Despre conținutul de securitate din macOS High Sierra 10.13

Acest document descrie conținutul de securitate din macOS High Sierra 10.13.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

macOS High Sierra 10.13

Publicare: 25 septembrie 2017

802.1X

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: un atacator ar putea exploata vulnerabilități din TLS 1.0

Descriere: a fost rezolvată o problemă legată de securitatea protocoalelor prin activarea TLS 1.1 și TLS 1.2.

CVE-2017-13832: Doug Wussler (Florida State University)

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017

apache

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: probleme multiple în Apache

Descriere: au existat probleme multiple în Apache. Aceste probleme au fost rezolvate prin actualizarea Apache la versiunea 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Adăugare intrare: 31 octombrie 2017; actualizare intrare: 14 decembrie 2018

Configurări ale contului Apple

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: un atacator local poate obține acces la tokenuri de identificare iCloud

Descriere: a existat o problemă la stocarea tokenurilor sensibile. Această problemă a fost rezolvată prin plasarea tokenurilor în Portchei.

CVE-2017-13909: Andreas Nilsson

Adăugare intrare: 18 octombrie 2018

AppleScript

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: decompilarea unui AppleScript cu osadecompile poate duce la executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-13809: bat0s

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017

Application Firewall

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o configurare de firewall pentru aplicații refuzată anterior poate avea efect după upgrade

Descriere: a existat o problemă de upgrade la tratarea configurărilor de firewall. Această problemă a fost rezolvată prin îmbunătățirea configurărilor de firewall în timpul upgrade-urilor.

CVE-2017-7084: un cercetător anonim

AppSandbox

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: au fost rezolvate mai multe probleme de refuzare a serviciilor (DoS) prin îmbunătățirea tratării memoriei.

CVE-2017-7074: Daniel Jalkut (Red Sweater Software)

ATS

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-13820: John Villamil (Doyensec)

Intrare adăugată pe 31 octombrie 2017

Audio

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: analizarea unui fișier QuickTime creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13807: Yangkang (@dnpushme) (echipa Qihoo 360 Qex)

Intrare adăugată pe 31 octombrie 2017

Captive Network Assistant

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: este posibil ca un utilizator local să trimită fără să știe o parolă necriptată în rețea

Descriere: starea securității browserului de portal captiv nu era evidentă. Această problemă a fost rezovată prin îmbunătățirea vizibilității stării securității browserului portalului captiv.

CVE-2017-7143: Matthew Green (Johns Hopkins University)

Actualizare intrare: 3 octombrie 2017

CFNetwork

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13829: Niklas Baumstark și Samuel Gro în colaborare cu Zero Day Initiative (Trend Micro) 

CVE-2017-13833: Niklas Baumstark și Samuel Gro în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată pe 10 noiembrie 2017

Servere proxy CFNetwork

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: un atacator dintr-o poziție privilegiată în rețea poate cauza o refuzare a serviciului

Descriere: au fost rezolvate mai multe probleme de refuzare a serviciilor (DoS) prin îmbunătățirea tratării memoriei.

CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)

CFString

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

Intrare adăugată pe 31 octombrie 2017

CoreAudio

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin actualizarea la Opus versiunea 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) (Mobile Threat Research Team, Trend Micro)

CoreText

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de consumare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 16 noiembrie 2018

CoreTypes

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: procesarea unei pagini web create cu rea intenție poate cauza montarea unei imagini de disc

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2017-13890: Apple, Theodor Ragnar Gislason (Syndis)

Adăugare intrare: 29 martie 2018

DesktopServices

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: un atacator local poate observa date de utilizator neprotejate

Descriere: a existat o problemă de acces la fișiere la anumite fișiere din dosarul principal. Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de acces.

CVE-2017-13851: Henrique Correa de Amorim

Adăugare intrare: 2 noiembrie 2017; actualizare intrare: 14 februarie 2018

Utilitar director

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: un atacator local poate afla ID-ul Apple al proprietarului computerului

Descriere: a existat o problemă de permisiune la tratarea ID-ului Apple. Această problemă a fost rezolvată prin îmbunătățirea controalelor accesului.

CVE-2017-7138: Daniel Kvak (Masaryk University)

Actualizare intrare: 3 octombrie 2017

fișier

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: probleme multiple în fișier

Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 5.30.

CVE-2017-7121: problemă găsită de OSS-Fuzz

CVE-2017-7122: problemă găsită de OSS-Fuzz

CVE-2017-7123: problemă găsită de OSS-Fuzz

CVE-2017-7124: problemă găsită de OSS-Fuzz

CVE-2017-7125: problemă găsită de OSS-Fuzz

CVE-2017-7126: problemă găsită de OSS-Fuzz

fișier

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: probleme multiple în fișier

Descriere: mai multe probleme au fost rezolvate prin actualizarea la versiunea 5.31.

CVE-2017-13815

Intrare adăugată pe 31 octombrie 2017

Fonturi

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: redarea unui text care nu prezintă încredere ar putea duce la compromiterea adresei IP

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

CVE-2017-13828: Leonard Grey și Robert Sesek (Google Chrome)

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017

fsck_msdos

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13811: V.E.O. (@VYSEa) (echipa Mobile Advanced Threat de la Trend Micro)

Actualizare intrare:2 noiembrie 2017

fsck_msdos

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii ridicate

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13835: un cercetător anonim

Adăugare intrare: 18 octombrie 2018

Heimdal

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: un atacator cu poziție privilegiată în rețea poate simula identitatea unui serviciu

Descriere: a existat o problemă de validare la tratarea numelui serviciului KDC-REP. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni și Nico Williams

HelpViewer

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: un fișier HTML în carantină poate executa un JavaScript cu origini încrucișate arbitrare

Descriere: a existat o problemă de script trans-site în HelpViewer. Această problemă a fost rezolvată eliminând fișierul afectat.

CVE-2017-13819: Filippo Cavallarin (SecuriTeam Secure Disclosure)

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017

HFS

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13830: Sergej Schumilo, Ruhr-University Bochum

Intrare adăugată pe 31 octombrie 2017

ImageIO

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 16 noiembrie 2018

ImageIO

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-13831: Glen Carmichael

Adăugare intrare: 31 octombrie 2017; actualizare intrare: 3 aprilie 2019

Program de instalare

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație rău intenționată poate accesa cheia de deblocare FileVault

Descriere: această problemă a fost rezolvată prin eliminarea drepturilor suplimentare.

CVE-2017-13837: Patrick Wardle (Synack)

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017

IOAcceleratorFamily

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13906

Adăugare intrare: 18 octombrie 2018

IOFireWireFamily

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7077: Brandon Azad

IOFireWireFamily

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng (Alibaba Inc.), Benjamin Gnahm (@mitp0sh) (PDX)

Kernel

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)

Kernel

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: un utilizator local poate cauza scurgeri de informații sensibile ale utilizatorilor

Descriere: a existat o problemă de permisiune la contoarele pachetului kernel. Această problemă a fost rezolvată prin îmbunătăţirea validării permisiunilor.

CVE-2017-13810: Zhiyun Qian (Universitatea din California, Riverside)

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017

Kernel

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: un utilizator local poate citi memoria kernel

Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-13817: Maxime Villard (m00nbsd)

Intrare adăugată pe 31 octombrie 2017

Kernel

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-13818: National Cyber Security Centre (NCSC) (Regatul Unit)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse (Semmle Ltd.)

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 18 iunie 2018

Kernel

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13843: un cercetător anonim, un cercetător anonim

Intrare adăugată pe 31 octombrie 2017

Kernel

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13854: shrek_wzw (Qihoo 360 Nirvan Team)

Intrare adăugată pe 2 noiembrie 2017

Kernel

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: procesarea unui fișier binar mach malformat poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea validării.

CVE-2017-13834: Maxime Villard (m00nbsd)

Intrare adăugată pe 10 noiembrie 2017

Kernel

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație rău intenționată poate afla informații despre prezența și funcționarea altor aplicații pe dispozitiv.

Descriere: o aplicație putea accesa informații despre activitatea în rețea menținute nerestricționate de către sistemul de operare. Această problemă a fost rezolvată prin reducerea informațiilor disponibile pentru aplicații de la terțe părți.

CVE-2017-13873: Xiaokuan Zhang și Yinqian Zhang (Ohio State University), Xueqiang Wang și XiaoFeng Wang (Indiana University Bloomington) și Xiaolong Bai (Tsinghua University)

Intrare adăugată pe 30 noiembrie 2017

Instrumente kext

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de eroare de logică la încărcarea ktext prin îmbunătățirea tratării stării.

CVE-2017-13827: un cercetător anonim

Intrare adăugată pe 31 octombrie 2017

libarchive

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire a zonei-tampon prin îmbunătățirea tratării memoriei.

CVE-2017-13813: problemă găsită de OSS-Fuzz

CVE-2017-13816: problemă găsită de OSS-Fuzz

Intrare adăugată pe 31 octombrie 2017

libarchive

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: în libarchive erau mai multe probleme de corupere a memoriei. Aceste probleme au fost rezolvate printr-o validare îmbunătățită a intrărilor.

CVE-2017-13812: problemă găsită de OSS-Fuzz

Intrare adăugată pe 31 octombrie 2017

libarchive

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2016-4736: un cercetător anonim

Intrare adăugată pe 31 octombrie 2017

libc

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: a fost rezolvată o problemă de epuizare a resurselor în glob() printr-un algoritm îmbunătățit.

CVE-2017-7086: Russ Cox (Google)

libc

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-1000373

libexpat

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: probleme multiple în expat

Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 2.2.1.

CVE-2016-9063

CVE-2017-9233

libxml2

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de anulare a referinței pentru indicatorul nul prin îmbunătățirea validării.

CVE-2018-4302: Gustavo Grieco

Adăugare intrare: 18 octombrie 2018

libxml2

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2017-5130: un cercetător anonim

CVE-2017-7376: un cercetător anonim

Adăugare intrare: 18 octombrie 2018

libxml2

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-9050: Mateusz Jurczyk (j00ru) de la Google Project Zero

Adăugare intrare: 18 octombrie 2018

libxml2

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2017-9049: Wei Lei și Liu Yang - Nanyang Technological University din Singapore

Adăugare intrare: 18 octombrie 2018

Mail

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: expeditorul unui e-mail poate afla adresa IP a destinatarului

Descriere: dezactivarea opțiunii „Încarcă în mesaje conținutul extern” nu se aplica tuturor cutiilor poștale. Această problemă a fost rezolvată prin îmbunătățirea propagării configurărilor.

CVE-2017-7141: John Whitehead (The New York Times)

Actualizare intrare: 3 octombrie 2017

Ciorne de e-mailuri

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: un atacator cu poziție privilegiată în rețea poate intercepta conținutul e-mailurilor

Descriere: a existat o problemă de criptare la tratarea ciornelor de e-mailuri. Această problemă a fost rezolvată prin îmbunătățirea tratării ciornelor de e-mailuri menite să fie trimise criptate.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE din Marsilia (Franța), un cercetător anonim

Actualizare intrare: 3 octombrie 2017

ntp

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: mai multe probleme în ntp

Descriere: mai multe probleme au fost rezolvate prin actualizarea la versiunea 4.2.8p10

CVE-2017-6451: Cure53 

CVE-2017-6452: Cure53 

CVE-2017-6455: Cure53 

CVE-2017-6458: Cure53 

CVE-2017-6459: Cure53 

CVE-2017-6460: Cure53 

CVE-2017-6462: Cure53 

CVE-2017-6463: Cure53 

CVE-2017-6464: Cure53

CVE-2016-9042: Matthew Van Gundy (Cisco)

Open Scripting Architecture

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: decompilarea unui AppleScript cu osadecompile poate duce la executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13824: un cercetător anonim

Intrare adăugată pe 31 octombrie 2017

PCRE

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: probleme multiple în pcre

Descriere: mai multe probleme au fost rezolvate prin actualizarea la versiunea 8.40.

CVE-2017-13846

Intrare adăugată pe 31 octombrie 2017

Postfix

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: probleme multiple în Postfix

Descriere: mai multe probleme au fost rezolvate prin actualizarea la versiunea 3.2.2.

CVE-2017-10140: un cercetător anonim

Adăugare intrare: 31 octombrie 2017; actualizare intrare: 17 noiembrie 2017

Quick Look

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

Intrare adăugată pe 31 octombrie 2017

Quick Look

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: analizarea unui document Office creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

Intrare adăugată pe 31 octombrie 2017

QuickTime

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-13823: Xiangkun Jia (Institute of Software Chinese Academy of Sciences)

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017

Gestiune de la distanță

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13808: un cercetător anonim

Intrare adăugată pe 31 octombrie 2017

Sandbox

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13838: Alastair Houghton

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017

Blocare ecran

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: pot aprea solicitări Firewall aplicație în Fereastră de login

Descriere: a fost rezolvată o problemă de gestionare a ferestrelor prin gestionarea îmbunătățită a stării.

CVE-2017-7082: Tim Kingman

Securitate

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: un certificat revocat poate fi considerat ca fiind de încredere

Descriere: a existat o problemă de validare la tratarea datelor de revocare. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2017-7080: Sven Driemecker (adesso mobile solutions gmbh), Rune Darrud (@theflyingcorpse) (Bærum kommune), un cercetător anonim, un cercetător anonim

SMB

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: este posibil ca un atacator local să poată executa fișiere text neexecutabile prin intermediul unei partajări SMB

Descriere: o problemă privind tratarea permisiunilor pentru fișiere a fost rezolvată prin îmbunătățirea validării.

CVE-2017-13908: un cercetător anonim

Adăugare intrare: 18 octombrie 2018

Spotlight

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: Spotlight poate afișa rezultate pentru fișiere care nu aparțin utilizatorului

Descriere: a existat o problemă de acces în Spotlight. Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de accesare.

CVE-2017-13839: Ken Harris (Free Robot Collective)

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017

Spotlight

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate accesa fișiere restricționate

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox în aplicații.

CVE-2017-13910

Adăugare intrare: 18 octombrie 2018

SQLite

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: probleme multiple în SQLite

Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 3.19.3.

CVE-2017-10989: problemă găsită de OSS-Fuzz

CVE-2017-7128: problemă găsită de OSS-Fuzz

CVE-2017-7129: problemă găsită de OSS-Fuzz

CVE-2017-7130: problemă găsită de OSS-Fuzz

SQLite

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7127: un cercetător anonim

zlib

Disponibilitate pentru: OS X Mountain Lion 10.8 și versiuni ulterioare

Impact: probleme multiple în zlib

Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Alte mențiuni

Securitate

Dorim să-i mulțumim lui Abhinav Bansal (Zscaler, Inc.) pentru asistența acordată.

NSWindow

Dorim să-i mulțumim lui Trent Apted de la Google Chrome Team pentru asistența acordată.

WebKit Web Inspector

Dorim să-i mulțumim lui Ioan Bizău (Bloggify) pentru asistența acordată.

Actualizare suplimentară macOS High Sierra 10.13

Noile descărcări de macOS High Sierra 10.13 includ conținutul de securitate din Actualizarea de securitate macOS High Sierra 10.13.

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: