Сведения о проблемах безопасности, устраняемых версией macOS Sierra 10.12.4, обновлениями системы безопасности 2017-001 для ОС El Capitan и 2017-001 для ОС Yosemite

В этом документе описываются проблемы безопасности, устраняемые в macOS Sierra 10.12.4, обновлениях системы безопасности 2017-001 для ОС El Capitan и 2017-001 для ОС Yosemite.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

macOS Sierra 10.12.4, обновления системы безопасности 2017-001 для ОС El Capitan и 2017-001 для ОС Yosemite

Дата выпуска: 27 марта 2017 г.

Apache

Применимо к macOS Sierra 10.12.3

Воздействие. Удаленный злоумышленник может вызвать отказ в обслуживании.

Описание. В Apache до версии 2.4.25 существовал ряд проблем. Они устранены путем обновления Apache до версии 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Запись обновлена 28 марта 2017 г.

apache_mod_php

Применимо к macOS Sierra 10.12.3

Воздействие. Несколько проблем существовало в PHP до версии 5.6.30

Описание. В PHP до версии 5.6.30 существовал ряд проблем. Они устранены путем обновления PHP до версии 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Применимо к macOS Sierra 10.12.3

Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с возникновением условия состязания устранена путем улучшенной обработки памяти.

CVE-2017-2421: @cocoahuke

AppleRAID

Применимо к macOS Sierra 10.12.3

Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема использования памяти после ее освобождения устранена путем улучшенного управления памятью.

CVE-2017-2438: sss и Axis из 360Nirvanteam

Звук

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2017-2430: анонимный исследователь, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative

CVE-2017-2462: анонимный исследователь, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative

Bluetooth

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2017-2420: Пекка Ойкарайнен (Pekka Oikarainen), Матиас Карнумаа (Matias Karhumaa) и Марко Лааксо (Marko Laakso) из Synopsys Software Integrity Group

Bluetooth

Применимо к macOS Sierra 10.12.3

Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2017-2427: Axis и sss из Qihoo 360 Nirvan Team

Bluetooth

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема использования памяти после ее освобождения устранена путем улучшенного управления памятью.

CVE-2017-2449: sss и Axis из 360NirvanTeam

Carbon

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного файла dfont может приводить к выполнению произвольного кода.

Описание. При обработке файлов шрифтов возникала проблема переполнения буфера. Проблема устранена путем улучшенной проверки границ памяти.

CVE-2017-2379: исследователь riusksk (泉哥) из подразделения Tencent по разработке платформы безопасности; Джон Вилламил (John Villamil) из Doyensec

CoreGraphics

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.

Описание. Проблема бесконечной рекурсии устранена путем улучшенного управления состояниями.

CVE-2017-2417: пользователь riusksk (泉哥) из подразделения Tencent по разработке платформы безопасности

CoreMedia

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного файла .mov может привести к выполнению произвольного кода

Описание. При обработке файлов .mov возникала проблема повреждения памяти. Эта проблема устранена путем улучшенного управления памятью.

CVE-2017-2431: пользователль kimyok из подразделения Tencent по разработке платформы безопасности

CoreText

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2017-2435: Джон Вилламил (John Villamil) из Doyensec

CoreText

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2017-2450: Джон Вилламил (John Villamil) из Doyensec

CoreText

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного текстового сообщения может приводить к отказу в обслуживании в программе.

Описание. Проблема исчерпания ресурсов устранена путем улучшенной проверки ввода.

CVE-2017-2461: Айзек Аршамбо (Isaac Archambault) из IDAoADI, анонимный исследователь

curl

Применимо к macOS Sierra 10.12.3

Воздействие. Вредоносные действия пользователя в интерфейсе API libcurl может привести к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной проверки границ.

CVE-2016-9586: Даниэль Штенберг (Daniel Stenberg) из Mozilla

EFI

Применимо к macOS Sierra 10.12.3

Воздействие. Вредоносный адаптер Thunderbolt может получить пароль шифрования FileVault 2

Описание. Возникала проблема при обработке DMA. Проблема решена путем включения VT-d в EFI.

CVE-2016-7585: Ульф Фриск (Ulf Frisk, @UlfFrisk)

FinderKit

Применимо к macOS Sierra 10.12.3

Воздействие. Разрешения могут внезапно сброситься при отправке ссылок

Описание. Проблема с разрешениями существовала в обработке функции «Отправить ссылку» из Общего доступа iCloud. Проблема устранена путем улучшенного управления разрешениями.

CVE-2017-2429: Реймонд Вонг ДО (Raymond Wong DO) из Arnot Ogden Medical Center

Запись обновлена 23 августа 2017 г.

FontParser

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной проверки ввода.

CVE-2017-2487: пользователь riusksk (泉哥) из подразделения Tencent по разработке платформы безопасности

CVE-2017-2406: пользователь riusksk (泉哥) из подразделения Tencent по разработке платформы безопасности

FontParser

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного файла шрифта может приводить к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной проверки ввода.

CVE-2017-2407: пользователь riusksk (泉哥) из подразделения Tencent по разработке платформы безопасности

FontParser

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2017-2439: Джон Вилламил (John Villamil) из Doyensec

FontParser

Применимо к OS X El Capitan 10.11.6 и OS X Yosemite 10.10.5

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода 

Описание. При обработке файлов шрифтов возникала проблема переполнения буфера. Проблема устранена путем улучшенной проверки границ памяти.

CVE-2016-4688: Саймон Хуанг (Simon Huang) из компании Alipay

Запись добавлена 11 апреля 2017 г.

HTTPProtocol

Применимо к macOS Sierra 10.12.3

Воздействие. Вредоносный сервер HTTP/2 может быть причиной неопределенного поведения.

Описание. В nghttp2 до версии 1.17.0 существовал ряд проблем. Они устранены путем обновления nghttp2 до версии 1.17.0.

CVE-2017-2428

Запись обновлена 28 марта 2017 г.

Гипервизор

Применимо к macOS Sierra 10.12.3

Воздействие. Программы, использующие структуру гипервизора, могут внезапно осуществить утечку регистра управления CR8 между гостем и хостом.

Описание. Проблема утечки информации устранена путем улучшенного управления состояниями.

CVE-2017-2418: Алекс Фишман (Alex Fishman) и Изик Эйдус (Izik Eidus) из Veertu Inc.

iBooks

Применимо к macOS Sierra 10.12.3

Воздействие. Разбор вредоносного файла iBooks мог привести к раскрытию локального файла.

Описание. При обработке URL-адресов файлов возникала утечка информации. Проблема устранена путем усовершенствования обработки URL-адресов.

CVE-2017-2426: Крейг Арендт (Craig Arendt) из Stratum Security, Джун Кокатсу (Jun Kokatsu, @shhnjk)

ImageIO

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2017-2416: Цидань Хэ (Qidan He) (何淇丹, @flanker_hqd) из подразделения KeenLab, Tencent

ImageIO

Применимо к macOS Sierra 10.12.3, OS X El Capitan 10.11.6 и OS X Yosemite 10.10.5

Воздействие. Просмотр вредоносного файла JPEG может приводить к выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2017-2432: анонимный исследователь, сотрудничающий с Trend Micro в рамках программы Zero Day Initiative

ImageIO

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2017-2467

ImageIO

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного изображения может приводить к неожиданному завершению работы программы.

Описание. В LibTIFF до версии 4.0.7 возникала проблема чтения за границами выделенной области памяти. Она устранена путем обновления LibTIFF в ImageIO до версии 4.0.7.

CVE-2016-3619

Драйвер видеокарты Intel

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может выполнять произвольный код с привилегиями ядра 

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2017-2443: Иэн Бир (Ian Beer) из подразделения Google Project Zero

Драйвер видеокарты Intel

Применимо к macOS Sierra 10.12.3

Воздействие. Любая программа может раскрывать данные из памяти ядра.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-2489: Иэн Бир (Ian Beer) из подразделения Google Project Zero

Запись добавлена 31 марта 2017 г.

IOATAFamily

Применимо к macOS Sierra 10.12.3

Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2017-2408: Янкан (Yangkang) (@dnpushme) из Qihoo360 Qex Team

IOFireWireAVC

Применимо к macOS Sierra 10.12.3

Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2017-2436: Орр А (Orr A) из IBM Security

IOFireWireAVC

Применимо к macOS Sierra 10.12.3

Воздействие. Локальный атакующий может вызвать выполнение произвольного кода с привилегиями ядра

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2017-2437: Бенджамин Гнам (Benjamin Gnahm, @mitp0sh) из Blue Frost Security

IOFireWireFamily

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может вызвать отказ в обслуживании.

Описание. Проблема разыменования нулевого указателя решена путем улучшенной проверки ввода.

CVE-2017-2388: Брэндон Азад (Brandon Azad), анонимный исследователь

Ядро

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2017-2398: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan

CVE-2017-2401: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan

Ядро

Применимо к macOS Sierra 10.12.3

Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

Описание. В ядре существовала проблема проверки ввода. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2017-2410: Apple

Ядро

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2017-2440: анонимный исследователь

Ядро

Применимо к macOS Sierra 10.12.3

Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями корневого пользователя.

Описание. Проблема с возникновением условия состязания устранена путем улучшенной обработки памяти.

CVE-2017-2456: пользователь lokihardt из подразделения Google Project Zero

Ядро

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема использования памяти после ее освобождения устранена путем улучшенного управления памятью.

CVE-2017-2472: Йен Бир (Ian Beer) из подразделения Google Project Zero

Ядро

Применимо к macOS Sierra 10.12.3

Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2017-2473: Йен Бир (Ian Beer) из подразделения Google Project Zero

Ядро

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема смещения на единицу устранена путем улучшенной проверки границ.

CVE-2017-2474: Йен Бир (Ian Beer) из подразделения Google Project Zero

Ядро

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с возникновением условия состязания устранена путем улучшенной блокировки.

CVE-2017-2478: Йен Бир (Ian Beer) из подразделения Google Project Zero

Ядро

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2017-2482: Йен Бир (Ian Beer) из подразделения Google Project Zero

CVE-2017-2483: Йен Бир (Ian Beer) из подразделения Google Project Zero

Ядро

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может выполнять произвольный код с повышенными привилегиями.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2017-2490: Йен Бир (Ian Beer) из подразделения Google Project Zero, центр национальной компьютерной безопасности Великобритании

Запись добавлена 31 марта 2017 г.

Ядро

Применимо к macOS Sierra 10.12.3

Воздействие. Экран может неожиданно оставаться незаблокированным после закрытия крышки

Описание. Проблема недостаточной блокировки устранена путем улучшенного управления состояниями.

CVE-2017-7070: Эд МакКензи (Ed McKenzie)

Запись добавлена 10 августа 2017 г.

Клавиатуры

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может выполнять произвольный код.

Описание. Проблема переполнения буфера устранена путем улучшенной проверки границ.

CVE-2017-2458: пользователь Shashank (@cyberboyIndia)

Связка ключей

Применимо к macOS Sierra 10.12.3

Воздействие. Злоумышленник, перехвативший соединение TLS, может считать секретную информацию, защищаемую связкой ключей iCloud.

Описание. При определенных обстоятельствах служба «Связка ключей iCloud» не могла проверить подлинность пакетов OTR. Эта проблема устранена путем улучшенной проверки.

CVE-2017-2448: Алекс Радосиа (Alex Radocea) из Longterm Security, Inc.

Запись обновлена 30 марта 2017 г.

libarchive

Применимо к macOS Sierra 10.12.3

Воздействие. Локальный злоумышленник может изменять разрешения файловой системы для произвольных каталогов.

Описание. При обработке символьных ссылок возникала проблема проверки. Эта проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2017-2390: Омер Медан (Omer Medan) из enSilo Ltd

libc++abi

Применимо к macOS Sierra 10.12.3

Воздействие. Обращение к вредоносной программе C++ может приводить к выполнению произвольного кода.

Описание. Проблема использования памяти после ее освобождения устранена путем улучшенного управления памятью.

CVE-2017-2441

LibreSSL

Применимо к macOS Sierra 10.12.3 и OS X El Capitan v10.11.6

Воздействие. Локальный пользователь может инициировать утечку конфиденциальных пользовательских данных.

Описание. Боковой канал тайминга позволял атакующему получить ключи. Проблема устранена путем постоянного вычисления времени.

CVE-2016-7056: Цезарь Переида Гарсия (Cesar Pereida García) и Билли Брумли (Billy Brumley) из технологического университета Тампере

Библиотека libxslt

Применимо к ОС OS X El Capitan 10.11.6

Воздействие. Обнаружен ряд уязвимостей в libxslt.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

CVE-2017-2477

Запись добавлена 30 марта 2017 г.

Библиотека libxslt

Применимо к macOS Sierra 10.12.3, OS X El Capitan 10.11.6 и OS X Yosemite 10.10.5.

Воздействие. Обнаружен ряд уязвимостей в libxslt.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

CVE-2017-5029: Хольгер Фурманнек (Holger Fuhrmannek)

Запись добавлена 28 марта 2017 г.

Клиент MCX

Применимо к macOS Sierra 10.12.3

Воздействие. Удаление профиля конфигурации с многократной полезной нагрузкой могло не удалить доверителя сертификата Active Directory.

Описание. В удалении профиля существовала проблема. Проблема устранена путем улучшенного удаления данных.

CVE-2017-2402: анонимный исследователь

Меню

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может раскрывать память процесса

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2017-2409: Сергей Былохов (Sergey Bylokhov)

Multi-Touch

Применимо к macOS Sierra 10.12.3

Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2017-2422: @cocoahuke

OpenSSH

Применимо к macOS Sierra 10.12.3

Воздействие. Обнаружен ряд проблем в OpenSSH.

Описание. В OpenSSH до версии 7.4 существовал ряд проблем. Они устранены путем обновления OpenSSH до версии 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Применимо к macOS Sierra 10.12.3

Воздействие. Локальный пользователь может инициировать утечку конфиденциальных пользовательских данных.

Описание. Проблема с боковым каналом тайминга была устранена путем постоянного вычисления времени.

CVE-2016-7056: Цезарь Переида Гарсия (Cesar Pereida García) и Билли Брумли (Billy Brumley) из технологического университета Тампере

Печать

Применимо к macOS Sierra 10.12.3

Воздействие. Щелчок вредоносной ссылки IPP(S) может приводить к исполнению произвольного кода.

Описание. Проблема со строкой неконтролируемого формата была решена путем улучшенной проверки ввода.

CVE-2017-2403: beist из компании GrayHash

Python

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносных архивов zip с помощью Python может приводить к исполнению произвольного кода.

Описание. При обработке архивов zip возникала проблема повреждения памяти. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2016-5636

Компонент QuickTime

Применимо к macOS Sierra 10.12.3

Воздействие. Просмотр вредоносного мультимедийного файла может привести к неожиданному завершению работы программы или выполнению произвольного кода

Описание. Ошибка в QuickTime приводила к повреждению содержимого памяти. Проблема устранена путем улучшенной обработки памяти.

CVE-2017-2413: Симон Хуанг (Simon Huang, @HuangShaomang) и pjf из IceSword Lab в Qihoo 360

Безопасность

Применимо к macOS Sierra 10.12.3

Воздействие. Проверка пустых подписей с помощью SecKeyRawVerify() может неожиданно завершаться успехом.

Описание. При совершении вызовов через интерфейс API с шифрованием возникала проблема проверки. Эта проблема устранена путем улучшенной проверки параметров.

CVE-2017-2423: анонимный исследователь

Безопасность

Применимо к macOS Sierra 10.12.3

Воздействие. Программа может выполнять произвольный код с правами пользователя root.

Описание. Проблема переполнения буфера устранена путем улучшенной проверки границ.

CVE-2017-2451: Алекс Радосиа (Alex Radocea) из Longterm Security, Inc.

Безопасность

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного сертификата x509 может приводить к выполнению произвольного кода.

Описание. При обработке сертификатов возникала проблема повреждения памяти. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2017-2485: Александар Николик (Aleksandar Nikolic) из Cisco Talos

SecurityFoundation

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного сертификата могла привести к выполнению произвольного кода.

Описание. Проблема двойного освобождения устранена путем улучшения процедур работы с памятью.

CVE-2017-2425: пользователль kimyok из подразделения Tencent по разработке платформы безопасности

sudo

Применимо к macOS Sierra 10.12.3

Воздействие. Пользователь группы с именем admin на сервере сетевых каталогов мог неожиданно повысить привилегии с помощью sudo

Описание. В средстве sudo возникала проблема доступа. Проблема устранена путем улучшенной проверки разрешений.

CVE-2017-2381

Защита целостности системы

Применимо к macOS Sierra 10.12.3

Воздействие. Вредоносная программа могла изменять защищенные области диска

Описание. При обработке установки системы существовала проблема проверки. Проблема решена путем улучшенной обработки и проверки во время процесса установки.

CVE-2017-6974: Патрик Уордл (Patrick Wardle) из Synack

tcpdump

Применимо к macOS Sierra 10.12.3

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить произвольный код с помощью пользователя.

Описание. В tcpdump до версии 4.9.0 существовал ряд проблем. Они устранены путем обновления tcpdump до версии 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Применимо к macOS Sierra 10.12.3

Воздействие. Обработка вредоносного изображения может приводить к неожиданному завершению работы программы.

Описание. В версиях LibTIFF до 4.0.7 существовала проблема чтения за границами выделенной области памяти. Для решения этой проблемы библиотека LibTIFF в модуле AKCmds была обновлена до версии 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

macOS Sierra 10.12.4, обновления системы безопасности 2017-001 для ОС El Capitan и 2017-001 для ОС Yosemite также устраняют проблемы безопасности, имеющие отношение к браузеру Safari 10.1.

Дополнительные благодарности

XNU

Выражаем благодарность за помощь Люфену Ли (Lufeng Li) из Qihoo 360 Vulcan Team.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: