Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
System macOS High Sierra 10.13.1, uaktualnienie zabezpieczeń 2017-001 Sierra i uaktualnienie zabezpieczeń 2017-004 El Capitan
Wydano 31 października 2017 r.
apache
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: liczne błędy w zabezpieczeniach serwera Apache
Opis: naprawiono liczne błędy przez uaktualnienie do wersji 2.4.27.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
CVE-2017-3167
CVE-2017-3169
CVE-2017-7659
CVE-2017-7668
CVE-2017-7679
CVE-2017-9788
CVE-2017-9789
Wpis uaktualniono 14 listopada 2017 r.
APFS
Dostępne dla: systemu macOS High Sierra 10.13
Zagrożenie: złośliwie spreparowana przejściówka Thunderbolt może być w stanie odzyskać niezaszyfrowane dane systemu plików APFS
Opis: w procedurze obsługi trybu DMA występował błąd. Ten problem rozwiązano przez ograniczenie czasu, w którym bufory odszyfrowywania funkcji FileVault są odwzorowane na okres działania wejścia/wyjścia.
CVE-2017-13786: Dmytro Oleksiuk
Wpis uaktualniono 10 listopada 2017 r.
APFS
Dostępne dla: systemu macOS High Sierra 10.13
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13800: Sergej Schumilo z Ruhr-University Bochum
AppleScript
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: dekompilacja skryptu AppleScript za pomocą narzędzia osadecompile może doprowadzić do wykonania dowolnego kodu
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-13809: bat0s
Wpis uaktualniono 10 listopada 2017 r.
ATS
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-13820: John Villamil, Doyensec
Dźwięk
Dostępne dla: systemu macOS Sierra 10.12.6
Zagrożenie: analizowanie złośliwie spreparowanego pliku programu QuickTime może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13807: Yangkang (@dnpushme) z Qihoo 360 Qex Team
CFNetwork
Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13829: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2017-13833: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 10 listopada 2017 r.
CFString
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-13821: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate
CoreText
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13825: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate
curl
Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Zagrożenie: przesyłanie przy użyciu TFTP na złośliwie spreparowany adres URL z użyciem biblioteki libcurl może ujawnić pamięć aplikacji.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2017-1000100: Even Rouault, odnalezione przez OSS-Fuzz
curl
Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Zagrożenie: przetwarzanie złośliwie spreparowanego adresu URL z użyciem biblioteki libcurl może spowodować nieoczekiwane zamknięcie aplikacji lub odczyt pamięci procesu
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2017-1000101: Brian Carpenter, Yongji Ouyang
Widżet Słownik
Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Zagrożenie: w widżecie Słownik wyszukiwanie wklejonego tekstu może doprowadzić do ujawnienia danych użytkownika
Opis: występował błąd sprawdzania poprawności umożliwiający dostęp do lokalnego pliku. Ten błąd naprawiono przez wprowadzenie oczyszczania danych wejściowych.
CVE-2017-13801: xisigr z Xuanwu Lab firmy Tencent (tencent.com)
Protokół file
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: liczne błędy w protokole file.
Opis: naprawiono liczne błędy przez uaktualnienie do wersji 5.31.
CVE-2017-13815
Fonts
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: renderowanie niezaufanego tekstu może prowadzić do sfałszowania.
Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.
CVE-2017-13828: Leonard Grey i Robert Sesek z Google Chrome
Wpis uaktualniono 10 listopada 2017 r.
fsck_msdos
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13811: V.E.O. (@VYSEa) z Mobile Advanced Threat Team firmy Trend Micro
Wpis uaktualniono 2 listopada 2017 r.
HFS
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13830: Sergej Schumilo z Ruhr University Bochum
Heimdal
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie podszyć się pod usługę.
Opis: w procesie obsługi nazwy usługi KDC-REP występował problem ze sprawdzaniem poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni i Nico Williams
Przeglądarka pomocy
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: plik HTML poddany kwarantannie może wykonać dowolny skrypt JavaScript między źródłami
Opis: w przeglądarce pomocy występował błąd umożliwiający przeprowadzenie ataku XSS (cross-site scripting). Ten problem rozwiązano przez usunięcie pliku, którego dotyczy problem.
CVE-2017-13819: Filippo Cavallarin z SecuriTeam Secure Disclosure
Wpis uaktualniono 10 listopada 2017 r.
ImageIO
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-13814: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate
ImageIO
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: w procedurze przetwarzania obrazów dysków występował błąd powodujący ujawnianie informacji. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.
CVE-2017-13831: Glen Carmichael
Wpis uaktualniono 10 listopada 2017 r.
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: użytkownik lokalny może ujawnić poufne informacje użytkownika.
Opis: występował problem z zezwoleniem w licznikach pakietów jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności uprawnień.
CVE-2017-13810: Zhiyun Qian z Uniwersytetu Kalifornijskiego, Riverside
Wpis uaktualniono 10 listopada 2017 r.
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.
Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-13817: Maxime Villard (grupa m00nbsd)
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-13818: brytyjska organizacja National Cyber Security Centre (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Kevin Backhouse z Semmle Ltd.
Wpis uaktualniono 18 czerwca 2018 r.
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13843: anonimowy badacz, anonimowy badacz
Jądro
Dostępne dla: systemu macOS Sierra 10.12.6
Zagrożenie: przetworzenie zniekształconego pliku binarnego mach może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności.
CVE-2017-13834: Maxime Villard (m00nbsd)
Jądro
Dostępne dla: systemów macOS High Sierra 10.13 i macOS Sierra 10.12.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13799: Lufeng Li z grupy Qihoo 360 Vulcan Team
Wpis uaktualniono 10 listopada 2017 r.
Jądro
Dostępne dla: systemu macOS High Sierra 10.13
Zagrożenie: złośliwa aplikacja może być w stanie uzyskać informację o obecności i działaniu innych aplikacji na urządzeniu.
Opis: aplikacja była w stanie uzyskać dostęp do informacji o procesie, które system operacyjny utrzymywał w nieograniczonym stanie. Ten błąd naprawiono przez wprowadzenie ograniczania przepustowości.
CVE-2017-13852: Xiaokuan Zhang i Yinqian Zhang z Uniwersytetu Stanowego Ohio, Xueqiang Wang i XiaoFeng Wang z Indiana University Bloomington i Xiaolong Bai z Tsinghua University
Wpis dodano 10 listopada 2017 r.
libarchive
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2017-13813: problem wykryty przez OSS-Fuzz
CVE-2017-13816: problem wykryty przez OSS-Fuzz
libarchive
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.
Opis: w bibliotece libarchive występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-13812: problem wykryty przez OSS-Fuzz
libarchive
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2016-4736: Proteas z Qihoo 360 Nirvan Team
Wpis uaktualniono 21 grudnia 2017 r.
Open Scripting Architecture
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: dekompilacja skryptu AppleScript za pomocą narzędzia osadecompile może doprowadzić do wykonania dowolnego kodu
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13824: anonimowy badacz
PCRE
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: liczne błędy w bibliotece pcre.
Opis: naprawiono liczne błędy przez uaktualnienie do wersji 8.40.
CVE-2017-13846
Postfix
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: liczne błędy w protokole Postfix.
Opis: naprawiono liczne błędy przez uaktualnienie do wersji 3.2.2.
CVE-2017-10140: anonimowy badacz
Wpis uaktualniono 17 listopada 2017 r.
Szybki przegląd
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-13822: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate
Szybki przegląd
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: przeprowadzenie analizowania złośliwie spreparowanego dokumentu pakietu Office może doprowadzić do nieoczekiwanego zamknięcia aplikacji lub wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7132: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate
QuickTime
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-13823: Xiangkun Jia z Institute of Software Chinese Academy of Sciences
Wpis uaktualniono 10 listopada 2017 r.
Zdalne zarządzanie
Dostępne dla: systemu macOS Sierra 10.12.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13808: anonimowy badacz
Piaskownica
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13838: Alastair Houghton
Wpis uaktualniono 10 listopada 2017 r.
Zabezpieczenia
Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.
CVE-2017-7170: Patrick Wardle z Synack
Wpis dodano 11 stycznia 2018 r.
Zabezpieczenia
Dostępne dla: systemów macOS Sierra 10.12.6 i OS X El Capitan 10.11.6
Zagrożenie: złośliwa aplikacja może wyodrębniać hasła pęku kluczy.
Opis: istniała metoda umożliwiająca aplikacjom omijanie monitu dostępu do pęku kluczy za pomocą syntetycznego kliknięcia. Ten błąd naprawiono przez wprowadzenie wymagania hasła użytkownika podczas monitowania o dostęp do pęku kluczy.
CVE-2017-7150: Patrick Wardle z Synack
Wpis dodano 17 listopada 2017 r.
Przesyłanie strumieniowe pliku ZIP
Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Zagrożenie: złośliwy plik ZIP może modyfikować obszary systemu plików objęte ograniczeniami.
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2017-13804: @qwertyoruiopz z KJC Research Intl. S.R.L.
tcpdump
Dostępne dla: systemów macOS High Sierra 10.13 i macOS Sierra 10.12.6
Zagrożenie: liczne błędy w bibliotece tcpdump
Opis: usunięto liczne błędy przez uaktualnienie do wersji 4.9.2.
CVE-2017-11108
CVE-2017-11541
CVE-2017-11542
CVE-2017-11543
CVE-2017-12893
CVE-2017-12894
CVE-2017-12895
CVE-2017-12896
CVE-2017-12897
CVE-2017-12898
CVE-2017-12899
CVE-2017-12900
CVE-2017-12901
CVE-2017-12902
CVE-2017-12985
CVE-2017-12986
CVE-2017-12987
CVE-2017-12988
CVE-2017-12989
CVE-2017-12990
CVE-2017-12991
CVE-2017-12992
CVE-2017-12993
CVE-2017-12994
CVE-2017-12995
CVE-2017-12996
CVE-2017-12997
CVE-2017-12998
CVE-2017-12999
CVE-2017-13000
CVE-2017-13001
CVE-2017-13002
CVE-2017-13003
CVE-2017-13004
CVE-2017-13005
CVE-2017-13006
CVE-2017-13007
CVE-2017-13008
CVE-2017-13009
CVE-2017-13010
CVE-2017-13011
CVE-2017-13012
CVE-2017-13013
CVE-2017-13014
CVE-2017-13015
CVE-2017-13016
CVE-2017-13017
CVE-2017-13018
CVE-2017-13019
CVE-2017-13020
CVE-2017-13021
CVE-2017-13022
CVE-2017-13023
CVE-2017-13024
CVE-2017-13025
CVE-2017-13026
CVE-2017-13027
CVE-2017-13028
CVE-2017-13029
CVE-2017-13030
CVE-2017-13031
CVE-2017-13032
CVE-2017-13033
CVE-2017-13034
CVE-2017-13035
CVE-2017-13036
CVE-2017-13037
CVE-2017-13038
CVE-2017-13039
CVE-2017-13040
CVE-2017-13041
CVE-2017-13042
CVE-2017-13043
CVE-2017-13044
CVE-2017-13045
CVE-2017-13046
CVE-2017-13047
CVE-2017-13048
CVE-2017-13049
CVE-2017-13050
CVE-2017-13051
CVE-2017-13052
CVE-2017-13053
CVE-2017-13054
CVE-2017-13055
CVE-2017-13687
CVE-2017-13688
CVE-2017-13689
CVE-2017-13690
CVE-2017-13725
Wi-Fi
Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Zagrożenie: osoba atakująca w zasięgu sieci Wi-Fi może wymusić ponowne użycie liczby jednorazowego użytku na klientach WPA Unicast/PTK (Key Reinstallation Attacks — KRACK).
Opis: w procedurze obsługi przejść pomiędzy stanami występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2017-13077: Mathy Vanhoef z grupy imec-DistriNet w KU Leuven
CVE-2017-13078: Mathy Vanhoef z grupy imec-DistriNet w KU Leuven
Wpis uaktualniono 3 listopada 2017 r.
Wi-Fi
Dostępne dla: systemów macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Zagrożenie: atakujący będący w zasięgu sieci Wi-Fi może wymusić ponowne użycie liczby jednorazowego użytku na klientach WPA Multicast/GTK (Key Reinstallation Attacks — KRACK)
Opis: w procedurze obsługi przejść pomiędzy stanami występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2017-13080: Mathy Vanhoef z grupy imec-DistriNet w KU Leuven
Wpis uaktualniono 3 listopada 2017 r.