Zawartość związana z zabezpieczeniami w systemie macOS Sierra 10.12.4, uaktualnieniu zabezpieczeń 2017-001 El Capitan i uaktualnieniu zabezpieczeń 2017-001 Yosemite

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie macOS Sierra 10.12.4, uaktualnieniu zabezpieczeń 2017-001 systemu El Capitan i uaktualnieniu zabezpieczeń 2017-001 systemu Yosemite.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

macOS Sierra 10.12.4, uaktualnienie zabezpieczeń 2017-001 El Capitan i uaktualnienie zabezpieczeń 2017-001 Yosemite

apache

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: w oprogramowaniu Apache w wersji starszej niż 2.4.25 występowały liczne błędy. Te błędy naprawiono przez uaktualnienie oprogramowaniu Apache do wersji 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

apache_mod_php

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: w oprogramowaniu PHP w wersji starszej niż 5.6.30 występowały liczne błędy.

Opis: w oprogramowaniu PHP w wersji starszej niż 5.6.30 występowały liczne błędy. Te błędy naprawiono przez uaktualnienie oprogramowania PHP do wersji 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto sytuację wyścigu przez poprawienie obsługi pamięci.

CVE-2017-2421: @cocoahuke

AppleRAID

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2438: sss i Axis z 360Nirvanteam

Dźwięk

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2430: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2017-2462: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro

Bluetooth

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa i Marko Laakso z Synopsys Software Integrity Group

Bluetooth

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2427: Axis i sss z Qihoo 360 Nirvan Team

Bluetooth

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2449: sss i Axis z 360NirvanTeam

Carbon

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki DFILE może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi plików czcionek występowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-2379: riusksk (泉哥) z Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd nieskończonej rekurencji przez ulepszenie mechanizmu zarządzania stanami.

CVE-2017-2417: riusksk (泉哥) z Tencent Security Platform Department

CoreMedia

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanego pliku MOV może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi plików MOV występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.

CVE-2017-2431: kimyok z Tencent Security Platform Department

CoreText

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanego tekstu może doprowadzić do ataku typu „odmowa usługi” ze strony aplikacji.

Opis: naprawiono błąd powodujący wyczerpanie pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2461: Isaac Archambault z IDAoADI, anonimowy badacz

curl

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: złośliwie spreparowane dane wejściowe użytkownika dla interfejsu API biblioteki libcurl mogą spowodować wykonanie dowolnego kodu.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-9586: Daniel Stenberg z firmy Mozilla

EFI

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: złośliwie spreparowana przejściówka Thunderbolt może być w stanie odzyskać hasło szyfrowania funkcji FileVault 2.

Opis: w procedurze obsługi trybu DMA występował błąd. Ten błąd naprawiono przez włączenie funkcji VT-d w interfejsie EFI.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: uprawnienia mogły zostać nieoczekiwanie wyzerowane podczas wysyłania łączy.

Opis: w procedurze obsługi funkcji Wyślij łącze usługi Udostępnianie iCloud występował problem związany z uprawnieniami. Ten błąd naprawiono przez poprawienie procedury kontroli uprawnień.

CVE-2017-2429: Raymond Wong DO z Arnot Ogden Medical Center

FontParser

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2487: riusksk (泉哥) z Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) z Tencent Security Platform Department

FontParser

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: analizowanie złośliwie spreparowanego pliku czcionki może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2407: riusksk (泉哥) z Tencent Security Platform Department

FontParser

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2439: John Villamil, Doyensec

FontParser

Dostępne dla: systemów OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi plików czcionek występowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-4688: Simon Huang z firmy Alipay

Protokół HTTP

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: złośliwy serwer HTTP/2 może być w stanie spowodować niezdefiniowane zachowanie.

Opis: w bibliotece nghttp2 w wersji starszej niż 1.17.0 występowały liczne błędy. Te błędy naprawiono przez uaktualnienie biblioteki nghttp2 do wersji 1.17.0.

CVE-2017-2428

Hypervisor

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacje korzystające ze szkieletu Hypervisor mogły nieoczekiwanie spowodować ujawnienie rejestracji kontrolki CR8 między gościem a hostem.

Opis: naprawiono błąd związany z ujawnieniem informacji przez poprawienie zarządzania stanem.

CVE-2017-2418: Alex Fishman i Izik Eidus z Veertu Inc.

iBooks

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: analizowanie złośliwie spreparowanego pliku iBooks może doprowadzić do ujawnienia lokalnego pliku.

Opis: w procedurze obsługi adresów URL plików występował błąd ujawniania informacji. Ten błąd naprawiono przez poprawienie procedury obsługi adresów URL.

CVE-2017-2426: Craig Arendt z Stratum Security, Jun Kokatsu (@shhnjk)

ImageIO

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) z KeenLab, Tencent

ImageIO

Dostępne dla: systemów macOS Sierra 10.12.3, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku JPEG może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2432: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro.

ImageIO

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2467

ImageIO

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

Opis: w bibliotece LibTIFF w wersjach starszych niż 4.0.7 występował odczyt spoza zakresu. Ten problem rozwiązano, uaktualniając bibliotekę LibTIFF w elemencie ImageIO do wersji 4.0.7.

CVE-2016-3619

Sterownik graficzny Intel

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2443: Ian Beer z Google Project Zero

Sterownik graficzny Intel

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.

Opis: usunięto błąd weryfikacji przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-2489: Ian Beer z Google Project Zero

IOATAFamily

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2408: Yangkang (@dnpushme) z Qihoo360 Qex Team

IOFireWireAVC

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2436: Orr A, IBM Security

IOFireWireAVC

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: lokalna osoba atakująca może wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) z firmy Blue Frost Security

IOFireWireFamily

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2388: Brandon Azad, anonimowy badacz

Jądro

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2398: Lufeng Li z grupy Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li z grupy Qihoo 360 Vulcan Team

Jądro

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: w jądrze występował błąd walidacji danych wejściowych. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2410: Apple

Jądro

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2440: anonimowy badacz

Jądro

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.

Opis: usunięto sytuację wyścigu przez poprawienie obsługi pamięci.

CVE-2017-2456: lokihardt z Google Project Zero

Jądro

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2472: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2473: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd przesunięcia o jeden przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-2474: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2017-2478: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2017-2482: Ian Beer z Google Project Zero

CVE-2017-2483: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z podwyższonymi uprawnieniami.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2490: Ian Beer z Google Project Zero, brytyjska organizacja National Cyber Security Centre (NCSC)

Jądro

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: ekran może nieoczekiwanie pozostawać odblokowany po zamknięciu pokrywy.

Opis: naprawiono błąd dotyczący niewystarczająco skutecznego blokowania przez poprawienie mechanizmu zarządzania stanem.

CVE-2017-7070: Ed McKenzie

Klawiatury

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-2458: Shashank (@cyberboyIndia)

Pęk kluczy

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: osoba atakująca potrafiąca przechwytywać połączenia TLS może być w stanie odczytywać tajne rzeczy chronione za pomocą pęku kluczy iCloud.

Opis: w pewnych okolicznościach pęk kluczy iCloud nie mógł sprawdzić autentyczności pakietów OTR. Ten błąd naprawiono przez poprawienie procedury walidacji.

CVE-2017-2448: Alex Radocea z Longterm Security, Inc.

libarchive

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: lokalna osoba atakująca może być w stanie zmienić uprawnienia do systemu plików dowolnych katalogów.

Opis: w procedurze obsługi łączy symbolicznych występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji łączy symbolicznych.

CVE-2017-2390: Omer Medan z enSilo Ltd

libc++abi

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przeprowadzenie filtrowania złośliwej aplikacji w języku C++ może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2441

LibreSSL

Dostępne dla: systemów macOS Sierra 10.12.3 i OS X El Capitan 10.11.6

Zagrożenie: użytkownik lokalny może ujawnić poufne informacje użytkownika.

Opis: przerwa czasowa pozwoliła osobie atakującej odzyskać klucze. Ten błąd naprawiono przez wprowadzenie ciągłego obliczania czasu.

CVE-2016-7056: Cesar Pereida García i Billy Brumley (Tampere University of Technology)

libxslt

Dostępne dla: systemu OS X El Capitan 10.11.6

Zagrożenie: wykryto szereg luk w zabezpieczeniach biblioteki libxslt.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2477

libxslt

Dostępne dla: systemów macOS Sierra 10.12.3, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: wykryto szereg luk w zabezpieczeniach biblioteki libxslt.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-5029: Holger Fuhrmannek

Klient MCX

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: usunięcie profilu konfiguracji z wieloma pakietami danych nie musi spowodować usunięcia zaufanego certyfikatu Active Directory.

Opis: w procedurze odinstalowywania profilu występował błąd. Ten błąd naprawiono przez ulepszenie mechanizmu czyszczenia.

CVE-2017-2402: anonimowy badacz

Menu

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie ujawnić pamięć procesową.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2422: @cocoahuke

OpenSSH

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: liczne błędy w protokole OpenSSH

Opis: w protokole OpenSSH w wersji starszej niż 7.4 występowały liczne błędy. Te błędy naprawiono przez uaktualnienie protokołu OpenSSH do wersji 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: użytkownik lokalny może ujawnić poufne informacje użytkownika.

Opis: naprawiono błąd dotyczący przerwy czasowej przez zastosowanie ciągłego obliczania czasu.

CVE-2016-7056: Cesar Pereida García i Billy Brumley (Tampere University of Technology)

Drukowanie

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: kliknięcie złośliwego łącza IPP(S) może spowodować wykonanie dowolnego kodu.

Opis: naprawiono błąd dotyczący niekontrolowanych łańcuchów formatu przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2403: beist z organizacji GrayHash

python

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanych archiwów ZIP przy użyciu programu Python może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi archiwów ZIP występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-5636

QuickTime

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku multimedialnego może spowodować nieoczekiwane zamknięcie aplikacji lub wykonanie dowolnego kodu.

Opis: w programie QuickTime występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

CVE-2017-2413: Simon Huang(@HuangShaomang) i pjf z IceSword Lab firmy Qihoo 360

Zabezpieczenia

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: walidacja pustych podpisów za pomocą funkcji SecKeyRawVerify() może nieoczekiwanie zakończyć się powodzeniem.

Opis: w przypadku kryptograficznych odwołań do interfejsów API występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji parametrów.

CVE-2017-2423: anonimowy badacz

Zabezpieczenia

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-2451: Alex Radocea z Longterm Security, Inc.

Zabezpieczenia

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu x509 może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze analizowania certyfikatów występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2485: Aleksandar Nikolic z Cisco Talos

SecurityFoundation

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu może doprowadzić do wykonania dowolnego kodu

Opis: naprawiono błąd dwukrotnego zwolnienia pamięci przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2425: kimyok z Tencent Security Platform Department

sudo

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: użytkownik w grupie o nazwie „admin” na sieciowym serwerze katalogowym może spowodować nieoczekiwane podwyższenie poziomu uprawnień przy użyciu poleceń sudo.

Opis: w programie sudo występował błąd dostępu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania uprawnień.

CVE-2017-2381

Ochrona integralności systemu

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie zmodyfikować chronione lokalizacje dyskowe.

Opis: w procedurze instalacji systemu występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedur obsługi i walidacji podczas przeprowadzania procesu instalacji.

CVE-2017-6974: Patrick Wardle z Synack

tcpdump

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod z pomocą użytkownika.

Opis: w programie tcpdump w wersji starszej niż 4.9.0 występowały liczne błędy. Te błędy naprawiono przez uaktualnienie programu tcpdump do wersji 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Dostępne dla: systemu macOS Sierra 10.12.3

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

Opis: w wersjach biblioteki LibTIFF starszych niż 4.0.7 występował błąd odczytu spoza zakresu. Ten błąd naprawiono przez uaktualnienie biblioteki LibTIFF w pakiecie AKCmds do wersji 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

Dodatkowe podziękowania

XNU

Chcielibyśmy podziękować za pomoc Lufeng Li z Qihoo 360 Vulcan Team.