Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
macOS Sierra 10.12.6, atualização de segurança 2017-003 do El Capitan e atualização de segurança 2017-003 do Yosemite
Lançado em 19 de julho de 2017
afclip
Disponível para: macOS Sierra 10.12.5
Impacto: processar um arquivo de áudio criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-7016: riusksk (泉哥) do Tencent Security Platform Department
afclip
Disponível para: macOS Sierra 10.12.5
Impacto: processar um arquivo de áudio criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7033: riusksk (泉哥) do Tencent Security Platform Department
AppleGraphicsPowerManagement
Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7021: sss e Axis da Qihoo 360 Nirvan Team
Áudio
Disponível para: macOS Sierra 10.12.5
Impacto: processar um arquivo de áudio criado com códigos maliciosos pode divulgar memória restrita
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7015: riusksk (泉哥) do Tencent Security Platform Department
Bluetooth
Disponível para: macOS Sierra 10.12.5
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7050: Min (Spark) Zheng da Alibaba Inc.
CVE-2017-7051: Alex Plaskett da MWR InfoSecurity
Bluetooth
Disponível para: macOS Sierra 10.12.5
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7054: Alex Plaskett da MWR InfoSecurity, Lufeng Li da Qihoo 360 Vulcan Team
Contatos
Disponível para: macOS Sierra 10.12.5
Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
Disponível para: macOS Sierra 10.12.5
Impacto: processar um arquivo de filme criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na verificação de limites.
CVE-2017-7008: Yangkang (@dnpushme) da Qihoo 360 Qex Team
curl
Disponível para: macOS Sierra 10.12.5
Impacto: diversos problemas no curl
Descrição: diversos problemas foram resolvidos ao fazer a atualização para a versão 7.54.0.
CVE-2016-9586
CVE-2016-9594
CVE-2017-2629
CVE-2017-7468
Foundation
Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impacto: processar um arquivo criado com códigos maliciosos pode causar a execução de códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-7031: HappilyCoded (ant4g0nist e r3dsm0k3)
Font Importer
Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-13850: John Villamil, Doyensec
Entrada adicionada em 31 de outubro de 2017
Driver da placa gráfica da Intel
Disponível para: macOS Sierra 10.12.5
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7014: Lee do Minionz, Axis e sss da Qihoo 360 Nirvan Team
CVE-2017-7017: chenqin do Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7035: shrek_wzw da Qihoo 360 Nirvan Team
CVE-2017-7044: shrek_wzw da Qihoo 360 Nirvan Team
Driver da placa gráfica da Intel
Disponível para: macOS Sierra 10.12.5
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2017-7036: shrek_wzw da Qihoo 360 Nirvan Team
CVE-2017-7045: shrek_wzw da Qihoo 360 Nirvan Team
IOUSBFamily
Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7009: shrek_wzw da Qihoo 360 Nirvan Team
Kernel
Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7022: um pesquisador anônimo
CVE-2017-7024: um pesquisador anônimo
Kernel
Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7023: um pesquisador anônimo
Kernel
Disponível para: macOS Sierra 10.12.5
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7025: um pesquisador anônimo
CVE-2017-7027: um pesquisador anônimo
CVE-2017-7069: Proteas da Qihoo 360 Nirvan Team
Kernel
Disponível para: macOS Sierra 10.12.5
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7026: um pesquisador anônimo
Kernel
Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2017-7028: um pesquisador anônimo
CVE-2017-7029: um pesquisador anônimo
Kernel
Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2017-7067: shrek_wzw da Qihoo 360 Nirvan Team
Ferramentas de kext
Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7032: Axis e sss da Qihoo 360 Nirvan Team
libarchive
Disponível para: macOS Sierra 10.12.5
Impacto: descompactar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: o estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2017-7068: encontrado por OSS-Fuzz
libxml2
Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5
Impacto: analisar um documento XML criado com códigos maliciosos pode levar à divulgação das informações do usuário
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2017-7010: Apple
CVE-2017-7013: encontrado por OSS-Fuzz
libxpc
Disponível para: macOS Sierra 10.12.5 e OS X El Capitan 10.11.6
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7047: Ian Beer do Google Project Zero
Wi-Fi
Disponível para: macOS Sierra 10.12.5
Impacto: um invasor dentro da área de alcance pode executar códigos arbitrários no chip de Wi-Fi
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-7065: Gal Beniamini do Google Project Zero
Entrada adicionada em 25 de setembro de 2017
Wi-Fi
Disponível para: macOS Sierra 10.12.5
Impacto: um invasor dentro da área de alcance pode executar códigos arbitrários no chip de Wi-Fi
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-9417: Nitay Artenstein da Exodus Intelligence
macOS Sierra 10.12.6, atualização de segurança 2017-003 El Capitan e atualização de segurança 2017-003 Yosemite inclui o conteúdo de segurança do Safari 10.1.2.
Outros reconhecimentos
curl
Gostaríamos de agradecer a Dave Murdock da Tangerine Element pela ajuda.