Zagrożenie: liczne błędy w języku PHP.

Opis: naprawiono liczne błędy przez uaktualnienie języka PHP do wersji 5.6.28.

CVE-2016-8670

CVE-2016-9933

CVE-2016-9934

Bluetooth

Dostępne dla: systemu macOS Sierra 10.12.2

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2353: Ian Beer z Google Project Zero

Sterowniki graficzne

Dostępne dla: systemu macOS Sierra 10.12.2

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2358: Team Pangu i lokihardt na PwnFest 2016

Przeglądarka pomocy

Dostępne dla: systemu macOS Sierra 10.12.2

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wykonanie dowolnego kodu.

Opis: naprawiono błąd umożliwiający przeprowadzanie ataków metodą XSS (cross-site scripting) przez poprawienie procedury walidacji adresów URL.

CVE-2017-2361: lokihardt z Google Project Zero

IOAudioFamily

Dostępne dla: systemu macOS Sierra 10.12.2

Zagrożenie: aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: naprawiono błąd niezainicjowanej pamięci przez poprawienie procedur zarządzania pamięcią.

CVE-2017-2357: Team Pangu i lokihardt na PwnFest 2016

Jądro

Dostępne dla: systemu macOS Sierra 10.12.2

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2017-2370: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemu macOS Sierra 10.12.2

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2360: Ian Beer z Google Project Zero

libarchive

Dostępne dla: systemu macOS Sierra 10.12.2

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2016-8687: Agostino Sarubbo z Gentoo

Vim

Dostępne dla: systemu macOS Sierra 10.12.2

Zagrożenie: otwarcie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: we wtyczce modelines występował błąd walidacji danych wejściowych. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-1248: Florian Larysch