Сведения о проблемах системы безопасности, устраняемых обновлением macOS Sierra 10.12.3

В этой статье описываются проблемы системы безопасности, устраненные в обновлении macOS Sierra 10.12.3.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или выпуски. Последние выпуски перечислены на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

macOS Sierra 10.12.3

Сервер APNs

Применимо к macOS Sierra 10.12.2

Воздействие. Злоумышленник с преимущественным положением в сети может отслеживать действия пользователя.

Описание. Сертификат клиент отправлялся обычным текстом. Проблема устранена путем улучшенной обработки сертификатов.

CVE-2017-2383: Матиас Вакс (Matthias Wachs) и Квирин Шейтле (Quirin Scheitle) из технического университета Мюнхена (TUM)

apache_mod_php

Применимо к macOS Sierra 10.12.2

Воздействие. Обнаружен ряд проблем в PHP.

Описание. Проблемы были устранены путем обновления до версии PHP 5.6.28.

CVE-2016-8670

CVE-2016-9933

CVE-2016-9934

Bluetooth

Применимо к macOS Sierra 10.12.2

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема использования памяти после ее освобождения устранена путем улучшения процедур работы с памятью.

CVE-2017-2353: Иэн Бир (Ian Beer) из подразделения Google Project Zero

Графические драйверы

Применимо к macOS Sierra 10.12.2

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2017-2358: команда Pangu и lokihardt на PwnFest 2016

Help Viewer

Применимо к macOS Sierra 10.12.2

Воздействие. Обработка вредоносного веб-содержимого могла привести к выполнению произвольного кода.

Описание. Проблема межсайтовых скриптов устранена путем улучшенной проверки URL-адресов.

CVE-2017-2361: lokihardt из Google Project Zero

IOAudioFamily

Применимо к macOS Sierra 10.12.2

Воздействие. Программа может выявлять схему распределения памяти в ядре.

Описание. Проблема неинициализированного доступа к памяти устранена путем улучшенного управления памятью.

CVE-2017-2357: команда Pangu и lokihardt на PwnFest 2016

Ядро

Применимо к macOS Sierra 10.12.2

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2017-2370: Иэн Бир (Ian Beer) из подразделения Google Project Zero

Ядро

Применимо к macOS Sierra 10.12.2

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема использования памяти после ее освобождения устранена путем улучшения процедур работы с памятью.

CVE-2017-2360: Иэн Бир (Ian Beer) из подразделения Google Project Zero

libarchive

Применимо к macOS Sierra 10.12.2

Воздействие. Распаковка вредоносного архива может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2016-8687: Агустино Саруббо (Agostino Sarubbo) из Gentoo

Vim

Применимо к macOS Sierra 10.12.2

Воздействие. Открытие вредоносного файла может привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. В модуле modelines возникала проблема проверки ввода. Проблема устранена путем улучшенной проверки ввода.

CVE-2016-1248: Флориан Ларыш (Florian Larysch)