Zawartość związana z zabezpieczeniami w systemie macOS High Sierra 10.13

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS High Sierra 10.13.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

macOS High Sierra 10.13

Wydano 25 września 2017 r.

802.1X

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: atakujący może wykorzystać słabości protokołu TLS 1.0.

Opis: problem bezpieczeństwa protokołu rozwiązano przez włączenie protokołów TLS 1.1 i TLS 1.2.

CVE-2017-13832: Doug Wussler z Florida State University

Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.

apache

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w zabezpieczeniach serwera Apache

Opis: naprawiono liczne błędy przez uaktualnienie do wersji 2.4.27.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

Wpis dodano 31 października 2017 r., uaktualniono 14 listopada 2017 r.

AppleScript

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: dekompilacja skryptu AppleScript za pomocą narzędzia osadecompile może doprowadzić do wykonania dowolnego kodu

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13809: bat0s

Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.

Zapora sieciowa aplikacji

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: wcześniej odrzucone ustawienie zapory aplikacji może zostać zastosowane po aktualizacji.

Opis: w sposobie obsługi ustawień zapory występował błąd aktualizacji. Ten błąd naprawiono przez ulepszenie obsługi ustawień zapory podczas aktualizacji.

CVE-2017-7084: anonimowy badacz

Piaskownica aplikacji

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.

Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących prowadzić do ataków typu „odmowa usługi”.

CVE-2017-7074: Daniel Jalkut z Red Sweater Software

ATS

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13820: John Villamil, Doyensec

Wpis dodano 31 października 2017 r.

Dźwięk

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: analizowanie złośliwie spreparowanego pliku programu QuickTime może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13807: Yangkang (@dnpushme) z Qihoo 360 Qex Team

Wpis dodano 31 października 2017 r.

Captive Network Assistant

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: lokalny użytkownik może nieświadomie wysyłać hasło w postaci niezaszyfrowanej przez sieć.

Opis: stan zabezpieczeń przeglądarki portalu wymagającego logowania nie był jednoznaczny. Ten błąd naprawiono przez zwiększenie widoczności stanu zabezpieczeń przeglądarki portalu wymagającego logowania.

CVE-2017-7143: Matthew Green z Uniwersytetu Johnsa Hopkinsa

Wpis uaktualniono 3 października 2017 r.

CFNetwork

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13829: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro 

CVE-2017-13833: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro 

Wpis dodano 10 listopada 2017 r.

Serwery proxy środowiska CFNetwork

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.

Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących prowadzić do ataków typu „odmowa usługi”.

CVE-2017-7083: Abhinav Bansal z firmy Zscaler Inc.

CFString

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13821: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

Wpis dodano 31 października 2017 r.

CoreAudio

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: uaktualnienie składnika Opus do wersji 1.1.4 uniemożliwia odczyt poza ograniczeniami.

CVE-2017-0381: V.E.O (@VYSEa) z Mobile Threat Research Team, Trend Micro

CoreText

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13825: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

Wpis dodano 31 października 2017 r.

Usługi biurka

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: lokalny atakujący może obserwować niechronione dane użytkownika.

Opis: w przypadku niektórych plików w katalogu domowym występował błąd dostępu do pliku. Ten błąd naprawiono przez poprawienie ograniczeń dostępu.

CVE-2017-13851: anonimowy badacz

Wpis dodano 2 listopada 2017 r.

Narzędzie katalogowe

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: lokalny atakujący może być w stanie ustalić konto Apple ID właściciela komputera.

Opis: w procedurach obsługi konta Apple ID występował błąd uprawnień. Ten błąd naprawiono przez poprawienie procedur kontroli dostępu.

CVE-2017-7138: Daniel Kvak z Uniwersytetu Masaryka

Wpis uaktualniono 3 października 2017 r.

Protokół file

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w protokole file.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 5.30.

CVE-2017-7121: problem wykryty przez OSS-Fuzz

CVE-2017-7122: problem wykryty przez OSS-Fuzz

CVE-2017-7123: problem wykryty przez OSS-Fuzz

CVE-2017-7124: problem wykryty przez OSS-Fuzz

CVE-2017-7125: problem wykryty przez OSS-Fuzz

CVE-2017-7126: problem wykryty przez OSS-Fuzz

Protokół file

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w protokole file.

Opis: naprawiono liczne błędy przez uaktualnienie do wersji 5.31.

CVE-2017-13815

Wpis dodano 31 października 2017 r.

Fonts

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: renderowanie niezaufanego tekstu może prowadzić do sfałszowania.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2017-13828: Leonard Grey i Robert Sesek z Google Chrome

Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.

fsck_msdos

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13811: V.E.O. (@VYSEa) z Mobile Advanced Threat Team firmy Trend Micro

Wpis uaktualniono 2 listopada 2017 r.

Heimdal

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie podszyć się pod usługę.

Opis: w procesie obsługi nazwy usługi KDC-REP występował problem ze sprawdzaniem poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni i Nico Williams

Przeglądarka pomocy

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: plik HTML poddany kwarantannie może wykonać dowolny skrypt JavaScript między źródłami

Opis: w przeglądarce pomocy występował błąd umożliwiający przeprowadzenie ataku XSS (cross-site scripting). Ten problem rozwiązano przez usunięcie pliku, którego dotyczy problem.

CVE-2017-13819: Filippo Cavallarin z SecuriTeam Secure Disclosure

Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.

HFS

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13830: Sergej Schumilo z Ruhr University Bochum

Wpis dodano 31 października 2017 r.

ImageIO

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13814: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

Wpis dodano 31 października 2017 r.

ImageIO

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: w procedurze przetwarzania obrazów dysków występował błąd powodujący ujawnianie informacji. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.

CVE-2017-13831: Glen Carmichael

Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.

Instalator

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: złośliwa aplikacja może być w stanie uzyskać dostęp do klucza odblokowania dysku FileVault

Opis: ten problem rozwiązano przez usunięcie dodatkowych uprawnień.

CVE-2017-13837: Patrick Wardle z Synack

Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.

IOFireWireFamily

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7077: Brandon Azad

IOFireWireFamily

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng of Alibaba Inc., Benjamin Gnahm (@mitp0sh) z PDX

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7114: Alex Plaskett z MWR InfoSecurity

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: użytkownik lokalny może ujawnić poufne informacje użytkownika.

Opis: występował problem z zezwoleniem w licznikach pakietów jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności uprawnień.

CVE-2017-13810: Zhiyun Qian z Uniwersytetu Kalifornijskiego, Riverside

Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13817: Maxime Villard (grupa m00nbsd)

Wpis dodano 31 października 2017 r.

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13818: brytyjska organizacja National Cyber Security Centre (NCSC)

CVE-2017-13836: anonimowy badacz, anonimowy badacz

CVE-2017-13841: anonimowy badacz

CVE-2017-13840: anonimowy badacz

CVE-2017-13842: anonimowy badacz

CVE-2017-13782: Kevin Backhouse z Semmle Ltd.

Wpis dodano 31 października 2017 r., uaktualniono 14 listopada 2017 r.

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13843: anonimowy badacz, anonimowy badacz

Wpis dodano 31 października 2017 r.

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13854: Shrek_wzw z Qihoo 360 Nirvan Team

Wpis dodano 2 listopada 2017 r.

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetworzenie zniekształconego pliku binarnego mach może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności.

CVE-2017-13834: Maxime Villard (m00nbsd)

Wpis dodano 10 listopada 2017 r.

Narzędzia kext

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: rozwiązano błąd logiczny w ładowaniu narzędzia kext przez poprawienie procedury obsługi stanu.

CVE-2017-13827: anonimowy badacz

Wpis dodano 31 października 2017 r.

libarchive

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2017-13813: problem wykryty przez OSS-Fuzz

CVE-2017-13816: problem wykryty przez OSS-Fuzz

Wpis dodano 31 października 2017 r.

libarchive

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: w bibliotece libarchive występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13812: problem wykryty przez OSS-Fuzz

Wpis dodano 31 października 2017 r.

libarchive

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2016-4736: anonimowy badacz

Wpis dodano 31 października 2017 r.

Biblioteka libc

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: problem dotyczący wyczerpania się zasobów w składniku glob() został rozwiązany przez poprawienie algorytmu.

CVE-2017-7086: Russ Cox z Google

Biblioteka libc

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-1000373

libexpat

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: wiele błędów w oprogramowaniu expat.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 2.2.1.

CVE-2016-9063

CVE-2017-9233

Mail

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: nadawca wiadomości e-mail mógł być w stanie ustalić adres IP odbiorcy.

Opis: wyłączenie ustawienia „Wczytuj zawartość zdalną w wiadomościach” nie było stosowane do wszystkich skrzynek pocztowych. Ten błąd naprawiono przez poprawienie procedur rozpowszechniania ustawień.

CVE-2017-7141: John Whitehead z The New York Times

Wpis uaktualniono 3 października 2017 r.

Wersje robocze wiadomości

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie przechwycić treść wiadomości.

Opis: w sposobie obsługi wersji roboczych wiadomości występował błąd szyfrowania. Ten błąd naprawiono przez ulepszenie sposobu obsługi wersji roboczych wiadomości, które mają zostać wysłane w zaszyfrowanej postaci.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE z Marsylii (Francja), anonimowy badacz

Wpis uaktualniono 3 października 2017 r.

protokół ntp

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w protokole ntp.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 4.2.8p10.

CVE-2017-6451: Cure53 

CVE-2017-6452: Cure53 

CVE-2017-6455: Cure53 

CVE-2017-6458: Cure53 

CVE-2017-6459: Cure53 

CVE-2017-6460: Cure53 

CVE-2017-6462: Cure53 

CVE-2017-6463: Cure53 

CVE-2017-6464: Cure53

CVE-2016-9042: Matthew Van Gundy z Cisco

Open Scripting Architecture

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: dekompilacja skryptu AppleScript za pomocą narzędzia osadecompile może doprowadzić do wykonania dowolnego kodu

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13824: anonimowy badacz

Wpis dodano 31 października 2017 r.

PCRE

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w bibliotece pcre.

Opis: naprawiono liczne błędy przez uaktualnienie do wersji 8.40.

CVE-2017-13846

Wpis dodano 31 października 2017 r.

Postfix

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w protokole Postfix.

Opis: naprawiono liczne błędy przez uaktualnienie do wersji 3.2.2.

CVE-2017-13826: anonimowy badacz

Wpis dodano 31 października 2017 r.

Szybki przegląd

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13822: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

Wpis dodano 31 października 2017 r.

Szybki przegląd

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przeprowadzenie analizowania złośliwie spreparowanego dokumentu pakietu Office może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7132: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

Wpis dodano 31 października 2017 r.

QuickTime

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13823: Xiangkun Jia z Institute of Software Chinese Academy of Sciences

Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.

Zdalne zarządzanie

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13808: anonimowy badacz

Wpis dodano 31 października 2017 r.

Piaskownica

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13838: Alastair Houghton

Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.

Ekran blokady

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: komunikaty zapory aplikacji mogą być wyświetlane na oknie logowania.

Opis: naprawiono błąd zarządzania oknami przez poprawienie zarządzania stanem.

CVE-2017-7082: Tim Kingman

Zabezpieczenia

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: unieważniony certyfikat może być zaufany.

Opis: w procedurach obsługi danych unieważniania występował błąd sprawdzania poprawności certyfikatów. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.

CVE-2017-7080: Sven Driemecker z adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) z Bærum kommune, anonimowi badacze

Funkcja Spotlight

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: funkcja Spotlight może wyświetlać wyniki dla plików nienależących do użytkownika.

Opis: w funkcji Spotlight występował błąd dostępu. Ten błąd naprawiono przez ulepszenie ograniczeń dostępu.

CVE-2017-13839: Ken Harris z Free Robot Collective

Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.

SQLite

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: wiele błędów w oprogramowaniu SQLite.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 3.19.3.

CVE-2017-10989: problem wykryty przez OSS-Fuzz

CVE-2017-7128: problem wykryty przez OSS-Fuzz

CVE-2017-7129: problem wykryty przez OSS-Fuzz

CVE-2017-7130: problem wykryty przez OSS-Fuzz

SQLite

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7127: anonimowy badacz

zlib

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w bibliotece zlib.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Dodatkowe podziękowania

Zabezpieczenia

Specjalne podziękowania za pomoc dla: Abhinav Bansal z firmy Zscaler, Inc.

NSWindow

Specjalne podziękowania za pomoc dla: Trent Apted z zespołu Google Chrome.

Inspektor www WebKit

Specjalne podziękowania za pomoc dla: Ioan Bizău z Bloggify.

Uaktualnienie uzupełniające systemu macOS High Sierra 10.13

Nowo pobierane systemy macOS High Sierra 10.13 zawierają zawartość związaną z zabezpieczeniami z uaktualnienia uzupełniającego systemu macOS High Sierra 10.13.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: