Zawartość związana z zabezpieczeniami w systemie macOS Sierra 10.12.6, uaktualnieniu zabezpieczeń 2017-003 El Capitan i uaktualnieniu zabezpieczeń 2017-003 Yosemite

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie macOS Sierra 10.12.6, uaktualnieniu zabezpieczeń 2017-003 systemu El Capitan i uaktualnieniu zabezpieczeń 2017-003 systemu Yosemite.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

System macOS Sierra 10.12.6, uaktualnienie zabezpieczeń 2017-003 El Capitan i uaktualnienie zabezpieczeń 2017-003 Yosemite

afclip

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-7016: riusksk (泉哥) z Tencent Security Platform Department

afclip

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7033: riusksk (泉哥) z Tencent Security Platform Department

AppleGraphicsPowerManagement

Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7021: sss i Axis z Qihoo 360 Nirvan Team

Dźwięk

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może spowodować ujawnienie zastrzeżonej pamięci.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7015: riusksk (泉哥) z Tencent Security Platform Department

Bluetooth

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7050: Min (Spark) Zheng z Alibaba Inc.

CVE-2017-7051: Alex Plaskett z MWR InfoSecurity

Bluetooth

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7054: Alex Plaskett z MWR InfoSecurity, Lufeng Li z Qihoo 360 Vulcan Team

Kontakty

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: przetworzenie złośliwie spreparowanego pliku filmu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-7008: Yangkang (@dnpushme) z Qihoo 360 Qex Team

curl

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: wiele błędów w komponentach curl.

Opis: naprawiono liczne błędy przez uaktualnienie do wersji 7.54.0.

CVE-2016-9586

CVE-2016-9594

CVE-2017-2629

CVE-2017-7468

Foundation

Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-7031: HappilyCoded (ant4g0nist i r3dsm0k3)

Font Importer

Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13850: John Villamil, Doyensec

Sterownik graficzny Intel

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7014: Lee z Minionz, Axis i sss z Qihoo 360 Nirvan Team

CVE-2017-7017: chenqin z Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7035: Shrek_wzw z Qihoo 360 Nirvan Team

CVE-2017-7044: Shrek_wzw z Qihoo 360 Nirvan Team

Sterownik graficzny Intel

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-7036: Shrek_wzw z Qihoo 360 Nirvan Team

CVE-2017-7045: Shrek_wzw z Qihoo 360 Nirvan Team

IOUSBFamily

Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7009: Shrek_wzw z Qihoo 360 Nirvan Team

Jądro

Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7022: anonimowy badacz

CVE-2017-7024: anonimowy badacz

Jądro

Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7023: anonimowy badacz

Jądro

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7025: anonimowy badacz

CVE-2017-7027: anonimowy badacz

CVE-2017-7069: Proteas z Qihoo 360 Nirvan Team

Jądro

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7026: anonimowy badacz

Jądro

Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-7028: anonimowy badacz

CVE-2017-7029: anonimowy badacz

Jądro

Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-7067: Shrek_wzw z Qihoo 360 Nirvan Team

Narzędzia kext

Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7032: Axis i sss z Qihoo 360 Nirvan Team

libarchive

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-7068: odnalezione przez OSS-Fuzz

libxml2

Dostępne dla systemów: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 i OS X Yosemite 10.10.5

Zagrożenie: analizowanie złośliwie spreparowanego dokumentu XML może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-7010: Apple

CVE-2017-7013: odnalezione przez OSS-Fuzz

libxpc

Dostępne dla: systemów macOS Sierra 10.12.5 i OS X El Capitan 10.11.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7047: Ian Beer z Google Project Zero

Wi-Fi

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: osoba atakująca będąca w zasięgu może być w stanie wykonać dowolny kod w mikroukładzie Wi-Fi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7065: Gal Beniamini z Google Project Zero

Wi-Fi

Dostępne dla: systemu macOS Sierra 10.12.5

Zagrożenie: osoba atakująca będąca w zasięgu może być w stanie wykonać dowolny kod w mikroukładzie Wi-Fi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-9417: Nitay Artenstein z Exodus Intelligence

Dodatkowe podziękowania

curl

Dziękujemy za udzieloną pomoc: Dave Murdock z Tangerine Element.