Проблемы системы безопасности, устраняемые обновлением ОС macOS High Sierra 10.13

В этой статье описываются проблемы системы безопасности, устраняемые обновлением ОС macOS High Sierra 10.13.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

macOS High Sierra 10.13

Дата выпуска: 25 сентября 2017 г.

802.1X

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Злоумышленник может использовать уязвимость протокола TLS 1.0.

Описание. Проблема безопасности протокола устранена путем активации протоколов TLS 1.1 и TLS 1.2.

CVE-2017-13832: Даг Вусслер (Doug Wussler) из Университета штата Флорида

Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.

Apache

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в Apache.

Описание. Ряд проблем устранен путем обновления до версии 2.4.27.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

Запись добавлена 31 октября 2017 г., обновлена 14 ноября 2017 г.

AppleScript

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Декомпиляция AppleScript с помощью osadecompile может приводить к выполнению произвольного кода.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13809: bat0s

Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.

Брандмауэр для программ

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Ранее отклоненная настройка брандмауэра для программ может вступать в силу после обновления.

Описание. При обработке настроек брандмауэра возникала проблема с обновлением. Проблема устранена путем улучшенной обработки настроек брандмауэра во время обновления.

CVE-2017-7084: анонимный исследователь

AppSandbox

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может вызывать отказ в обслуживании.

Описание. Ряд проблем с отказом в обслуживании устранен путем улучшенной обработки памяти.

CVE-2017-7074: Дэниел Джелкат (Daniel Jalkut) из Red Sweater Software

Инфраструктура ATS

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2017-13820: Джон Вилламил (John Villamil) из Doyensec

Запись добавлена 31 октября 2017 г.

Звук

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Анализ вредоносного файла QuickTime может приводить к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Проблема с потреблением памяти устранена путем улучшенной обработки памяти.

CVE-2017-13807: пользователь Yangkang (@dnpushme) из группы Qex в Qihoo 360

Запись добавлена 31 октября 2017 г.

Ассистент настройки сетей с авторизацией

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Локальный пользователь может непреднамеренно отправлять пароль по сети в незашифрованном виде.

Описание. Состояние безопасности браузера портала с авторизацией было неочевидным. Проблема устранена путем улучшенной видимости состояния безопасности браузера портала с авторизацией.

CVE-2017-7143: Мэттью Грин (Matthew Green) из университета Джонса Хопкинса

Запись обновлена 3 октября 2017 г.

CFNetwork

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13829: Никлас Баумштарк (Niklas Baumstark) и Самуэль Гро (Samuel Gro), сотрудничающих с Trend Micro по программе Zero Day Initiative 

CVE-2017-13833: Никлас Баумштарк (Niklas Baumstark) и Самуэль Гро (Samuel Gro), сотрудничающих с Trend Micro по программе Zero Day Initiative 

Запись добавлена 10 ноября 2017 г.

Прокси-серверы CFNetwork

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Злоумышленник с преимущественным положением в сети может вызывать отказ в обслуживании.

Описание. Ряд проблем с отказом в обслуживании устранен путем улучшенной обработки памяти.

CVE-2017-7083: Абхинав Бансал (Abhinav Bansal) из Zscaler Inc.

CFString

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13821: Австралийский центр информационной безопасности, отдел обработки сигналов

Запись добавлена 31 октября 2017 г.

CoreAudio

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем обновления Opus до версии 1.1.4.

CVE-2017-0381: пользователь V.E.O (@VYSEa), отдел исследования мобильных угроз Trend Micro

CoreText

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. Проблема с потреблением памяти устранена путем улучшенной обработки памяти.

CVE-2017-13825: Австралийский центр информационной безопасности, отдел обработки сигналов

Запись добавлена 31 октября 2017 г.

DesktopServices

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Злоумышленник может просматривать незащищенные данные пользователей.

Описание. При обработке определенных файлов из личной папки пользователя возникала проблема доступа к файлам. Проблема устранена путем улучшенного управления доступом.

CVE-2017-13851: анонимный исследователь

Запись добавлена 2 ноября 2017 г.

Служба каталогов

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Локальный злоумышленник может определять идентификатор Apple ID владельца компьютера.

Описание. При обработке идентификатора Apple ID возникала проблема с разрешениями. Проблема устранена путем улучшенного управления доступом.

CVE-2017-7138: Дэниел Квак (Daniel Kvak) из Масарикова университета

Запись обновлена 3 октября 2017 г.

file

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в file.

Описание. Ряд проблем устранен путем обновления до версии 5.30.

CVE-2017-7121: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7122: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7123: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7124: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7125: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7126: обнаружено с помощью инструмента OSS-Fuzz

file

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в file.

Описание. Ряд проблем устранен путем обновления до версии 5.31.

CVE-2017-13815

Запись добавлена 31 октября 2017 г.

Шрифты

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Анализ ненадежного текста может приводить к подмене.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2017-13828: Леонард Грей (Leonard Grey) и Роберт Сесек (Robert Sesek) из команды Google Chrome

Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.

fsck_msdos

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13811: V.E.O. (@VYSEa) из подразделения Trend Micro по расширенной борьбе с мобильными угрозами

Запись обновлена 2 ноября 2017 г.

Heimdal

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Злоумышленник с преимущественным положением в сети может имитировать запуск службы.

Описание. При обработке имени службы KDC-REP возникала проблема с проверкой. Эта проблема устранена путем улучшенной проверки.

CVE-2017-11103: Джеффри Алтман (Jeffrey Altman), Виктор Духовны (Viktor Duchovni) и Нико Уильямс (Nico Williams)

Средство просмотра справки Help Viewer

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Файл HTML в карантине может выполнять произвольный сценарий JavaScript из различных источников.

Описание. В средстве просмотра справки Help Viewer возникала проблема, связанная с выполнением межсайтовых сценариев. Проблема устранена путем удаления проблемного файла.

CVE-2017-13819: Филиппо Кавальярин (Filippo Cavallarin) из SecuriTeam Secure Disclosure

Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.

HFS

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13830: Сергей Шумило (Sergej Schumilo) из Рурского университета в Бохуме

Запись добавлена 31 октября 2017 г.

ImageIO

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2017-13814: Австралийский центр информационной безопасности, отдел обработки сигналов

Запись добавлена 31 октября 2017 г.

ImageIO

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.

Описание. При обработке образов дисков возникала проблема с раскрытием информации. Проблема устранена путем улучшенного управления памятью.

CVE-2017-13831: Глен Кармайкл (Glen Carmichael)

Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.

Программа установки

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Вредоносная программа может получать доступ к ключу разблокировки FileVault.

Описание. Проблема устранена путем удаления дополнительных прав.

CVE-2017-13837: Патрик Уордл (Patrick Wardle) из Synack

Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.

IOFireWireFamily

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7077: Брэндон Азад (Brandon Azad)

IOFireWireFamily

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-7119: Сяолун Бай (Xiaolong Bai), Минь (Spark) Чжэн (Min [Spark] Zheng) из Alibaba Inc., Бенджамин Гнам (Benjamin Gnahm, @mitp0sh) из PDX

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7114: Алекс Пласкетт (Alex Plaskett) из MWR InfoSecurity

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Локальный пользователь может инициировать утечку конфиденциальных пользовательских данных.

Описание. В счетчиках пакетов ядра возникала проблема с разрешениями. Проблема устранена путем улучшенной проверки разрешений.

CVE-2017-13810: Чжиюнь Цянь (Zhiyun Qian) из Калифорнийского университета в Риверсайде

Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Локальный пользователь может считывать память ядра.

Описание. Возникала проблема чтения за пределами выделенной области памяти, приводившая к утечке памяти ядра. Проблема устранена путем улучшенной проверки ввода.

CVE-2017-13817: Максим Виллард (Maxime Villard, m00nbsd)

Запись добавлена 31 октября 2017 г.

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13818: национальный центр информационной безопасности Великобритании (National Cyber Security Centre, NCSC)

CVE-2017-13836: анонимный исследователь, анонимный исследователь

CVE-2017-13841: анонимный исследователь

CVE-2017-13840: анонимный исследователь

CVE-2017-13842: анонимный исследователь

CVE-2017-13782: Кевин Бэкхаус (Kevin Backhouse) из Semmle Ltd.

Запись добавлена 31 октября 2017 г., обновлена 14 ноября 2017 г.

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13843: анонимный исследователь, анонимный исследователь

Запись добавлена 31 октября 2017 г.

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13854: пользователь shrek_wzw из подразделения Qihoo 360 Nirvan

Запись добавлена 2 ноября 2017 г.

Ядро

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обработка вредоносного бинарного файла mach может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2017-13834: Максим Виллард (Maxime Villard, m00nbsd)

Запись добавлена 10 ноября 2017 г.

Инструменты для расширений ядра (KEXT)

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Логическая ошибка при загрузке расширения ядра (KEXT) устранена путем улучшенной обработки состояний.

CVE-2017-13827: анонимный исследователь

Запись добавлена 31 октября 2017 г.

libarchive

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Распаковка вредоносного архива может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2017-13813: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-13816: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 31 октября 2017 г.

libarchive

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Распаковка вредоносного архива может приводить к выполнению произвольного кода.

Описание. В libarchive возникал ряд проблем, приводящих к повреждению данных в памяти. Эти проблемы были устранены путем улучшенной проверки ввода.

CVE-2017-13812: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 31 октября 2017 г.

libarchive

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2016-4736: анонимный исследователь

Запись добавлена 31 октября 2017 г.

libc

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Удаленный злоумышленник может вызывать отказ в обслуживании.

Описание. Проблема с исчерпанием ресурсов в glob() устранена путем оптимизации алгоритма.

CVE-2017-7086: Расс Кокс (Russ Cox) из Google

libc

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может вызывать отказ в обслуживании.

Описание. Проблема с потреблением памяти устранена путем улучшенной обработки памяти.

CVE-2017-1000373

libexpat

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в expat.

Описание. Ряд проблем устранен путем обновления до версии 2.2.1.

CVE-2016-9063

CVE-2017-9233

Почта

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Отправитель сообщения электронной почты может определять IP-адрес получателя.

Описание. Отключение параметра «Загружать содержимое из других источников» применялось не ко всем почтовым ящикам. Проблема устранена путем улучшенного распространения настроек.

CVE-2017-7141: Джон Уайтхед (John Whitehead) из The New York Times

Запись обновлена 3 октября 2017 г.

Черновики почтовых сообщений

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Злоумышленник с преимущественным положением в сети может перехватывать содержимое сообщений, отправляемых через программу «Почта».

Описание. При обработке черновиков почтовых сообщений возникала проблема с шифрованием. Проблема устранена путем улучшенной обработки черновиков почтовых сообщений, которые должны шифроваться при отправке.

CVE-2017-7078: Петтер Флинк (Petter Flink), Пьер Альбареде (Pierre ALBARÈDE) из Марселя (Франция), анонимный исследователь

Запись обновлена 3 октября 2017 г.

ntp

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в ntp.

Описание. Ряд проблем устранен путем обновления до версии 4.2.8p10.

CVE-2017-6451: компания Cure53 

CVE-2017-6452: компания Cure53 

CVE-2017-6455: компания Cure53 

CVE-2017-6458: компания Cure53 

CVE-2017-6459: компания Cure53 

CVE-2017-6460: компания Cure53 

CVE-2017-6462: компания Cure53 

CVE-2017-6463: компания Cure53 

CVE-2017-6464: компания Cure53

CVE-2016-9042: Мэттью Ван Ганди (Matthew Van Gundy) из Cisco

Открытая архитектура сценариев (OSA)

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Декомпиляция AppleScript с помощью osadecompile может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13824: анонимный исследователь

Запись добавлена 31 октября 2017 г.

PCRE

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в PCRE.

Описание. Ряд проблем устранен путем обновления до версии 8.40.

CVE-2017-13846

Запись добавлена 31 октября 2017 г.

Postfix

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в Postfix.

Описание. Ряд проблем устранен путем обновления до версии 3.2.2.

CVE-2017-13826: анонимный исследователь

Запись добавлена 31 октября 2017 г.

Быстрый просмотр

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13822: Австралийский центр информационной безопасности, отдел обработки сигналов

Запись добавлена 31 октября 2017 г.

Быстрый просмотр

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Анализ вредоносного документа Office может приводить к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Проблема с потреблением памяти устранена путем улучшенной обработки памяти.

CVE-2017-7132: Австралийский центр информационной безопасности, отдел обработки сигналов

Запись добавлена 31 октября 2017 г.

Компонент QuickTime

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13823: Сянкунь Цзя (Xiangkun Jia) из Института программного обеспечения Китайской академии наук

Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.

Функция удаленного управления

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13808: анонимный исследователь

Запись добавлена 31 октября 2017 г.

Изолированная среда

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13838: Аластер Хьютон (Alastair Houghton)

Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.

Функция блокировки экрана

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Запросы брандмауэра для программ могут отображаться поверх окна входа в систему.

Описание. Проблема с управлением окнами устранена путем улучшенного управления состояниями.

CVE-2017-7082: Тим Кингман (Tim Kingman)

Безопасность

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Отозванный сертификат может становиться доверенным.

Описание. При обработке данных об отзывах возникала проблема с их проверкой. Эта проблема устранена путем улучшенной проверки.

CVE-2017-7080: Свен Дримекер (Sven Driemecker) из adesso mobile solutions gmbh, Рун Дарруд (Rune Darrud, @theflyingcorpse) из коммуны Берум, анонимный исследователь, анонимный исследователь

Spotlight

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Функция Spotlight может отображать в списке результатов файлы, не принадлежащие данному пользователю.

Описание. В Spotlight возникала проблема доступа. Проблема устранена путем улучшения ограничений доступа.

CVE-2017-13839: Кен Харрис (Ken Harris) из Free Robot Collective

Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.

SQLite

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в SQLite.

Описание. Ряд проблем устранен путем обновления до версии 3.19.3.

CVE-2017-10989: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7128: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7129: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7130: обнаружено с помощью инструмента OSS-Fuzz

SQLite

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7127: анонимный исследователь

zlib

Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии

Воздействие. Обнаружен ряд проблем в zlib.

Описание. Ряд проблем устранен путем обновления до версии 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Дополнительные благодарности

Безопасность

Выражаем благодарность за помощь Абхинаву Бансалу (Abhinav Bansal) из Zscaler, Inc.

NSWindow

Выражаем благодарность за помощь Тренту Эптеду (Trent Apted) из коллектива Google Chrome.

Веб-инспектор в WebKit

Выражаем благодарность за помощь Йоану Бизэу (Ioan Bizău) из Bloggify.

Дополнительное обновление macOS High Sierra 10.13

Новые загрузки macOS High Sierra 10.13 включают исправления системы безопасности из дополнительного обновления macOS High Sierra 10.13.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: