Zawartość związana z zabezpieczeniami w systemie macOS High Sierra 10.13.1, uaktualnieniu zabezpieczeń 2017-001 Sierra i uaktualnieniu zabezpieczeń 2017-004 El Capitan

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie macOS High Sierra 10.13.1, uaktualnieniu zabezpieczeń 2017-001 Sierra i uaktualnieniu zabezpieczeń 2017-004 El Capitan.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

System macOS High Sierra 10.13.1, uaktualnienie zabezpieczeń 2017-001 Sierra i uaktualnienie zabezpieczeń 2017-004 El Capitan

apache

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: liczne błędy w zabezpieczeniach serwera Apache

Opis: naprawiono liczne błędy przez uaktualnienie do wersji 2.4.27.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

APFS

Dostępne dla: systemu macOS High Sierra 10.13

Zagrożenie: złośliwie spreparowana przejściówka Thunderbolt może być w stanie odzyskać niezaszyfrowane dane systemu plików APFS

Opis: w procedurze obsługi trybu DMA występował błąd. Ten problem rozwiązano przez ograniczenie czasu, w którym bufory odszyfrowywania funkcji FileVault są odwzorowane na okres działania wejścia/wyjścia.

CVE-2017-13786: Dmytro Oleksiuk

APFS

Dostępne dla: systemu macOS High Sierra 10.13

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13800: Sergej Schumilo z Ruhr-University Bochum

AppleScript

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: dekompilacja skryptu AppleScript za pomocą narzędzia osadecompile może doprowadzić do wykonania dowolnego kodu

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13809: bat0s

ATS

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13820: John Villamil, Doyensec

Dźwięk

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: analizowanie złośliwie spreparowanego pliku programu QuickTime może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13807: Yangkang (@dnpushme) z Qihoo 360 Qex Team

CFNetwork

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13829: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2017-13833: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro

CFString

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13821: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

CoreText

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13825: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

curl

Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Zagrożenie: przesyłanie przy użyciu TFTP na złośliwie spreparowany adres URL z użyciem biblioteki libcurl może ujawnić pamięć aplikacji.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-1000100: Even Rouault, odnalezione przez OSS-Fuzz

curl

Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Zagrożenie: przetwarzanie złośliwie spreparowanego adresu URL z użyciem biblioteki libcurl może spowodować nieoczekiwane zamknięcie aplikacji lub odczyt pamięci procesu

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-1000101: Brian Carpenter, Yongji Ouyang

Widżet Słownik

Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Zagrożenie: w widżecie Słownik wyszukiwanie wklejonego tekstu może doprowadzić do ujawnienia danych użytkownika

Opis: występował błąd sprawdzania poprawności umożliwiający dostęp do lokalnego pliku. Ten błąd naprawiono przez wprowadzenie oczyszczania danych wejściowych.

CVE-2017-13801: xisigr z Xuanwu Lab firmy Tencent (tencent.com)

Protokół file

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: liczne błędy w protokole file.

Opis: naprawiono liczne błędy przez uaktualnienie do wersji 5.31.

CVE-2017-13815: wykryte przez OSS-Fuzz

Fonts

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: renderowanie niezaufanego tekstu może prowadzić do sfałszowania.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2017-13828: Leonard Grey i Robert Sesek z Google Chrome

fsck_msdos

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13811: V.E.O. (@VYSEa) z Mobile Advanced Threat Team firmy Trend Micro

HFS

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13830: Sergej Schumilo z Ruhr University Bochum

Heimdal

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie podszyć się pod usługę.

Opis: w procesie obsługi nazwy usługi KDC-REP występował problem ze sprawdzaniem poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni i Nico Williams

Przeglądarka pomocy

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: plik HTML poddany kwarantannie może wykonać dowolny skrypt JavaScript między źródłami

Opis: w przeglądarce pomocy występował błąd umożliwiający przeprowadzenie ataku XSS (cross-site scripting). Ten problem rozwiązano przez usunięcie pliku, którego dotyczy problem.

CVE-2017-13819: Filippo Cavallarin z SecuriTeam Secure Disclosure

ImageIO

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13814: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

ImageIO

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13831: Glen Carmichael

IOAcceleratorFamily

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13906

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: użytkownik lokalny może ujawnić poufne informacje użytkownika.

Opis: występował problem z zezwoleniem w licznikach pakietów jądra. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności uprawnień.

CVE-2017-13810: Zhiyun Qian z Uniwersytetu Kalifornijskiego, Riverside

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13817: Maxime Villard (grupa m00nbsd)

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13818: brytyjska organizacja National Cyber Security Centre (NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse z Semmle Ltd.

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13843: anonimowy badacz, anonimowy badacz

Jądro

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: przetworzenie zniekształconego pliku binarnego mach może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2017-13834: Maxime Villard (m00nbsd)

Jądro

Dostępne dla: systemów macOS High Sierra 10.13 i macOS Sierra 10.12.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13799: Lufeng Li z grupy Qihoo 360 Vulcan Team

Jądro

Dostępne dla: systemu macOS High Sierra 10.13

Zagrożenie: złośliwa aplikacja może być w stanie uzyskać informację o obecności i działaniu innych aplikacji na urządzeniu.

Opis: aplikacja była w stanie uzyskać dostęp do informacji o procesie, które system operacyjny utrzymywał w nieograniczonym stanie. Ten błąd naprawiono przez wprowadzenie ograniczania przepustowości.

CVE-2017-13852: Xiaokuan Zhang i Yinqian Zhang z Uniwersytetu Stanowego Ohio, Xueqiang Wang i XiaoFeng Wang z Indiana University Bloomington i Xiaolong Bai z Tsinghua University

libarchive

Dostępne dla: systemu OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: w bibliotece libarchive występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13813: problem wykryty przez OSS-Fuzz

libarchive

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: w bibliotece libarchive występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13812: problem wykryty przez OSS-Fuzz

libarchive

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2016-4736: Proteas z Qihoo 360 Nirvan Team

libxml2

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności.

CVE-2017-5969: Gustavo Grieco

libxml2

Dostępne dla: systemu OS X El Capitan 10.11.6

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2017-5130: anonimowy badacz

CVE-2017-7376: anonimowy badacz

libxml2

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-9050: Mateusz Jurczyk (j00ru) z Google Project Zero

libxml2

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-9049: Wei Lei i Liu Yang z Nanyang Technological University w Singapurze

LinkPresentation

Dostępne dla: systemu macOS High Sierra 10.13

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do sfałszowania paska adresu.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2018-4390: Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter

CVE-2018-4391: Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter

Okno logowania

Dostępne dla: systemu macOS High Sierra 10.13

Zagrożenie: ekran może nieoczekiwanie pozostawać odblokowany.

Opis: naprawiono błąd zarządzania stanem przez poprawienie procedury walidacji stanu.

CVE-2017-13907: anonimowy badacz

Open Scripting Architecture

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: dekompilacja skryptu AppleScript za pomocą narzędzia osadecompile może doprowadzić do wykonania dowolnego kodu

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13824: anonimowy badacz

PCRE

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: liczne błędy w bibliotece pcre.

Opis: naprawiono liczne błędy przez uaktualnienie do wersji 8.40.

CVE-2017-13846

Postfix

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: liczne błędy w protokole Postfix.

Opis: naprawiono liczne błędy przez uaktualnienie do wersji 3.2.2.

CVE-2017-10140: anonimowy badacz

Szybki przegląd

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13822: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

Szybki przegląd

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: przeprowadzenie analizowania złośliwie spreparowanego dokumentu pakietu Office może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7132: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

QuickTime

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13823: Xiangkun Jia z Institute of Software Chinese Academy of Sciences

Zdalne zarządzanie

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13808: anonimowy badacz

Piaskownica

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13838: Alastair Houghton

Zabezpieczenia

Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2017-7170: Patrick Wardle z Synack

Zabezpieczenia

Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6

Zagrożenie: złośliwa aplikacja może wyodrębniać hasła pęku kluczy.

Opis: istniała metoda umożliwiająca aplikacjom omijanie monitu dostępu do pęku kluczy za pomocą syntetycznego kliknięcia. Ten błąd naprawiono przez wprowadzenie wymagania hasła użytkownika podczas monitowania o dostęp do pęku kluczy.

CVE-2017-7150: Patrick Wardle z Synack

SMB

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Zagrożenie: lokalna osoba atakująca może wykonać niewykonywalne pliki tekstowe poprzez punkt udostępniania SMB.

Opis: naprawiono błąd w procedurach uprawnień plików przez poprawienie procedury walidacji.

CVE-2017-13908: anonimowy badacz

Przesyłanie strumieniowe pliku ZIP

Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Zagrożenie: złośliwy plik ZIP może modyfikować obszary systemu plików objęte ograniczeniami.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2017-13804: @qwertyoruiopz z KJC Research Intl. S.R.L.

tcpdump

Dostępne dla: systemów macOS High Sierra 10.13 i macOS Sierra 10.12.6

Zagrożenie: liczne błędy w bibliotece tcpdump

Opis: usunięto liczne błędy przez uaktualnienie do wersji 4.9.2.

CVE-2017-11108

CVE-2017-11541

CVE-2017-11542

CVE-2017-11543

CVE-2017-12893

CVE-2017-12894

CVE-2017-12895

CVE-2017-12896

CVE-2017-12897

CVE-2017-12898

CVE-2017-12899

CVE-2017-12900

CVE-2017-12901

CVE-2017-12902

CVE-2017-12985

CVE-2017-12986

CVE-2017-12987

CVE-2017-12988

CVE-2017-12989

CVE-2017-12990

CVE-2017-12991

CVE-2017-12992

CVE-2017-12993

CVE-2017-12994

CVE-2017-12995

CVE-2017-12996

CVE-2017-12997

CVE-2017-12998

CVE-2017-12999

CVE-2017-13000

CVE-2017-13001

CVE-2017-13002

CVE-2017-13003

CVE-2017-13004

CVE-2017-13005

CVE-2017-13006

CVE-2017-13007

CVE-2017-13008

CVE-2017-13009

CVE-2017-13010

CVE-2017-13011

CVE-2017-13012

CVE-2017-13013

CVE-2017-13014

CVE-2017-13015

CVE-2017-13016

CVE-2017-13017

CVE-2017-13018

CVE-2017-13019

CVE-2017-13020

CVE-2017-13021

CVE-2017-13022

CVE-2017-13023

CVE-2017-13024

CVE-2017-13025

CVE-2017-13026

CVE-2017-13027

CVE-2017-13028

CVE-2017-13029

CVE-2017-13030

CVE-2017-13031

CVE-2017-13032

CVE-2017-13033

CVE-2017-13034

CVE-2017-13035

CVE-2017-13036

CVE-2017-13037

CVE-2017-13038

CVE-2017-13039

CVE-2017-13040

CVE-2017-13041

CVE-2017-13042

CVE-2017-13043

CVE-2017-13044

CVE-2017-13045

CVE-2017-13046

CVE-2017-13047

CVE-2017-13048

CVE-2017-13049

CVE-2017-13050

CVE-2017-13051

CVE-2017-13052

CVE-2017-13053

CVE-2017-13054

CVE-2017-13055

CVE-2017-13687

CVE-2017-13688

CVE-2017-13689

CVE-2017-13690

CVE-2017-13725

Wi-Fi

Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Zagrożenie: osoba atakująca w zasięgu sieci Wi-Fi może wymusić ponowne użycie liczby jednorazowego użytku na klientach WPA Unicast/PTK (Key Reinstallation Attacks — KRACK).

Opis: w procedurze obsługi przejść pomiędzy stanami występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2017-13077: Mathy Vanhoef z grupy imec-DistriNet w KU Leuven

CVE-2017-13078: Mathy Vanhoef z grupy imec-DistriNet w KU Leuven

Wi-Fi

Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Zagrożenie: atakujący będący w zasięgu sieci Wi-Fi może wymusić ponowne użycie liczby jednorazowego użytku na klientach WPA Multicast/GTK (Key Reinstallation Attacks — KRACK)

Opis: w procedurze obsługi przejść pomiędzy stanami występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2017-13080: Mathy Vanhoef z grupy imec-DistriNet w KU Leuven