Sobre o conteúdo de segurança do macOS Sierra 10.12.6, a atualização de segurança 2017-003 do El Capitan e a atualização de segurança 2017-003 do Yosemite

Este documento explica o conteúdo de segurança do macOS Sierra 10.12.6, a atualização de segurança 2017-003 do El Capitan e a atualização de segurança 2017-003 do Yosemite.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

macOS Sierra 10.12.6, atualização de segurança 2017-003 do El Capitan e atualização de segurança 2017-003 do Yosemite

Lançado em 19 de julho de 2017

afclip

Disponível para: macOS Sierra 10.12.5

Impacto: processar um arquivo de áudio criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-7016: riusksk (泉哥) do Tencent Security Platform Department

afclip

Disponível para: macOS Sierra 10.12.5

Impacto: processar um arquivo de áudio criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7033: riusksk (泉哥) do Tencent Security Platform Department

AppleGraphicsPowerManagement

Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7021: sss e Axis da Qihoo 360 Nirvan Team

Áudio

Disponível para: macOS Sierra 10.12.5

Impacto: processar um arquivo de áudio criado com códigos maliciosos pode divulgar memória restrita

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7015: riusksk (泉哥) do Tencent Security Platform Department

Bluetooth

Disponível para: macOS Sierra 10.12.5

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7050: Min (Spark) Zheng da Alibaba Inc.

CVE-2017-7051: Alex Plaskett da MWR InfoSecurity

Bluetooth

Disponível para: macOS Sierra 10.12.5

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7054: Alex Plaskett da MWR InfoSecurity, Lufeng Li da Qihoo 360 Vulcan Team

Contatos

Disponível para: macOS Sierra 10.12.5

Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

Disponível para: macOS Sierra 10.12.5

Impacto: processar um arquivo de filme criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na verificação de limites.

CVE-2017-7008: Yangkang (@dnpushme) da Qihoo 360 Qex Team

curl

Disponível para: macOS Sierra 10.12.5

Impacto: diversos problemas no curl

Descrição: diversos problemas foram resolvidos ao fazer a atualização para a versão 7.54.0.

CVE-2016-9586

CVE-2016-9594

CVE-2017-2629

CVE-2017-7468

Foundation

Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impacto: processar um arquivo criado com códigos maliciosos pode causar a execução de códigos arbitrários

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-7031: HappilyCoded (ant4g0nist e r3dsm0k3)

Font Importer

Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-13850: John Villamil, Doyensec

Entrada adicionada em 31 de outubro de 2017

Driver da placa gráfica da Intel

Disponível para: macOS Sierra 10.12.5

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7014: Lee do Minionz, Axis e sss da Qihoo 360 Nirvan Team

CVE-2017-7017: chenqin do Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7035: shrek_wzw da Qihoo 360 Nirvan Team

CVE-2017-7044: shrek_wzw da Qihoo 360 Nirvan Team

Driver da placa gráfica da Intel

Disponível para: macOS Sierra 10.12.5

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2017-7036: shrek_wzw da Qihoo 360 Nirvan Team

CVE-2017-7045: shrek_wzw da Qihoo 360 Nirvan Team

IOUSBFamily

Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7009: shrek_wzw da Qihoo 360 Nirvan Team

Kernel

Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7022: um pesquisador anônimo

CVE-2017-7024: um pesquisador anônimo

Kernel

Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7023: um pesquisador anônimo

Kernel

Disponível para: macOS Sierra 10.12.5

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7025: um pesquisador anônimo

CVE-2017-7027: um pesquisador anônimo

CVE-2017-7069: Proteas da Qihoo 360 Nirvan Team

Kernel

Disponível para: macOS Sierra 10.12.5

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7026: um pesquisador anônimo

Kernel

Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2017-7028: um pesquisador anônimo

CVE-2017-7029: um pesquisador anônimo

Kernel

Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2017-7067: shrek_wzw da Qihoo 360 Nirvan Team

Ferramentas de kext

Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7032: Axis e sss da Qihoo 360 Nirvan Team

libarchive

Disponível para: macOS Sierra 10.12.5

Impacto: descompactar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: o estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2017-7068: encontrado por OSS-Fuzz

libxml2

Disponível para: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 e OS X Yosemite 10.10.5

Impacto: analisar um documento XML criado com códigos maliciosos pode levar à divulgação das informações do usuário

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2017-7010: Apple

CVE-2017-7013: encontrado por OSS-Fuzz

libxpc

Disponível para: macOS Sierra 10.12.5 e OS X El Capitan 10.11.6

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7047: Ian Beer do Google Project Zero

Wi-Fi

Disponível para: macOS Sierra 10.12.5

Impacto: um invasor dentro da área de alcance pode executar códigos arbitrários no chip de Wi-Fi

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7065: Gal Beniamini do Google Project Zero

Entrada adicionada em 25 de setembro de 2017

Wi-Fi

Disponível para: macOS Sierra 10.12.5

Impacto: um invasor dentro da área de alcance pode executar códigos arbitrários no chip de Wi-Fi

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-9417: Nitay Artenstein da Exodus Intelligence

macOS Sierra 10.12.6, atualização de segurança 2017-003 El Capitan e atualização de segurança 2017-003 Yosemite inclui o conteúdo de segurança do Safari 10.1.2.

Outros reconhecimentos

curl

Gostaríamos de agradecer a Dave Murdock da Tangerine Element pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: