Сведения о проблемах системы безопасности, устраняемых обновлением macOS High Sierra 10.13

В этом документе описываются проблемы системы безопасности, устраняемые обновлением macOS High Sierra 10.13.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

macOS High Sierra 10.13

802.1X

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Злоумышленник может использовать уязвимость протокола TLS 1.0.

Описание. Проблема безопасности протокола устранена путем активации протоколов TLS 1.1 и TLS 1.2.

CVE-2017-13832: Даг Вусслер (Doug Wussler) из Университета штата Флорида

Apache

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в Apache.

Описание. В Apache существовал ряд проблем. Они устранены путем обновления Apache до версии 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Настройки учетной записи Apple

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Локальный злоумышленник может получать доступ к токенам аутентификации iCloud.

Описание. В хранилище конфиденциальных токенов существовала проблема. Она устранена путем перемещения токенов в связку ключей.

CVE-2017-13909: Андреас Нильссон (Andreas Nilsson)

AppleScript

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Декомпиляция AppleScript с помощью osadecompile может приводить к выполнению произвольного кода.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13809: пользователь bat0s

Брандмауэр для приложений

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Ранее отклоненная настройка брандмауэра для приложений может вступать в силу после обновления.

Описание. При обработке настроек брандмауэра возникала проблема с обновлением. Проблема устранена путем улучшенной обработки настроек брандмауэра во время обновления.

CVE-2017-7084: анонимный исследователь

AppSandbox

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Ряд проблем с отказом в обслуживании устранен путем улучшенной обработки памяти.

CVE-2017-7074: Дэниел Джелкат (Daniel Jalkut) из Red Sweater Software

Инфраструктура ATS

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2017-13820: Джон Вилламил (John Villamil) из Doyensec

Звук

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Анализ вредоносного файла QuickTime может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема с потреблением памяти устранена путем улучшенной обработки памяти.

CVE-2017-13807: пользователь Yangkang (@dnpushme) из группы Qex в Qihoo 360

Ассистент настройки сетей с авторизацией

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Локальный пользователь может непреднамеренно отправлять пароль по сети в незашифрованном виде.

Описание. Состояние безопасности браузера портала с авторизацией было неочевидным. Проблема устранена путем улучшенной видимости состояния безопасности браузера портала с авторизацией.

CVE-2017-7143: Мэттью Грин (Matthew Green) из университета Джонса Хопкинса

CFNetwork

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13829: Никлас Баумштарк (Niklas Baumstark) и Самуэль Гро (Samuel Gro), сотрудничающие с Trend Micro по программе Zero Day Initiative

CVE-2017-13833: Никлас Баумштарк (Niklas Baumstark) и Самуэль Гро (Samuel Gro), сотрудничающие с Trend Micro по программе Zero Day Initiative

Прокси-серверы CFNetwork

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Злоумышленник с преимущественным положением в сети может вызывать отказ в обслуживании.

Описание. Ряд проблем с отказом в обслуживании устранен путем улучшенной обработки памяти.

CVE-2017-7083: Абхинав Бансал (Abhinav Bansal) из Zscaler Inc.

CFString

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13821: Австралийский центр информационной безопасности, отдел обработки сигналов

CoreAudio

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем обновления Opus до версии 1.1.4.

CVE-2017-0381: пользователь V.E.O (@VYSEa), отдел исследования мобильных угроз Trend Micro

CoreText

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. Проблема с использованием памяти устранена путем улучшенной обработки памяти.

CVE-2017-13825: Австралийский центр информационной безопасности, отдел обработки сигналов

CoreTypes

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносной веб-страницы может привести к подключению образа диска.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2017-13890: компания Apple, Теодор Рагнар Гисласон (Theodor Ragnar Gislason) из компании Syndis

DesktopServices

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Локальный злоумышленник может просматривать незащищенные данные пользователей.

Описание. При обработке определенных файлов из папки пользователя возникала проблема доступа к файлам. Проблема устранена путем улучшения ограничений доступа.

CVE-2017-13851: Энрике Корреа де Аморим (Henrique Correa de Amorim)

Служба каталогов

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Локальный злоумышленник может определять идентификатор Apple ID владельца компьютера.

Описание. При обработке идентификатора Apple ID возникала проблема с разрешениями. Проблема устранена путем улучшенного управления доступом.

CVE-2017-7138: Дэниел Квак (Daniel Kvak) из Масарикова университета

file

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в file.

Описание. Ряд проблем устранен путем обновления до версии 5.30.

CVE-2017-7121: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7122: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7123: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7124: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7125: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7126: обнаружено с помощью инструмента OSS-Fuzz

file

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в file.

Описание. Ряд проблем устранен путем обновления до версии 5.31.

CVE-2017-13815

Шрифты

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Анализ ненадежного текста может приводить к подмене.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2017-13828: Леонард Грей (Leonard Grey) и Роберт Сесек (Robert Sesek) из Google Chrome

fsck_msdos

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13811: пользователь V.E.O. (@VYSEa) из подразделения Trend Micro по расширенной борьбе с мобильными угрозами

fsck_msdos

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может выполнять произвольный код с повышенными привилегиями.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13835: анонимный исследователь

Heimdal

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Злоумышленник с преимущественным положением в сети может имитировать запуск службы.

Описание. При обработке имени службы KDC-REP возникала проблема с проверкой. Эта проблема устранена путем улучшенной проверки.

CVE-2017-11103: Джеффри Алтман (Jeffrey Altman), Виктор Духовны (Viktor Duchovni) и Нико Уильямс (Nico Williams)

Средство просмотра справки Help Viewer

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Файл HTML в карантине может выполнять произвольный сценарий JavaScript из различных источников.

Описание. В средстве просмотра справки Help Viewer возникала проблема, связанная с выполнением межсайтовых сценариев. Проблема устранена путем удаления проблемного файла.

CVE-2017-13819: Филиппо Кавальярин (Filippo Cavallarin) из SecuriTeam Secure Disclosure

HFS

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13830: Сергей Шумило (Sergej Schumilo) из Рурского университета в Бохуме

ImageIO

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2017-13814: Австралийский центр информационной безопасности, отдел обработки сигналов

ImageIO

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2017-13831: Глен Кармайкл (Glen Carmichael)

Программа установки

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Вредоносное приложение может получать доступ к ключу разблокировки FileVault.

Описание. Проблема устранена путем удаления дополнительных прав.

CVE-2017-13837: Патрик Уордл (Patrick Wardle) из Synack

IOAcceleratorFamily

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Вредоносное приложение может повышать уровень привилегий.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13906

IOFireWireFamily

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7077: Брэндон Азад (Brandon Azad)

IOFireWireFamily

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-7119: Сяолун Бай (Xiaolong Bai), Минь (Spark) Чжэн (Min [Spark] Zheng) из Alibaba Inc., Бенджамин Гнам (Benjamin Gnahm, @mitp0sh) из PDX

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7114: Алекс Пласкетт (Alex Plaskett) из MWR InfoSecurity

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Локальный пользователь может инициировать утечку конфиденциальных пользовательских данных.

Описание. В счетчиках пакетов ядра возникала проблема с разрешениями. Проблема устранена путем улучшенной проверки разрешений.

CVE-2017-13810: Чжиюнь Цянь (Zhiyun Qian) из Калифорнийского университета в Риверсайде

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Локальный пользователь может считывать память ядра.

Описание. Возникала проблема чтения за пределами выделенной области памяти, приводившая к утечке памяти ядра. Проблема устранена путем улучшенной проверки ввода.

CVE-2017-13817: Максим Виллард (Maxime Villard, m00nbsd)

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13818: национальный центр информационной безопасности Великобритании (National Cyber Security Centre, NCSC)

CVE-2017-13836: Влад Цырклевич (Vlad Tsyrklevich)

CVE-2017-13841: Влад Цырклевич (Vlad Tsyrklevich)

CVE-2017-13840: Влад Цырклевич (Vlad Tsyrklevich)

CVE-2017-13842: Влад Цырклевич (Vlad Tsyrklevich)

CVE-2017-13782: Кевин Бэкхауз (Kevin Backhouse) из Semmle Ltd.

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13843: анонимный исследователь, анонимный исследователь

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13854: пользователь shrek_wzw из группы Nirvan в Qihoo 360

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного бинарного файла mach может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2017-13834: Максим Виллард (Maxime Villard, m00nbsd)

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Вредоносное приложение может получать информацию о наличии на устройстве других приложений и их работе.

Описание. Приложение могло получить доступ к данным о сетевой активности, которые находились в открытой области операционной системы. Проблема устранена путем сокращения объема информации, доступного приложениям сторонних разработчиков.

CVE-2017-13873: Сяокуань Чжан (Xiaokuan Zhang) и Иньцянь Чжан (Yinqian Zhang) из Университета штата Огайо, Сюцян Ван (Xueqiang Wang) и Сяо Фен Ван (XiaoFeng Wang) из Индианского университета в Блумингтоне, Сяолун Бай (Xiaolong Bai) из университета Цинхуа

Инструменты для расширений ядра (KEXT)

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Логическая ошибка при загрузке расширения ядра (KEXT) устранена путем улучшенной обработки состояний.

CVE-2017-13827: анонимный исследователь

libarchive

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Распаковка вредоносного архива может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2017-13813: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-13816: обнаружено с помощью инструмента OSS-Fuzz

libarchive

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Распаковка вредоносного архива может приводить к выполнению произвольного кода.

Описание. В libarchive возникал ряд проблем, приводящих к повреждению данных в памяти. Эти проблемы были устранены путем улучшенной проверки ввода.

CVE-2017-13812: обнаружено с помощью инструмента OSS-Fuzz

libarchive

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2016-4736: анонимный исследователь

libc

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Удаленный злоумышленник может вызывать отказ в обслуживании.

Описание. Проблема с исчерпанием ресурсов в glob() устранена путем оптимизации алгоритма.

CVE-2017-7086: Расс Кокс (Russ Cox) из Google

libc

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Проблема с потреблением памяти устранена путем улучшенной обработки памяти.

CVE-2017-1000373

libexpat

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в expat.

Описание. Ряд проблем устранен путем обновления до версии 2.2.1.

CVE-2016-9063

CVE-2017-9233

libxml2

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема разыменования нулевого указателя решена посредством улучшения процедуры проверки.

CVE-2018-4302: Густаво Гриеко (Gustavo Grieco)

libxml2

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2017-5130: анонимный исследователь

CVE-2017-7376: анонимный исследователь

libxml2

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2017-9050: Матеуш Юрчик (Mateusz Jurczyk, j00ru) из Google Project Zero

libxml2

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема с использованием памяти после ее высвобождения устранена путем улучшенного управления памятью.

CVE-2017-9049: Вэй Лэй (Wei Lei) и Лю Ян (Liu Yang) из Наньянского технологического университета в Сингапуре

Почта

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Отправитель сообщения электронной почты может определять IP-адрес получателя.

Описание. Отключение параметра «Загружать содержимое из других источников» применялось не ко всем почтовым ящикам. Проблема устранена путем улучшенного распространения настроек.

CVE-2017-7141: Джон Уайтхед (John Whitehead) из The New York Times

Черновики почтовых сообщений

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Злоумышленник с преимущественным положением в сети может перехватывать содержимое сообщений, отправляемых через программу «Почта».

Описание. При обработке черновиков почтовых сообщений возникала проблема с шифрованием. Проблема устранена путем улучшенной обработки черновиков почтовых сообщений, которые должны шифроваться при отправке.

CVE-2017-7078: Петтер Флинк (Petter Flink), Пьер Альбареде (Pierre ALBARÈDE) из Марселя (Франция), анонимный исследователь

ntp

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в ntp.

Описание. Ряд проблем устранен путем обновления до версии 4.2.8p10.

CVE-2017-6451: компания Cure53

CVE-2017-6452: компания Cure53

CVE-2017-6455: компания Cure53

CVE-2017-6458: компания Cure53

CVE-2017-6459: компания Cure53

CVE-2017-6460: компания Cure53

CVE-2017-6462: компания Cure53

CVE-2017-6463: компания Cure53

CVE-2017-6464: компания Cure53

CVE-2016-9042: Мэттью Ван Ганди (Matthew Van Gundy) из Cisco

Открытая архитектура сценариев (OSA)

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Декомпиляция AppleScript с помощью osadecompile может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13824: анонимный исследователь

PCRE

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в PCRE.

Описание. Ряд проблем устранен путем обновления до версии 8.40.

CVE-2017-13846

Postfix

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в Postfix.

Описание. Ряд проблем устранен путем обновления до версии 3.2.2.

CVE-2017-10140: анонимный исследователь

Быстрый просмотр

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13822: Австралийский центр информационной безопасности, отдел обработки сигналов

Быстрый просмотр

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие: анализ вредоносного документа Office может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.

Описание. Проблема с потреблением памяти устранена путем улучшенной обработки памяти.

CVE-2017-7132: Австралийский центр информационной безопасности, отдел обработки сигналов

Компонент QuickTime

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13823: Сянкунь Цзя (Xiangkun Jia) из Института программного обеспечения Китайской академии наук

Функция удаленного управления

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13808: анонимный исследователь

Изолированная среда

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13838: Аластер Хьютон (Alastair Houghton)

Функция блокировки экрана

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Запросы брандмауэра для приложений могут отображаться поверх окна входа в систему.

Описание. Проблема с управлением окнами устранена путем улучшенного управления состояниями.

CVE-2017-7082: Тим Кингман (Tim Kingman)

Безопасность

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Отозванный сертификат может становиться доверенным.

Описание. При обработке данных об отзывах возникала проблема с их проверкой. Эта проблема устранена путем улучшенной проверки.

CVE-2017-7080: Свен Дримекер (Sven Driemecker) из adesso mobile solutions gmbh, Рун Дарруд (Rune Darrud, @theflyingcorpse) из коммуны Берум, анонимный исследователь, анонимный исследователь

SMB

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Локальный злоумышленник может запускать выполнение неисполняемых текстовых файлов через общий узел SMB.

Описание. Проблема с обработкой разрешений файлов устранена путем улучшенной проверки.

CVE-2017-13908: анонимный исследователь

Spotlight

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Функция Spotlight может отображать в списке результатов файлы, не принадлежащие данному пользователю.

Описание. В Spotlight возникала проблема доступа. Проблема устранена путем улучшения ограничений доступа.

CVE-2017-13839: Кен Харрис (Ken Harris) из Free Robot Collective

Spotlight

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может использовать файлы с ограниченным доступом.

Описание. Проблема с доступом устранена путем ввода дополнительных ограничений изолированной среды в отношении приложений.

CVE-2017-13910

SQLite

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в SQLite.

Описание. Ряд проблем устранен путем обновления до версии 3.19.3.

CVE-2017-10989: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7128: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7129: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7130: обнаружено с помощью инструмента OSS-Fuzz

SQLite

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7127: анонимный исследователь

zlib

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в zlib.

Описание. Ряд проблем устранен путем обновления до версии 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Дополнительные благодарности

Почта

Выражаем благодарность за помощь Джону Боттарини (Jon Bottarini) из HackerOne.

Безопасность

Выражаем благодарность за помощь Абхинаву Бансалу (Abhinav Bansal) из Zscaler, Inc.

NSWindow

Выражаем благодарность за помощь Тренту Эптеду (Trent Apted) из коллектива Google Chrome.

Веб-инспектор в WebKit

Выражаем благодарность за помощь Йоану Бизэу (Ioan Bizău) из Bloggify.

Дополнительное обновление macOS High Sierra 10.13

Новые загрузки macOS High Sierra 10.13 включают исправления системы безопасности из дополнительного обновления macOS High Sierra 10.13.