Sobre o conteúdo de segurança do macOS Sierra 10.12.3

Este documento descreve o conteúdo de segurança do macOS Sierra 10.12.3.

Sobre as atualizações de segurança da Apple

Para garantir a proteção de nossos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para saber mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

macOS Sierra 10.12.3

Servidor APNS

Disponível para: macOS Sierra 10.12.2

Impacto: um invasor em uma posição de rede privilegiada pode rastrear a atividade de um usuário

Descrição: o certificado do cliente era enviado em texto simples. Esse problema foi resolvido por meio de melhorias no processamento de certificados.

CVE-2017-2383: Matthias Wachs e Quirin Scheitle da Technische Universität München (TUM)

apache_mod_php

Disponível para: macOS Sierra 10.12.2

Impacto: diversos problemas em PHP

Descrição: diversos problemas foram resolvidos ao atualizar o PHP para a versão 5.6.28.

CVE-2016-8670

CVE-2016-9933

CVE-2016-9934

Bluetooth

Disponível para: macOS Sierra 10.12.2

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2353: Ian Beer do Google Project Zero

Drivers de placas gráficas

Disponível para: macOS Sierra 10.12.2

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2358: Team Pangu e lokihardt na PwnFest 2016

Visualizador de Ajuda

Disponível para: macOS Sierra 10.12.2

Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na execução arbitrária de códigos

Descrição: um problema na criação de scripts entre sites foi resolvido por meio de melhorias na validação de URLs.

CVE-2017-2361: lokihardt do Google Project Zero

IOAudioFamily

Disponível para: macOS Sierra 10.12.2

Impacto: um aplicativo pode identificar o layout de memória do kernel

Descrição: um problema de memória não inicializada foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2357: Team Pangu e lokihardt na PwnFest 2016

Kernel

Disponível para: macOS Sierra 10.12.2

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2370: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.2

Impacto: um aplicativo pode causar a execução arbitrária de códigos com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2360: Ian Beer do Google Project Zero

libarchive

Disponível para: macOS Sierra 10.12.2

Impacto: a descompactação de um arquivo criado com códigos maliciosos pode resultar na execução arbitrária de códigos

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-8687: Agostino Sarubbo da Gentoo

Vim

Disponível para: macOS Sierra 10.12.2

Impacto: abrir um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia um problema de validação de entrada em modelines. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-1248: Florian Larysch