Сведения о проблемах системы безопасности, устраняемых обновлением macOS Sierra 10.12.3

В этой статье описываются проблемы системы безопасности, устраненные в обновлении macOS Sierra 10.12.3.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или выпуски. Последние выпуски перечислены на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

macOS Sierra 10.12.3

Выпущено 23 января 2017 г.

Сервер APNs

Применимо к macOS Sierra 10.12.2

Воздействие. Злоумышленник с преимущественным положением в сети может отслеживать действия пользователя.

Описание. Сертификат клиент отправлялся обычным текстом. Проблема устранена путем улучшенной обработки сертификатов.

CVE-2017-2383: Матиас Вакс (Matthias Wachs) и Квирин Шейтле (Quirin Scheitle) из технического университета Мюнхена (TUM)

Запись добавлена 28 марта 2017 г.

apache_mod_php

Применимо к macOS Sierra 10.12.2

Воздействие. Обнаружен ряд проблем в PHP.

Описание. Проблемы были устранены путем обновления до версии PHP 5.6.28.

CVE-2016-8670

CVE-2016-9933

CVE-2016-9934

Bluetooth

Применимо к macOS Sierra 10.12.2

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема использования памяти после ее освобождения устранена путем улучшения процедур работы с памятью.

CVE-2017-2353: Иэн Бир (Ian Beer) из подразделения Google Project Zero

Графические драйверы

Применимо к macOS Sierra 10.12.2

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2017-2358: команда Pangu и lokihardt на PwnFest 2016

Help Viewer

Применимо к macOS Sierra 10.12.2

Воздействие. Обработка вредоносного веб-содержимого могла привести к выполнению произвольного кода.

Описание. Проблема межсайтовых скриптов устранена путем улучшенной проверки URL-адресов.

CVE-2017-2361: lokihardt из Google Project Zero

IOAudioFamily

Применимо к macOS Sierra 10.12.2

Воздействие. Программа может выявлять схему распределения памяти в ядре.

Описание. Проблема неинициализированного доступа к памяти устранена путем улучшенного управления памятью.

CVE-2017-2357: команда Pangu и lokihardt на PwnFest 2016

Ядро

Применимо к macOS Sierra 10.12.2

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2017-2370: Иэн Бир (Ian Beer) из подразделения Google Project Zero

Ядро

Применимо к macOS Sierra 10.12.2

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема использования памяти после ее освобождения устранена путем улучшения процедур работы с памятью.

CVE-2017-2360: Иэн Бир (Ian Beer) из подразделения Google Project Zero

libarchive

Применимо к macOS Sierra 10.12.2

Воздействие. Распаковка вредоносного архива может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2016-8687: Агустино Саруббо (Agostino Sarubbo) из Gentoo

Vim

Применимо к macOS Sierra 10.12.2

Воздействие. Открытие вредоносного файла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. В модуле modelines возникала проблема проверки ввода. Проблема устранена путем улучшенной проверки ввода.

CVE-2016-1248: Флориан Ларыш (Florian Larysch)

В ОС macOS Sierra 10.12.3 также устранены проблемы безопасности, имеющие отношение к Safari 10.0.3.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: