Zawartość związana z zabezpieczeniami w systemie macOS High Sierra 10.13.2, uaktualnieniu zabezpieczeń 2017-002 Sierra i uaktualnieniu zabezpieczeń 2017-005 El Capitan

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie macOS High Sierra 10.13.2, uaktualnieniu zabezpieczeń 2017-002 Sierra i uaktualnieniu zabezpieczeń 2017-005 El Capitan.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

System macOS High Sierra 10.13.2, uaktualnienie zabezpieczeń 2017-002 Sierra i uaktualnienie zabezpieczeń 2017-005 El Capitan

Wydano 6 grudnia 2017 r.

APFS

Dostępne dla: system macOS High Sierra 10.13.1

Zagrożenie: klucze szyfrowania APFS mogą nie zostać bezpieczne usunięte po hibernacji.

Opis: podczas usuwania kluczy w czasie hibernacji w APFS występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2017-13887: David Ryskalczyk

Wpis dodano 21 czerwca 2018 r.

apache

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: przetwarzanie złośliwie spreparowanej dyrektywy konfiguracji serwera Apache może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 2.4.28.

CVE-2017-9798

Sesja CFNetwork

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7172: Richard Zhu (fluorescence) w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 22 stycznia 2018 r.

CoreAnimation

Dostępne dla: system macOS High Sierra 10.13.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z podwyższonymi uprawnieniami.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7171: 360 Security w ramach programu Zero Day Initiative firmy Trend Micro i Tencent Keen Security Lab (@keen_lab) w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 22 stycznia 2018 r.

curl

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: złośliwe serwery FTP mogą być w stanie spowodować odczytanie przez klienta pamięci spoza zakresu.

Opis: w procedurze analizowania odpowiedzi protokołu FTP PWD występował błąd odczytu spoza zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-1000254: Max Dymond

Narzędzie katalogowe

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie nie dotyczy: systemu macOS Sierra 10.12.6 i starszych

Zagrożenie: osoba atakująca może być w stanie obejść uwierzytelnianie administratora bez podawania hasła administratora.

Opis: w procedurze sprawdzania poprawności poświadczeń występował błąd logiczny. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności poświadczeń.

CVE-2017-13872

ICU

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-15422: Yuan Deng z Ant-financial Light-Year Security Lab

Wpis dodano 14 marca 2018 r.

Sterownik graficzny Intel

Dostępne dla: system macOS High Sierra 10.13.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13883: Yu Wang z Didi Research America

CVE-2017-7163: Yu Wang z Didi Research America

CVE-2017-7155: Yu Wang z Didi Research America

Wpis uaktualniono 21 grudnia 2017 r. 

Sterownik graficzny Intel

Dostępne dla: system macOS High Sierra 10.13.1

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13878: Ian Beer z Google Project Zero

Sterownik graficzny Intel

Dostępne dla: system macOS High Sierra 10.13.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-13875: Ian Beer z Google Project Zero

IOAcceleratorFamily

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7159: znalezione przez oprogramowanie IMF opracowane przez HyungSeok Han (daramg.gift) z SoftSec, KAIST (softsec.kaist.ac.kr)

Wpis uaktualniono 21 grudnia 2017 r. 

IOKit

Dostępne dla: system macOS High Sierra 10.13.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: w jądrze występował błąd sprawdzania poprawności danych wejściowych. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-13848: Alex Plaskett z MWR InfoSecurity

CVE-2017-13858: anonimowy badacz

IOKit

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2017-13847: Ian Beer z Google Project Zero

IOKit

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) w ramach programu Zero Day Initiative firmy Trend Micro

Wpis uaktualniono 10 stycznia 2018 r.

Jądro

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13904: Kevin Backhouse z Semmle Ltd.

Wpis dodano 14 lutego 2018 r.

Jądro

Dostępne dla: system macOS High Sierra 10.13.1

Zagrożenie: aplikacja może odczytać pamięć jądra systemu (Meltdown)

Opis: systemy z mikroprocesorami wykorzystującymi wykonywanie spekulatywne i pośrednie przewidywanie skoku mogą umożliwiać nieautoryzowane ujawnienie informacji przestępcy za pomocą dostępu lokalnego użytkownika i za pośrednictwem analizy kanału bocznego pamięci podręcznej danych.

CVE-2017-5754: Jann Horn z Google Project Zero; Moritz Lipp z Politechniki w Grazu; Michael Schwarz z Politechniki w Grazu; Daniel Gruss z Politechniki w Grazu; Thomas Prescher z firmy Cyberus Technology GmbH; Werner Haas z firmy Cyberus Technology GmbH; Stefan Mangard z Politechniki w Grazu; Paul Kocher; Daniel Genkin z Uniwersytetu Pensylwanii i University of Maryland; Yuval Yarom z University of Adelaide i Data61; oraz Mike Hamburg z Rambus (Cryptography Research Division)

Wpis uaktualniono 5 stycznia 2018 r.

Jądro

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer z Google Project Zero

Wpis uaktualniono 21 grudnia 2017 r. 

Jądro

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-7173: Brandon Azad

Wpis uaktualniono 11 stycznia 2018 r.

Jądro

Dostępne dla: system macOS High Sierra 10.13.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13876: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2017-13855: Jann Horn z Google Project Zero

Jądro

Dostępne dla: system macOS High Sierra 10.13.1

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13865: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn z Google Project Zero

Jądro

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: w jądrze występował błąd sprawdzania poprawności danych wejściowych. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-7154: Jann Horn z Google Project Zero

Wpis dodano 21 grudnia 2017 r.

Mail

Dostępne dla: system macOS High Sierra 10.13.1

Zagrożenie: wiadomość e-mail zaszyfrowana za pomocą standardu S/MIME może zostać nieumyślnie wysłana niezaszyfrowana, jeśli odbiorca nie ma zainstalowanego certyfikatu S/MIME.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2017-13871: Lukas Pitschl z GPGTools

Wpis uaktualniono 21 grudnia 2017 r.

Wersje robocze wiadomości

Dostępne dla: system macOS High Sierra 10.13.1

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie przechwycić pocztę.

Opis: w poświadczeniach S/MIME występował błąd szyfrowania. Ten błąd naprawiono przez wprowadzenie dodatkowego sprawdzania i kontroli użytkowników.

CVE-2017-13860: Michael Weishaar z INNEO Solutions GmbH

Wpis uaktualniono 10 stycznia 2018 r.

OpenSSL

Dostępne dla: systemów OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: w procedurze analizowania rozszerzenia X.509 IPAddressFamily występował błąd odczytu spoza zakresu. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-3735: problem wykryty przez OSS-Fuzz

Serwer współdzielenia ekranu

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Zagrożenie: użytkownik z dostępem do współdzielenia ekranu może być w stanie uzyskać dostęp do dowolnego pliku możliwego do odczytu przez użytkownika root.

Opis: procedury zarządzania sesją współdzielenia ekranu zawierają błąd uprawnień. Ten problem rozwiązano przez poprawienie procedur obsługi uprawnień.

CVE-2017-7158: Trevor Jacques z Toronto

Wpis uaktualniono 21 grudnia 2017 r.

SIP

Dostępne dla: systemu macOS High Sierra 10.13.1

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd z konfiguracją przez wprowadzenie dodatkowych ograniczeń.

CVE-2017-13911: anonimowy badacz

Wpis uaktualniono 8 sierpnia 2018 r.

Wi-Fi

Dostępne dla: system macOS High Sierra 10.13.1

Zagrożenie: nieuprzywilejowany użytkownik może zmienić parametry systemowe sieci Wi-Fi, prowadząc do ataku typu „odmowa usługi”.

Opis: w przypadku uprzywilejowanej konfiguracji systemowej sieci Wi-Fi występował błąd dostępu. Ten błąd naprawiono przez wprowadzenie dodatkowych ograniczeń.

CVE-2017-13886: David Kreitschmann i Matthias Schulz z Secure Mobile Networking Lab na uczelni TU Darmstadt

Wpis dodano 2 maja 2018 r.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: