Zawartość związana z zabezpieczeniami w systemie macOS High Sierra 10.13

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS High Sierra 10.13.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

macOS High Sierra 10.13

802.1X

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: atakujący może wykorzystać słabości protokołu TLS 1.0.

Opis: problem bezpieczeństwa protokołu rozwiązano przez włączenie protokołów TLS 1.1 i TLS 1.2.

CVE-2017-13832: Doug Wussler z Florida State University

apache

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w zabezpieczeniach serwera Apache

Opis: w oprogramowaniu Apache występowały liczne błędy, naprawiono je przez uaktualnienie oprogramowaniu Apache do wersji 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Ustawienia konta Apple

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: lokalna osoba atakująca może uzyskać dostęp do tokenów uwierzytelnienia usługi iCloud.

Opis: w procedurze przechowywania wrażliwych tokenów występował błąd. Ten problem rozwiązano przez umieszczenie tokenów w pęku kluczy.

CVE-2017-13909: Andreas Nilsson

AppleScript

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: dekompilacja skryptu AppleScript za pomocą narzędzia osadecompile może doprowadzić do wykonania dowolnego kodu

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13809: bat0s

Zapora sieciowa aplikacji

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: wcześniej odrzucone ustawienie zapory aplikacji może zostać zastosowane po aktualizacji.

Opis: w sposobie obsługi ustawień zapory występował błąd aktualizacji. Ten błąd naprawiono przez ulepszenie obsługi ustawień zapory podczas aktualizacji.

CVE-2017-7084: anonimowy badacz

Piaskownica aplikacji

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.

Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących prowadzić do ataków typu „odmowa usługi”.

CVE-2017-7074: Daniel Jalkut z Red Sweater Software

ATS

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13820: John Villamil, Doyensec

Dźwięk

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: analizowanie złośliwie spreparowanego pliku programu QuickTime może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13807: Yangkang (@dnpushme) z Qihoo 360 Qex Team

Captive Network Assistant

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: lokalny użytkownik może nieświadomie wysyłać hasło w postaci niezaszyfrowanej przez sieć.

Opis: stan zabezpieczeń przeglądarki portalu wymagającego logowania nie był jednoznaczny. Ten błąd naprawiono przez zwiększenie widoczności stanu zabezpieczeń przeglądarki portalu wymagającego logowania.

CVE-2017-7143: Matthew Green z Uniwersytetu Johnsa Hopkinsa

CFNetwork

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13829: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2017-13833: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro

Serwery proxy środowiska CFNetwork

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.

Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących prowadzić do ataków typu „odmowa usługi”.

CVE-2017-7083: Abhinav Bansal z firmy Zscaler Inc.

CFString

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13821: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

CoreAudio

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: uaktualnienie składnika Opus do wersji 1.1.4 uniemożliwia odczyt poza ograniczeniami.

CVE-2017-0381: V.E.O (@VYSEa) z Mobile Threat Research Team, Trend Micro

CoreText

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13825: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

CoreTypes

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować zamontowanie obrazu dysku.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2017-13890: Apple, Theodor Ragnar Gislason z firmy Syndis

Usługi biurka

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: lokalny atakujący może obserwować niechronione dane użytkownika.

Opis: w przypadku niektórych plików w katalogu domowym występował błąd dostępu do pliku. Ten błąd naprawiono przez poprawienie ograniczeń dostępu.

CVE-2017-13851: Henrique Correa de Amorim

Narzędzie katalogowe

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: lokalny atakujący może być w stanie ustalić konto Apple ID właściciela komputera.

Opis: w procedurach obsługi konta Apple ID występował błąd uprawnień. Ten błąd naprawiono przez poprawienie procedur kontroli dostępu.

CVE-2017-7138: Daniel Kvak z Uniwersytetu Masaryka

Protokół file

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w protokole file.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 5.30.

CVE-2017-7121: problem wykryty przez OSS-Fuzz

CVE-2017-7122: problem wykryty przez OSS-Fuzz

CVE-2017-7123: problem wykryty przez OSS-Fuzz

CVE-2017-7124: problem wykryty przez OSS-Fuzz

CVE-2017-7125: problem wykryty przez OSS-Fuzz

CVE-2017-7126: problem wykryty przez OSS-Fuzz

Protokół file

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w protokole file.

Opis: naprawiono liczne błędy przez uaktualnienie do wersji 5.31.

CVE-2017-13815

Fonts

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: renderowanie niezaufanego tekstu może prowadzić do sfałszowania.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2017-13828: Leonard Grey i Robert Sesek z Google Chrome

fsck_msdos

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13811: V.E.O. (@VYSEa) z Mobile Advanced Threat Team firmy Trend Micro

fsck_msdos

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z podwyższonymi uprawnieniami.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13835: anonimowy badacz

Heimdal

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie podszyć się pod usługę.

Opis: w procesie obsługi nazwy usługi KDC-REP występował problem ze sprawdzaniem poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni i Nico Williams

Przeglądarka pomocy

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: plik HTML poddany kwarantannie może wykonać dowolny skrypt JavaScript między źródłami

Opis: w przeglądarce pomocy występował błąd umożliwiający przeprowadzenie ataku XSS (cross-site scripting). Ten problem rozwiązano przez usunięcie pliku, którego dotyczy problem.

CVE-2017-13819: Filippo Cavallarin z SecuriTeam Secure Disclosure

HFS

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13830: Sergej Schumilo z Ruhr University Bochum

ImageIO

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13814: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

ImageIO

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13831: Glen Carmichael

Instalator

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: złośliwa aplikacja może być w stanie uzyskać dostęp do klucza odblokowania dysku FileVault

Opis: ten problem rozwiązano przez usunięcie dodatkowych uprawnień.

CVE-2017-13837: Patrick Wardle z Synack

IOAcceleratorFamily

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13906

IOFireWireFamily

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7077: Brandon Azad

IOFireWireFamily

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng of Alibaba Inc., Benjamin Gnahm (@mitp0sh) z PDX

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7114: Alex Plaskett z MWR InfoSecurity

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: użytkownik lokalny może ujawnić poufne informacje użytkownika.

Opis: występował problem z zezwoleniem w licznikach pakietów jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności uprawnień.

CVE-2017-13810: Zhiyun Qian z Uniwersytetu Kalifornijskiego, Riverside

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13817: Maxime Villard (grupa m00nbsd)

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13818: brytyjska organizacja National Cyber Security Centre (NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse z Semmle Ltd.

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13843: anonimowy badacz, anonimowy badacz

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13854: Shrek_wzw z Qihoo 360 Nirvan Team

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetworzenie zniekształconego pliku binarnego mach może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności.

CVE-2017-13834: Maxime Villard (m00nbsd)

Jądro

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: złośliwa aplikacja może być w stanie uzyskać informację o obecności i działaniu innych aplikacji na urządzeniu.

Opis: aplikacja była w stanie uzyskać dostęp do informacji o aktywności sieci, które system operacyjny utrzymywał w nieograniczonym stanie. Ten błąd naprawiono przez ograniczenie informacji dostępnych dla aplikacji innych firm.

CVE-2017-13873: Xiaokuan Zhang i Yinqian Zhang z Uniwersytetu Stanowego Ohio, Xueqiang Wang i XiaoFeng Wang z Indiana University Bloomington i Xiaolong Bai z Tsinghua University

Narzędzia kext

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: rozwiązano błąd logiczny w ładowaniu narzędzia kext przez poprawienie procedury obsługi stanu.

CVE-2017-13827: anonimowy badacz

libarchive

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2017-13813: problem wykryty przez OSS-Fuzz

CVE-2017-13816: problem wykryty przez OSS-Fuzz

libarchive

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: w bibliotece libarchive występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13812: problem wykryty przez OSS-Fuzz

libarchive

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2016-4736: anonimowy badacz

Biblioteka libc

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: problem dotyczący wyczerpania się zasobów w składniku glob() został rozwiązany przez poprawienie algorytmu.

CVE-2017-7086: Russ Cox z Google

Biblioteka libc

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-1000373

libexpat

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: wiele błędów w oprogramowaniu expat.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 2.2.1.

CVE-2016-9063

CVE-2017-9233

libxml2

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4302: Gustavo Grieco

libxml2

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2017-5130: anonimowy badacz

CVE-2017-7376: anonimowy badacz

libxml2

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-9050: Mateusz Jurczyk (j00ru) z Google Project Zero

libxml2

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-9049: Wei Lei i Liu Yang z Nanyang Technological University w Singapurze

Mail

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: nadawca wiadomości e-mail mógł być w stanie ustalić adres IP odbiorcy.

Opis: wyłączenie ustawienia „Wczytuj zawartość zdalną w wiadomościach” nie było stosowane do wszystkich skrzynek pocztowych. Ten błąd naprawiono przez poprawienie procedur rozpowszechniania ustawień.

CVE-2017-7141: John Whitehead z The New York Times

Wersje robocze wiadomości

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie przechwycić treść wiadomości.

Opis: w sposobie obsługi wersji roboczych wiadomości występował błąd szyfrowania. Ten błąd naprawiono przez ulepszenie sposobu obsługi wersji roboczych wiadomości, które mają zostać wysłane w zaszyfrowanej postaci.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE z Marsylii (Francja), anonimowy badacz

protokół ntp

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w protokole ntp.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 4.2.8p10.

CVE-2017-6451: Cure53

CVE-2017-6452: Cure53

CVE-2017-6455: Cure53

CVE-2017-6458: Cure53

CVE-2017-6459: Cure53

CVE-2017-6460: Cure53

CVE-2017-6462: Cure53

CVE-2017-6463: Cure53

CVE-2017-6464: Cure53

CVE-2016-9042: Matthew Van Gundy z Cisco

Open Scripting Architecture

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: dekompilacja skryptu AppleScript za pomocą narzędzia osadecompile może doprowadzić do wykonania dowolnego kodu

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13824: anonimowy badacz

PCRE

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w bibliotece pcre.

Opis: naprawiono liczne błędy przez uaktualnienie do wersji 8.40.

CVE-2017-13846

Postfix

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w protokole Postfix.

Opis: naprawiono liczne błędy przez uaktualnienie do wersji 3.2.2.

CVE-2017-10140: anonimowy badacz

Szybki przegląd

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13822: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

Szybki przegląd

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: przeprowadzenie analizowania złośliwie spreparowanego dokumentu pakietu Office może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7132: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

QuickTime

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13823: Xiangkun Jia z Institute of Software Chinese Academy of Sciences

Zdalne zarządzanie

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13808: anonimowy badacz

Piaskownica

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13838: Alastair Houghton

Ekran blokady

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: komunikaty zapory aplikacji mogą być wyświetlane na oknie logowania.

Opis: naprawiono błąd zarządzania oknami przez poprawienie zarządzania stanem.

CVE-2017-7082: Tim Kingman

Zabezpieczenia

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: unieważniony certyfikat może być zaufany.

Opis: w procedurach obsługi danych unieważniania występował błąd sprawdzania poprawności certyfikatów. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.

CVE-2017-7080: Sven Driemecker z adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) z Bærum kommune, anonimowy badacz, anonimowy badacz

SMB

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: lokalna osoba atakująca może wykonać niewykonywalne pliki tekstowe poprzez punkt udostępniania SMB.

Opis: naprawiono błąd w procedurach uprawnień plików przez poprawienie procedury walidacji.

CVE-2017-13908: anonimowy badacz

Funkcja Spotlight

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: funkcja Spotlight może wyświetlać wyniki dla plików nienależących do użytkownika.

Opis: w funkcji Spotlight występował błąd dostępu. Ten błąd naprawiono przez ulepszenie ograniczeń dostępu.

CVE-2017-13839: Ken Harris z Free Robot Collective

Funkcja Spotlight

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może uzyskać dostęp do plików objętych ograniczeniami.

Opis: naprawiono błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy w aplikacjach.

CVE-2017-13910

SQLite

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: wiele błędów w oprogramowaniu SQLite.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 3.19.3.

CVE-2017-10989: problem wykryty przez OSS-Fuzz

CVE-2017-7128: problem wykryty przez OSS-Fuzz

CVE-2017-7129: problem wykryty przez OSS-Fuzz

CVE-2017-7130: problem wykryty przez OSS-Fuzz

SQLite

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7127: anonimowy badacz

zlib

Dostępne dla: systemu OS X Mountain Lion 10.8 i nowszych

Zagrożenie: liczne błędy w bibliotece zlib.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Dodatkowe podziękowania

Mail

Dziękujemy za udzieloną pomoc: Jon Bottarini z HackerOne.

Zabezpieczenia

Specjalne podziękowania za pomoc dla: Abhinav Bansal z firmy Zscaler, Inc.

NSWindow

Specjalne podziękowania za pomoc dla: Trent Apted z zespołu Google Chrome.

Inspektor www WebKit

Specjalne podziękowania za pomoc dla: Ioan Bizău z Bloggify.

Uaktualnienie uzupełniające systemu macOS High Sierra 10.13

Nowo pobierane systemy macOS High Sierra 10.13 zawierają zawartość związaną z zabezpieczeniami z uaktualnienia uzupełniającego systemu macOS High Sierra 10.13.