Zawartość związana z zabezpieczeniami w systemie macOS Sierra 10.12.6, uaktualnieniu zabezpieczeń 2017-003 El Capitan i uaktualnieniu zabezpieczeń 2017-003 Yosemite
Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie macOS Sierra 10.12.6, uaktualnieniu zabezpieczeń 2017-003 systemu El Capitan i uaktualnieniu zabezpieczeń 2017-003 systemu Yosemite.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
System macOS Sierra 10.12.6, uaktualnienie zabezpieczeń 2017-003 El Capitan i uaktualnienie zabezpieczeń 2017-003 Yosemite
afclip
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-7016: riusksk (泉哥) z Tencent Security Platform Department
afclip
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7033: riusksk (泉哥) z Tencent Security Platform Department
AppleGraphicsPowerManagement
Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7021: sss i Axis z Qihoo 360 Nirvan Team
Dźwięk
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może spowodować ujawnienie zastrzeżonej pamięci.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7015: riusksk (泉哥) z Tencent Security Platform Department
Bluetooth
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7050: Min (Spark) Zheng z Alibaba Inc.
CVE-2017-7051: Alex Plaskett z MWR InfoSecurity
Bluetooth
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7054: Alex Plaskett z MWR InfoSecurity, Lufeng Li z Qihoo 360 Vulcan Team
Kontakty
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: przetworzenie złośliwie spreparowanego pliku filmu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2017-7008: Yangkang (@dnpushme) z Qihoo 360 Qex Team
curl
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: wiele błędów w komponentach curl.
Opis: naprawiono liczne błędy przez uaktualnienie do wersji 7.54.0.
CVE-2016-9586
CVE-2016-9594
CVE-2017-2629
CVE-2017-7468
Foundation
Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5
Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-7031: HappilyCoded (ant4g0nist i r3dsm0k3)
Font Importer
Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5
Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-13850: John Villamil, Doyensec
Sterownik graficzny Intel
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7014: Lee z Minionz, Axis i sss z Qihoo 360 Nirvan Team
CVE-2017-7017: chenqin z Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7035: Shrek_wzw z Qihoo 360 Nirvan Team
CVE-2017-7044: Shrek_wzw z Qihoo 360 Nirvan Team
Sterownik graficzny Intel
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-7036: Shrek_wzw z Qihoo 360 Nirvan Team
CVE-2017-7045: Shrek_wzw z Qihoo 360 Nirvan Team
IOUSBFamily
Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7009: Shrek_wzw z Qihoo 360 Nirvan Team
Jądro
Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7022: anonimowy badacz
CVE-2017-7024: anonimowy badacz
Jądro
Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7023: anonimowy badacz
Jądro
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7025: anonimowy badacz
CVE-2017-7027: anonimowy badacz
CVE-2017-7069: Proteas z Qihoo 360 Nirvan Team
Jądro
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7026: anonimowy badacz
Jądro
Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-7028: anonimowy badacz
CVE-2017-7029: anonimowy badacz
Jądro
Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-7067: Shrek_wzw z Qihoo 360 Nirvan Team
Narzędzia kext
Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7032: Axis i sss z Qihoo 360 Nirvan Team
libarchive
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2017-7068: odnalezione przez OSS-Fuzz
libxml2
Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5
Zagrożenie: analizowanie złośliwie spreparowanego dokumentu XML może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2017-7010: Apple
CVE-2017-7013: odnalezione przez OSS-Fuzz
libxpc
Dostępne dla: systemów macOS Sierra 10.12.5 i OS X El Capitan 10.11.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7047: Ian Beer z Google Project Zero
Wi-Fi
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: osoba atakująca będąca w zasięgu może być w stanie wykonać dowolny kod w mikroukładzie Wi-Fi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7065: Gal Beniamini z Google Project Zero
Wi-Fi
Dostępne dla: systemu macOS Sierra 10.12.5
Zagrożenie: osoba atakująca będąca w zasięgu może być w stanie wykonać dowolny kod w mikroukładzie Wi-Fi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-9417: Nitay Artenstein z Exodus Intelligence
Dodatkowe podziękowania
curl
Dziękujemy za udzieloną pomoc: Dave Murdock z Tangerine Element.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.