Sobre o conteúdo de segurança do macOS Sierra 10.12.4, da atualização de segurança 2017-001 do El Capitan e da atualização de segurança 2017-001 do Yosemite

Este documento explica o conteúdo de segurança do macOS Sierra 10.12.4, da atualização de segurança 2017-001 do El Capitan e da atualização de segurança 2017-001 do Yosemite.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

macOS Sierra 10.12.4, atualização de segurança 2017-001 do El Capitan e atualização de segurança 2017-001 do Yosemite

apache

Disponível para: macOS Sierra 10.12.3

Impacto: um invasor remoto pode causar uma negação de serviço

Descrição: havia diversos problemas no Apache antes da versão 2.4.25. Eles foram resolvidos com a atualização do Apache para a versão 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

apache_mod_php

Disponível para: macOS Sierra 10.12.3

Impacto: havia diversos problemas no PHP antes da versão 5.6.30

Descrição: havia diversos problemas no PHP antes da versão 5.6.30. Eles foram resolvidos com a atualização do PHP para a versão 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

Descrição: uma condição de corrida foi resolvida por meio de melhorias no processamento da memória.

CVE-2017-2421: @cocoahuke

AppleRAID

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2438: sss e Axis da 360Nirvanteam

Áudio

Disponível para: macOS Sierra 10.12.3

Impacto: processar um arquivo de áudio criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2430: um pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-2462: um pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro

Bluetooth

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa e Marko Laakso do Synopsys Software Integrity Group

Bluetooth

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2427: Axis e sss da Qihoo 360 Nirvan Team

Bluetooth

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2449: sss e Axis da 360Nirvanteam

Carbon

Disponível para: macOS Sierra 10.12.3

Impacto: processar um arquivo .dfont criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: ocorria um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi solucionado por meio de melhorias na verificação de limites.

CVE-2017-2379: riusksk (泉哥) do Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Disponível para: macOS Sierra 10.12.3

Impacto: processar uma imagem criada com códigos maliciosos pode causar uma negação de serviço

Descrição: um problema de recursão infinita foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2417: riusksk (泉哥) do Tencent Security Platform Department

CoreMedia

Disponível para: macOS Sierra 10.12.3

Impacto: processar um arquivo .mov criado com códigos maliciosos pode causar a execução de códigos arbitrários

Descrição: havia um problema de corrompimento de memória no processamento de arquivos .mov. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2431: kimyok do Tencent Security Platform Department

CoreText

Disponível para: macOS Sierra 10.12.3

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Disponível para: macOS Sierra 10.12.3

Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Disponível para: macOS Sierra 10.12.3

Impacto: processar uma mensagem de texto criada com códigos maliciosos pode causar uma negação de serviço no aplicativo

Descrição: o problema de esgotamento de recursos foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2461: Isaac Archambault of IDAoADI, um pesquisador anônimo

curl

Disponível para: macOS Sierra 10.12.3

Impacto: entradas de usuário criadas com códigos maliciosos na API libcurl podem permitir a execução de códigos arbitrários

Descrição: o estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2016-9586: Daniel Stenberg da Mozilla

EFI

Disponível para: macOS Sierra 10.12.3

Impacto: um adaptador Thunderbolt malicioso pode recuperar a senha de criptografia do FileVault 2

Descrição: havia um problema no processamento de DMA. Esse problema foi resolvido com a ativação de VT-d na EFI.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

Disponível para: macOS Sierra 10.12.3

Impacto: as permissões podem ser redefinidas inesperadamente durante o envio de links

Descrição: havia um problema de permissão no processamento do recurso Enviar Link do Compartilhamento do iCloud. Esse problema foi resolvido por meio de melhorias nos controles de permissões.

CVE-2017-2429: Raymond Wong DO do Arnot Ogden Medical Center

FontParser

Disponível para: macOS Sierra 10.12.3

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias na validação de entradas.

CVE-2017-2487: riusksk (泉哥) do Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) do Tencent Security Platform Department

FontParser

Disponível para: macOS Sierra 10.12.3

Impacto: analisar um arquivo de fonte criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias na validação de entradas.

CVE-2017-2407: riusksk (泉哥) do Tencent Security Platform Department

FontParser

Disponível para: macOS Sierra 10.12.3

Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2439: John Villamil, Doyensec

FontParser

Disponível para: OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: ocorria um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi solucionado por meio de melhorias na verificação de limites.

CVE-2016-4688: Simon Huang da empresa Alipay

HTTPProtocol

Disponível para: macOS Sierra 10.12.3

Impacto: um servidor HTTP/2 malicioso pode causar comportamento indefinido

Descrição: havia diversos problemas no nghttp2 anteriores à versão 1.17.0. Foram resolvidos com a atualização do nghttp2 para a versão 1.17.0.

CVE-2017-2428

Hipervisor

Disponível para: macOS Sierra 10.12.3

Impacto: os aplicativos que usam a estrutura de hipervisor podem vazar o registro de controle CR8 inesperadamente entre o convidado e o host

Descrição: um problema de vazamento de informações foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2418: Alex Fishman e Izik Eidus da Veertu Inc.

iBooks

Disponível para: macOS Sierra 10.12.3

Impacto: analisar um arquivo do iBooks criado com códigos maliciosos pode causar a divulgação de arquivos locais

Descrição: havia um problema de vazamento de informações no processamento de URLs de arquivos. Esse problema foi resolvido por meio de melhorias no processamento de URLs.

CVE-2017-2426: Craig Arendt da Stratum Security, Jun Kokatsu (@shhnjk)

ImageIO

Disponível para: macOS Sierra 10.12.3

Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) do KeenLab, Tencent

ImageIO

Disponível para: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impacto: visualizar um arquivo JPEG criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2432: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro

ImageIO

Disponível para: macOS Sierra 10.12.3

Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2467

ImageIO

Disponível para: macOS Sierra 10.12.3

Impacto: processar uma imagem criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos

Descrição: havia um problema de leitura fora dos limites no LibTIFF em versões anteriores à 4.0.7. Foi resolvido com a atualização do LibTIFF no ImageIO para a versão 4.0.7.

CVE-2016-3619

Driver da placa gráfica da Intel

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2443: Ian Beer do Google Project Zero

Driver da placa gráfica da Intel

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode divulgar a memória do kernel

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2017-2489: Ian Beer do Google Project Zero

IOATAFamily

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2408: Yangkang (@dnpushme) da Qihoo360 Qex Team

IOFireWireAVC

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2436: Orr A, IBM Security

IOFireWireAVC

Disponível para: macOS Sierra 10.12.3

Impacto: um invasor local pode conseguir executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) da Blue Frost Security

IOFireWireFamily

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode causar uma negação de serviço

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2388: Brandon Azad, um pesquisador anônimo

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2398: Lufeng Li da Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li da Qihoo 360 Vulcan Team

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

Descrição: havia um problema de validação de entrada no kernel. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2410: Apple

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2440: um pesquisador anônimo

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios raiz

Descrição: uma condição de corrida foi resolvida por meio de melhorias no processamento da memória.

CVE-2017-2456: lokihardt do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2472: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2473: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de atraso de um dia foi resolvido por meio de melhorias na verificação de limites.

CVE-2017-2474: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.

CVE-2017-2478: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2482: Ian Beer do Google Project Zero

CVE-2017-2483: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode executar códigos arbitrários com privilégios elevados

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2490: Ian Beer do Google Project Zero, National Cyber Security Centre (NCSC) do Reino Unido

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: a tela pode inesperadamente permanecer desbloqueada quando a tampa for fechada

Descrição: um problema de bloqueio insuficiente foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-7070: Ed McKenzie

Teclados

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode executar códigos arbitrários

Descrição: o estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2017-2458: Shashank (@cyberboyIndia)

Chaves

Disponível para: macOS Sierra 10.12.3

Impacto: um invasor que consegue interceptar conexões TLS pode conseguir ler segredos protegidos pelas Chaves do iCloud.

Descrição: em determinadas circunstâncias, as Chaves do iCloud falham na validação da autenticidade de pacotes OTR. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2017-2448: Alex Radocea da Longterm Security, Inc.

libarchive

Disponível para: macOS Sierra 10.12.3

Impacto: um invasor local pode conseguir alterar as permissões do sistema de arquivos em diretórios arbitrários

Descrição: havia um problema de validação no processamento de links simbólicos. Esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2017-2390: Omer Medan da enSilo Ltd

libc++abi

Disponível para: macOS Sierra 10.12.3

Impacto: decodificar um aplicativo C++ malicioso pode causar a execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2441

LibreSSL

Disponível para: macOS Sierra 10.12.3 e OS X El Capitan 10.11.6

Impacto: um usuário local pode causar vazamento de dados confidenciais de usuários

Descrição: um ataque de canal lateral de temporização permitia que um invasor recuperasse as chaves. O problema foi resolvido com a introdução do processamento em tempo constante.

CVE-2016-7056: Cesar Pereida García e Billy Brumley (Tampere University of Technology)

libxslt

Disponível para: OS X El Capitan 10.11.6

Impacto: diversas vulnerabilidades no libxslt

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-2477

libxslt

Disponível para: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 e Yosemite 10.10.5

Impacto: diversas vulnerabilidades no libxslt

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-5029: Holger Fuhrmannek

MCX Client

Disponível para: macOS Sierra 10.12.3

Impacto: remover um perfil de configuração com várias cargas úteis pode não eliminar a confiança de certificado do Active Directory

Descrição: havia um problema na desinstalação de perfis. Esse problema foi resolvido por meio de melhorias na limpeza.

CVE-2017-2402: um pesquisador anônimo

Menus

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode revelar a memória de processamento

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2422: @cocoahuke

OpenSSH

Disponível para: macOS Sierra 10.12.3

Impacto: diversos problemas no OpenSSH

Descrição: havia diversos problemas no OpenSSH antes da versão 7.4. Eles foram resolvidos com a atualização do OpenSSH para a versão 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Disponível para: macOS Sierra 10.12.3

Impacto: um usuário local pode causar vazamento de dados confidenciais de usuários

Descrição: um problema de canal lateral de temporização foi resolvido ao usar o processamento em tempo constante.

CVE-2016-7056: Cesar Pereida García e Billy Brumley (Tampere University of Technology)

Impressão

Disponível para: macOS Sierra 10.12.3

Impacto: clicar em um link IPP(S) malicioso pode causar a execução arbitrária de códigos

Descrição: um problema de string com formato descontrolado foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2403: beist da GrayHash

python

Disponível para: macOS Sierra 10.12.3

Impacto: processar arquivos zip criados com códigos maliciosos usando o Python pode causar a execução de códigos arbitrários

Descrição: havia um problema de corrompimento de memória no processamento de arquivos zip. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-5636

QuickTime

Disponível para: macOS Sierra 10.12.3

Impacto: visualizar um arquivo de mídia criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução de códigos arbitrários

Descrição: havia um problema de corrompimento de memória no QuickTime. Esse problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2413: Simon Huang(@HuangShaomang) e pjf do IceSword Lab da Qihoo 360

Segurança

Disponível para: macOS Sierra 10.12.3

Impacto: a validação de assinaturas vazias com o SecKeyRawVerify() pode obter sucesso inesperadamente

Descrição: havia um problema de validação com chamadas de API criptográficas. Esse problema foi resolvido por meio de melhorias na validação de parâmetros.

CVE-2017-2423: um pesquisador anônimo

Segurança

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo pode executar códigos arbitrários com privilégios raiz

Descrição: o estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2017-2451: Alex Radocea da Longterm Security, Inc.

Segurança

Disponível para: macOS Sierra 10.12.3

Impacto: processar um certificado x509 criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia um problema de memória corrompida na análise de certificados. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2485: Aleksandar Nikolic da Cisco Talos

SecurityFoundation

Disponível para: macOS Sierra 10.12.3

Impacto: processar um certificado criado com códigos maliciosos pode causar a execução de códigos arbitrários

Descrição: um problema do tipo "double free" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2425: kimyok do Tencent Security Platform Department

sudo

Disponível para: macOS Sierra 10.12.3

Impacto: um usuário em um grupo chamado "admin" em um servidor de diretório de rede pode conseguir aumentar privilégios inesperadamente usando o sudo

Descrição: havia um problema de acesso no sudo. Esse problema foi resolvido por meio de melhorias na verificação de permissões.

CVE-2017-2381

Proteção da Integridade do Sistema

Disponível para: macOS Sierra 10.12.3

Impacto: um aplicativo malicioso pode modificar locais de disco protegidos

Descrição: havia um problema de validação no processamento da instalação do sistema. Esse problema foi resolvido por meio de melhorias no processamento e na validação durante o processo de instalação.

CVE-2017-6974: Patrick Wardle da Synack

tcpdump

Disponível para: macOS Sierra 10.12.3

Impacto: um invasor com posição de rede privilegiada pode conseguir executar códigos arbitrários com a ajuda do usuário

Descrição: havia diversos problemas no tcpdump antes da versão 4.9.0. Eles foram resolvidos com a atualização do tcpdump para a versão 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Disponível para: macOS Sierra 10.12.3

Impacto: processar uma imagem criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos

Descrição: havia um problema de leitura fora dos limites no LibTIFF em versões anteriores à 4.0.7. Ele foi resolvido com a atualização do LibTIFF no AKCmds para a versão 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

Outros reconhecimentos

XNU

Queremos agradecer a Lufeng Li da Qihoo 360 Vulcan Team pela ajuda.