Acerca dos conteúdos de segurança do macOS Sierra 10.12.4, da Atualização de segurança 2017-001 El Capitan e da Atualização de segurança 2017-001 Yosemite

Este documento descreve os conteúdos de segurança do macOS Sierra 10.12.4, da Atualização de segurança 2017-001 El Capitan e da Atualização de segurança 2017-001 Yosemite.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple. Pode cifrar comunicações com a Apple através da Chave PGP de segurança dos produtos Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

macOS Sierra 10.12.4, Atualização de segurança 2017-001 El Capitan e Atualização de segurança 2017-001 Yosemite

Data de lançamento: 27 de março de 2017

apache

Disponível para: macOS Sierra 10.12.3

Impacto: um atacante remoto poderá conseguir provocar uma recusa de serviço

Descrição: existiam vários problemas em versões do Apache anteriores à 2.4.25. Estes problemas foram resolvidos através da atualização do Apache para a versão 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Entrada atualizada a 28 de março de 2017

apache_mod_php

Disponível para: macOS Sierra 10.12.3

Impacto: existiam vários problemas em versões do PHP anteriores à 5.6.30

Descrição: existiam vários problemas em versões do PHP anteriores à 5.6.30. Estes problemas foram resolvidos através da atualização do PHP para a versão 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvida uma condição de disputa através do processamento melhorado da memória.

CVE-2017-2421: @cocoahuke

AppleRAID

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.

CVE-2017-2438: sss e Axis da 360Nirvanteam

Áudio

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de um ficheiro de áudio criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.

CVE-2017-2430: um investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro

CVE-2017-2462: um investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro

Bluetooth

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa e Marko Laakso do Synopsys Software Integrity Group

Bluetooth

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

CVE-2017-2427: Axis e sss da Equipa Nirvan da Qihoo 360

Bluetooth

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.

CVE-2017-2449: sss e Axis da 360NirvanTeam

Carbon

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de um ficheiro .dfont criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da verificação melhorada dos limites.

CVE-2017-2379: riusksk (泉哥) do Departamento da plataforma de segurança da Tencent, John Villamil, Doyensec

CoreGraphics

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar uma recusa de serviço

Descrição: foi resolvido um problema de recursão infinita através da gestão melhorada do estado.

CVE-2017-2417: riusksk (泉哥) do Departamento da plataforma de segurança da Tencent

CoreMedia

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de um ficheiro .mov criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: existia um problema de corrupção de memória no processamento de ficheiros .mov. Este problema foi resolvido através da gestão melhorada da memória.

CVE-2017-2431: kimyok do Departamento da plataforma de segurança da Tencent

CoreText

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de um tipo de letra criado com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de uma mensagem de texto criada com intuito malicioso poderá provocar uma recusa de serviço da aplicação

Descrição: foi resolvido um problema de esgotamento de recursos através da validação melhorada da entrada.

CVE-2017-2461: Isaac Archambault da IDAoADI, um investigador anónimo

curl

Disponível para: macOS Sierra 10.12.3

Impacto: a introdução de dados criados com intuito malicioso na API libcurl por parte do utilizador poderá permitir a execução de um código arbitrário

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.

CVE-2016-9586: Daniel Stenberg da Mozilla

EFI

Disponível para: macOS Sierra 10.12.3

Impacto: um adaptador Thunderbolt malicioso poderá conseguir recuperar a palavra-passe de cifragem do FileVault 2

Descrição: existia um problema no processamento de DMA. Este problema foi resolvido através da ativação de VT-d na EFI.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

Disponível para: macOS Sierra 10.12.3

Impacto: as permissões poderão repor inesperadamente ao enviar ligações

Descrição: existia um problema de permissão no processamento da funcionalidade Enviar ligação da Partilha em iCloud. Este problema foi resolvido através de controlos melhorados da permissão.

CVE-2017-2429: Raymond Wong DO do Arnot Ogden Medical Center

Entrada atualizada a 23 de agosto de 2017

FontParser

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foram resolvidos vários problemas de corrupção de memória através da validação melhorada da entrada.

CVE-2017-2487: riusksk (泉哥) do Departamento da plataforma de segurança da Tencent

CVE-2017-2406: riusksk (泉哥) do Departamento da plataforma de segurança da Tencent

FontParser

Disponível para: macOS Sierra 10.12.3

Impacto: analisar um ficheiro de tipo de letra criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: foram resolvidos vários problemas de corrupção de memória através da validação melhorada da entrada.

CVE-2017-2407: riusksk (泉哥) do Departamento da plataforma de segurança da Tencent

FontParser

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de um tipo de letra criado com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2017-2439: John Villamil, Doyensec

FontParser

Disponível para: OS X El Capitan v10.11.6 e OS X Yosemite v10.10.5

Impacto: o processamento de um ficheiro de tipo de letra criado com intuito malicioso poderá provocar a execução de um código arbitrário 

Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da verificação melhorada dos limites.

CVE-2016-4688: Simon Huang da empresa Alipay

Entrada adicionada a 11 de abril de 2017

HTTPProtocol

Disponível para: macOS Sierra 10.12.3

Impacto: um servidor HTTP/2 malicioso poderá conseguir provocar um comportamento indefinido

Descrição: existiam vários problemas em versões do nghttp2 anteriores à 1.17.0. Estes problemas foram resolvidos através da atualização do nghttp2 para a versão 1.17.0.

CVE-2017-2428

Entrada atualizada a 28 de março de 2017

Hipervisor

Disponível para: macOS Sierra 10.12.3

Impacto: as aplicações que utilizam a estrutura do Hipervisor poderão divulgar inesperadamente o registo de controlo CR8 entre o convidado e o host

Descrição: foi resolvido um problema de divulgação de informação através da gestão melhorada do estado.

CVE-2017-2418: Alex Fishman e Izik Eidus da Veertu Inc.

iBooks

Disponível para: macOS Sierra 10.12.3

Impacto: analisar um ficheiro do iBooks criado com intuito malicioso poderá provocar a divulgação de ficheiros locais

Descrição: existia um problema de divulgação de informação no processamento de URL de ficheiros. Este problema foi resolvido através do processamento melhorado de URL.

CVE-2017-2426: Craig Arendt da Stratum Security, Jun Kokatsu (@shhnjk)

ImageIO

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) do KeenLab, Tencent

ImageIO

Disponível para: macOS Sierra 10.12.3, OS X El Capitan v10.11.6 e OS X Yosemite v10.10.5

Impacto: a visualização de um ficheiro JPEG criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.

CVE-2017-2432: um investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro

ImageIO

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de um ficheiro criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.

CVE-2017-2467

ImageIO

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação

Descrição: existia um problema de leitura fora dos limites em versões do LibTIFF anteriores à 4.0.7. Este problema foi resolvido através da atualização do LibTIFF no ImageIO para a versão 4.0.7.

CVE-2016-3619

Intel Graphics Driver

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel 

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.

CVE-2017-2443: Ian Beer do Google Project Zero

Intel Graphics Driver

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir divulgar a memória do kernel

Descrição: foi resolvido um problema de validação através da limpeza melhorada da entrada.

CVE-2017-2489: Ian Beer do Google Project Zero

Entrada adicionada a 31 de março de 2017

IOATAFamily

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

CVE-2017-2408: Yangkang (@dnpushme) da Equipa Qex da Qihoo 360

IOFireWireAVC

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.

CVE-2017-2436: Orr A, IBM Security

IOFireWireAVC

Disponível para: macOS Sierra 10.12.3

Impacto: um atacante local poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) da Blue Frost Security

IOFireWireFamily

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir provocar uma recusa de serviço

Descrição: foi resolvido um problema de perda de referência do indicador nulo através da validação melhorada da entrada.

CVE-2017-2388: Brandon Azad, um investigador anónimo

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.

CVE-2017-2398: Lufeng Li da Equipa Vulcan da Qihoo 360

CVE-2017-2401: Lufeng Li da Equipa Vulcan da Qihoo 360

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: existia um problema na validação de entrada no kernel. Este problema foi resolvido através da validação melhorada da entrada.

CVE-2017-2410: Apple

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de ultrapassagem do limite máximo de números inteiros através da validação melhorada da entrada.

CVE-2017-2440: um investigador anónimo

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios de raiz

Descrição: foi resolvida uma condição de disputa através do processamento melhorado da memória.

CVE-2017-2456: lokihardt do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.

CVE-2017-2472: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação maliciosa poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.

CVE-2017-2473: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de off-by-one através da verificação melhorada dos limites.

CVE-2017-2474: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.

CVE-2017-2478: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através do processamento melhorado da memória.

CVE-2017-2482: Ian Beer do Google Project Zero

CVE-2017-2483: Ian Beer do Google Project Zero

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios elevados

Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

CVE-2017-2490: Ian Beer do Google Project Zero, Centro Nacional de Cibersegurança do Reino Unido (NCSC)

Entrada adicionada a 31 de março de 2017

Kernel

Disponível para: macOS Sierra 10.12.3

Impacto: o ecrã poderá continuar inesperadamente desbloqueado quando a tampa estiver fechada

Descrição: foi resolvido um problema de bloqueio insuficiente através da gestão melhorada do estado.

CVE-2017-7070: Ed McKenzie

Entrada adicionada a 10 de agosto de 2017

Teclados

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir executar um código arbitrário

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.

CVE-2017-2458: Shashank (@cyberboyIndia)

Porta-chaves

Disponível para: macOS Sierra 10.12.3

Impacto: um atacante capaz de intercetar ligações TLS poderá conseguir ler segredos protegidos pelo Porta-chaves iCloud.

Descrição: em determinadas circunstâncias, o Porta-chaves iCloud não validava a autenticidade dos pacotes OTR. Este problema foi resolvido através da validação melhorada.

CVE-2017-2448: Alex Radocea da Longterm Security, Inc.

Entrada atualizada a 30 de março de 2017

libarchive

Disponível para: macOS Sierra 10.12.3

Impacto: um atacante local poderá conseguir modificar as permissões do sistema de ficheiros em diretórios arbitrários

Descrição: existia um problema de validação no processamento de ligações simbólicas. Este problema foi resolvido através da validação melhorada de ligações simbólicas.

CVE-2017-2390: Omer Medan da enSilo Ltd

libc++abi

Disponível para: macOS Sierra 10.12.3

Impacto: descodificar (demangling) uma aplicação C++ maliciosa poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) através da gestão melhorada da memória.

CVE-2017-2441

LibreSSL

Disponível para: macOS Sierra 10.12.3 e OS X El Capitan v10.11.6

Impacto: um utilizador local poderá conseguir divulgar informações confidenciais de utilizadores

Descrição: um canal lateral de tempo autorizava que um atacante recuperasse chaves. Este problema foi resolvido através da introdução da computação constante do tempo.

CVE-2016-7056: Cesar Pereida García e Billy Brumley (Universidade de Tecnologia de Tampere)

libxslt

Disponível para: OS X El Capitan v10.11.6

Impacto: várias vulnerabilidades no libxslt

Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.

CVE-2017-2477

Entrada adicionada a 30 de março de 2017

libxslt

Disponível para: macOS Sierra 10.12.3, OS X El Capitan v10.11.6 e Yosemite v10.10.5

Impacto: várias vulnerabilidades no libxslt

Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.

CVE-2017-5029: Holger Fuhrmannek

Entrada adicionada a 28 de março de 2017

MCX Client

Disponível para: macOS Sierra 10.12.3

Impacto: a remoção de um perfil de configuração com várias entidades poderá não remover a confiança de certificados do Active Directory

Descrição: existia um problema na desinstalação do perfil. Este problema foi resolvido através de uma melhoria na limpeza.

CVE-2017-2402: um investigador anónimo

Menus

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir divulgar a memória de processamento

Descrição: foi resolvido um problema de leitura fora dos limites através da validação melhorada da entrada.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

CVE-2017-2422: @cocoahuke

OpenSSH

Disponível para: macOS Sierra 10.12.3

Impacto: vários problemas no OpenSSH

Descrição: existiam vários problemas em versões do OpenSSH anteriores à 7.4. Estes problemas foram resolvidos através da atualização do OpenSSH para a versão 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Disponível para: macOS Sierra 10.12.3

Impacto: um utilizador local poderá conseguir divulgar informações confidenciais de utilizadores

Descrição: foi resolvido um problema do canal lateral de tempo através da utilização de computação constante do tempo.

CVE-2016-7056: Cesar Pereida García e Billy Brumley (Universidade de Tecnologia de Tampere)

Impressão

Disponível para: macOS Sierra 10.12.3

Impacto: clicar numa ligação IPP(S) maliciosa poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de cadeia de formato sem controlo através da validação melhorada da entrada.

CVE-2017-2403: beist da GrayHash

python

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de arquivos zip criados com intuito malicioso com o Python poderá provocar a execução de um código arbitrário

Descrição: existia um problema de corrupção de memória no processamento de arquivos zip. Este problema foi resolvido através da validação melhorada da entrada.

CVE-2016-5636

QuickTime

Disponível para: macOS Sierra 10.12.3

Impacto: a visualização de um ficheiro multimédia criado com intuito malicioso poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: existia um problema de corrupção de memória no QuickTime. Este problema foi resolvido através do processamento melhorado da memória.

CVE-2017-2413: Simon Huang(@HuangShaomang) e pjf do IceSword Lab da Qihoo 360

Segurança

Disponível para: macOS Sierra 10.12.3

Impacto: a validação de assinaturas vazias com SecKeyRawVerify() poderá resultar inesperadamente

Descrição: existia um problema de validação com chamadas API criptográficas. Este problema foi resolvido através da validação melhorada de parâmetros.

CVE-2017-2423: um investigador anónimo

Segurança

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios de raiz

Descrição: foi resolvido um problema de ultrapassagem do limite máximo do buffer através da verificação melhorada dos limites.

CVE-2017-2451: Alex Radocea da Longterm Security, Inc.

Segurança

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de um certificado x509 criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: existia um problema de corrupção de memória na análise de certificados. Este problema foi resolvido através da validação melhorada da entrada.

CVE-2017-2485: Aleksandar Nikolic da Cisco Talos

SecurityFoundation

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de um certificado criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de libertação dupla através da gestão melhorada da memória.

CVE-2017-2425: kimyok do Departamento da plataforma de segurança da Tencent

sudo

Disponível para: macOS Sierra 10.12.3

Impacto: um utilizador num grupo chamado "admin" num servidor de diretório de rede poderá obter inesperadamente mais privilégios com o sudo

Descrição: existia um problema de acesso no sudo. Este problema foi resolvido através da verificação melhorada das permissões.

CVE-2017-2381

Proteção de integridade do sistema

Disponível para: macOS Sierra 10.12.3

Impacto: uma aplicação maliciosa poderá conseguir modificar localizações protegidas no disco

Descrição: existia um problema de validação no processamento da instalação do sistema. Este problema foi resolvido através de uma melhoria no processamento e na validação durante o processo de instalação.

CVE-2017-6974: Patrick Wardle da Synack

tcpdump

Disponível para: macOS Sierra 10.12.3

Impacto: um atacante com uma posição privilegiada na rede poderá conseguir executar um código arbitrário com o auxílio de um utilizador

Descrição: existiam vários problemas em versões do tcpdump anteriores à 4.9.0. Estes problemas foram resolvidos através da atualização do tcpdump para a versão 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Disponível para: macOS Sierra 10.12.3

Impacto: o processamento de uma imagem criada com intuito malicioso poderá provocar o encerramento inesperado da aplicação

Descrição: existia um problema de leitura fora dos limites em versões do LibTIFF anteriores à 4.0.7. Este problema foi resolvido através da atualização do LibTIFF no AKCmds para a versão 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

O macOS Sierra 10.12.4, a Atualização de segurança 2017-001 El Capitan e a Atualização de segurança 2017-001 Yosemite incluem os conteúdos de segurança do Safari 10.1.

Agradecimentos adicionais

XNU

Gostaríamos de agradecer a Lufeng Li da Equipa Vulcan da Qihoo 360 pela sua ajuda.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: