Сведения о проблемах системы безопасности, устраняемых обновлением macOS Sierra 10.12.3
В этой статье описываются проблемы системы безопасности, устраненные в обновлении macOS Sierra 10.12.3.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или выпуски. Последние выпуски перечислены на странице Обновления системы безопасности Apple.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
macOS Sierra 10.12.3
Сервер APNs
Применимо к macOS Sierra 10.12.2
Воздействие. Злоумышленник с преимущественным положением в сети может отслеживать действия пользователя.
Описание. Сертификат клиент отправлялся обычным текстом. Проблема устранена путем улучшенной обработки сертификатов.
CVE-2017-2383: Матиас Вакс (Matthias Wachs) и Квирин Шейтле (Quirin Scheitle) из технического университета Мюнхена (TUM)
apache_mod_php
Применимо к macOS Sierra 10.12.2
Воздействие. Обнаружен ряд проблем в PHP.
Описание. Проблемы были устранены путем обновления до версии PHP 5.6.28.
CVE-2016-8670
CVE-2016-9933
CVE-2016-9934
Bluetooth
Применимо к macOS Sierra 10.12.2
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема использования памяти после ее освобождения устранена путем улучшения процедур работы с памятью.
CVE-2017-2353: Иэн Бир (Ian Beer) из подразделения Google Project Zero
Графические драйверы
Применимо к macOS Sierra 10.12.2
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.
CVE-2017-2358: команда Pangu и lokihardt на PwnFest 2016
Help Viewer
Применимо к macOS Sierra 10.12.2
Воздействие. Обработка вредоносного веб-содержимого могла привести к выполнению произвольного кода.
Описание. Проблема межсайтовых скриптов устранена путем улучшенной проверки URL-адресов.
CVE-2017-2361: lokihardt из Google Project Zero
IOAudioFamily
Применимо к macOS Sierra 10.12.2
Воздействие. Программа может выявлять схему распределения памяти в ядре.
Описание. Проблема неинициализированного доступа к памяти устранена путем улучшенного управления памятью.
CVE-2017-2357: команда Pangu и lokihardt на PwnFest 2016
Ядро
Применимо к macOS Sierra 10.12.2
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2017-2370: Иэн Бир (Ian Beer) из подразделения Google Project Zero
Ядро
Применимо к macOS Sierra 10.12.2
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема использования памяти после ее освобождения устранена путем улучшения процедур работы с памятью.
CVE-2017-2360: Иэн Бир (Ian Beer) из подразделения Google Project Zero
libarchive
Применимо к macOS Sierra 10.12.2
Воздействие. Распаковка вредоносного архива может приводить к выполнению произвольного кода.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2016-8687: Агустино Саруббо (Agostino Sarubbo) из Gentoo
Vim
Применимо к macOS Sierra 10.12.2
Воздействие. Открытие вредоносного файла может привести к неожиданному завершению работы программы или выполнению произвольного кода.
Описание. В модуле modelines возникала проблема проверки ввода. Проблема устранена путем улучшенной проверки ввода.
CVE-2016-1248: Флориан Ларыш (Florian Larysch)
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.