Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
macOS High Sierra 10.13
Дата выпуска: 25 сентября 2017 г.
802.1X
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Злоумышленник может использовать уязвимость протокола TLS 1.0.
Описание. Проблема безопасности протокола устранена путем активации протоколов TLS 1.1 и TLS 1.2.
CVE-2017-13832: Даг Вусслер (Doug Wussler) из Университета штата Флорида
Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.
Apache
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обнаружен ряд проблем в Apache.
Описание. В Apache существовал ряд проблем. Они устранены путем обновления Apache до версии 2.4.25.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
Запись добавлена 31 октября 2017 г. и обновлена 14 декабря 2018 г.
Настройки учетной записи Apple
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Локальный злоумышленник может получать доступ к токенам аутентификации iCloud.
Описание. В хранилище конфиденциальных токенов существовала проблема. Она устранена путем перемещения токенов в связку ключей.
CVE-2017-13909: Андреас Нильссон (Andreas Nilsson)
Запись добавлена 18 октября 2018 г.
AppleScript
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Декомпиляция AppleScript с помощью osadecompile может приводить к выполнению произвольного кода.
Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.
CVE-2017-13809: пользователь bat0s
Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.
Брандмауэр для приложений
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Ранее отклоненная настройка брандмауэра для приложений может вступать в силу после обновления.
Описание. При обработке настроек брандмауэра возникала проблема с обновлением. Проблема устранена путем улучшенной обработки настроек брандмауэра во время обновления.
CVE-2017-7084: анонимный исследователь
AppSandbox
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может вызывать отказ в обслуживании.
Описание. Ряд проблем с отказом в обслуживании устранен путем улучшенной обработки памяти.
CVE-2017-7074: Дэниел Джелкат (Daniel Jalkut) из Red Sweater Software
Инфраструктура ATS
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2017-13820: Джон Вилламил (John Villamil) из Doyensec
Запись добавлена 31 октября 2017 г.
Звук
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Анализ вредоносного файла QuickTime может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема с потреблением памяти устранена путем улучшенной обработки памяти.
CVE-2017-13807: пользователь Yangkang (@dnpushme) из группы Qex в Qihoo 360
Запись добавлена 31 октября 2017 г.
Ассистент настройки сетей с авторизацией
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Локальный пользователь может непреднамеренно отправлять пароль по сети в незашифрованном виде.
Описание. Состояние безопасности браузера портала с авторизацией было неочевидным. Проблема устранена путем улучшенной видимости состояния безопасности браузера портала с авторизацией.
CVE-2017-7143: Мэттью Грин (Matthew Green) из университета Джонса Хопкинса
Запись обновлена 3 октября 2017 г.
CFNetwork
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-13829: Никлас Баумштарк (Niklas Baumstark) и Самуэль Гро (Samuel Gro), сотрудничающие с Trend Micro по программе Zero Day Initiative
CVE-2017-13833: Никлас Баумштарк (Niklas Baumstark) и Самуэль Гро (Samuel Gro), сотрудничающие с Trend Micro по программе Zero Day Initiative
Запись добавлена 10 ноября 2017 г.
Прокси-серверы CFNetwork
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Злоумышленник с преимущественным положением в сети может вызывать отказ в обслуживании.
Описание. Ряд проблем с отказом в обслуживании устранен путем улучшенной обработки памяти.
CVE-2017-7083: Абхинав Бансал (Abhinav Bansal) из Zscaler Inc.
CFString
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.
CVE-2017-13821: Австралийский центр информационной безопасности, отдел обработки сигналов
Запись добавлена 31 октября 2017 г.
CoreAudio
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема чтения за границами выделенной области памяти устранена путем обновления Opus до версии 1.1.4.
CVE-2017-0381: пользователь V.E.O (@VYSEa), отдел исследования мобильных угроз Trend Micro
CoreText
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.
Описание. Проблема с использованием памяти устранена путем улучшенной обработки памяти.
CVE-2017-13825: Австралийский центр информационной безопасности, отдел обработки сигналов
Запись добавлена 31 октября 2017 г., обновлена 16 ноября 2018 г.
CoreTypes
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обработка вредоносной веб-страницы может привести к подключению образа диска.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2017-13890: компания Apple, Теодор Рагнар Гисласон (Theodor Ragnar Gislason) из компании Syndis
Запись добавлена 29 марта 2018 г.
DesktopServices
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Локальный злоумышленник может просматривать незащищенные данные пользователей.
Описание. При обработке определенных файлов из папки пользователя возникала проблема доступа к файлам. Проблема устранена путем улучшения ограничений доступа.
CVE-2017-13851: Энрике Корреа де Аморим (Henrique Correa de Amorim)
Запись добавлена 2 ноября 2017 г., обновлена 14 февраля 2018 г.
Служба каталогов
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Локальный злоумышленник может определять идентификатор Apple ID владельца компьютера.
Описание. При обработке идентификатора Apple ID возникала проблема с разрешениями. Проблема устранена путем улучшенного управления доступом.
CVE-2017-7138: Дэниел Квак (Daniel Kvak) из Масарикова университета
Запись обновлена 3 октября 2017 г.
file
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обнаружен ряд проблем в file.
Описание. Ряд проблем устранен путем обновления до версии 5.30.
CVE-2017-7121: обнаружено с помощью инструмента OSS-Fuzz
CVE-2017-7122: обнаружено с помощью инструмента OSS-Fuzz
CVE-2017-7123: обнаружено с помощью инструмента OSS-Fuzz
CVE-2017-7124: обнаружено с помощью инструмента OSS-Fuzz
CVE-2017-7125: обнаружено с помощью инструмента OSS-Fuzz
CVE-2017-7126: обнаружено с помощью инструмента OSS-Fuzz
file
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обнаружен ряд проблем в file.
Описание. Ряд проблем устранен путем обновления до версии 5.31.
CVE-2017-13815
Запись добавлена 31 октября 2017 г.
Шрифты
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Анализ ненадежного текста может приводить к подмене.
Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.
CVE-2017-13828: Леонард Грей (Leonard Grey) и Роберт Сесек (Robert Sesek) из Google Chrome
Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.
fsck_msdos
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-13811: пользователь V.E.O. (@VYSEa) из подразделения Trend Micro по расширенной борьбе с мобильными угрозами
Запись обновлена 2 ноября 2017 г.
fsck_msdos
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может выполнять произвольный код с повышенными привилегиями.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-13835: анонимный исследователь
Запись добавлена 18 октября 2018 г.
Heimdal
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Злоумышленник с преимущественным положением в сети может имитировать запуск службы.
Описание. При обработке имени службы KDC-REP возникала проблема с проверкой. Эта проблема устранена путем улучшенной проверки.
CVE-2017-11103: Джеффри Алтман (Jeffrey Altman), Виктор Духовны (Viktor Duchovni) и Нико Уильямс (Nico Williams)
Средство просмотра справки Help Viewer
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Файл HTML в карантине может выполнять произвольный сценарий JavaScript из различных источников.
Описание. В средстве просмотра справки Help Viewer возникала проблема, связанная с выполнением межсайтовых сценариев. Проблема устранена путем удаления проблемного файла.
CVE-2017-13819: Филиппо Кавальярин (Filippo Cavallarin) из SecuriTeam Secure Disclosure
Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.
HFS
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-13830: Сергей Шумило (Sergej Schumilo) из Рурского университета в Бохуме
Запись добавлена 31 октября 2017 г.
ImageIO
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2017-13814: Австралийский центр информационной безопасности, отдел обработки сигналов
Запись добавлена 31 октября 2017 г., обновлена 16 ноября 2018 г.
ImageIO
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2017-13831: Глен Кармайкл (Glen Carmichael)
Запись добавлена 31 октября 2017 г. и обновлена 3 апреля 2019 г.
Программа установки
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Вредоносное приложение может получать доступ к ключу разблокировки FileVault.
Описание. Проблема устранена путем удаления дополнительных прав.
CVE-2017-13837: Патрик Уордл (Patrick Wardle) из Synack
Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.
IOAcceleratorFamily
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Вредоносное приложение может повышать уровень привилегий.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-13906
Запись добавлена 18 октября 2018 г.
IOFireWireFamily
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-7077: Брэндон Азад (Brandon Azad)
IOFireWireFamily
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.
CVE-2017-7119: Сяолун Бай (Xiaolong Bai), Минь (Spark) Чжэн (Min [Spark] Zheng) из Alibaba Inc., Бенджамин Гнам (Benjamin Gnahm, @mitp0sh) из PDX
Ядро
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-7114: Алекс Пласкетт (Alex Plaskett) из MWR InfoSecurity
Ядро
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Локальный пользователь может инициировать утечку конфиденциальных пользовательских данных.
Описание. В счетчиках пакетов ядра возникала проблема с разрешениями. Проблема устранена путем улучшенной проверки разрешений.
CVE-2017-13810: Чжиюнь Цянь (Zhiyun Qian) из Калифорнийского университета в Риверсайде
Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.
Ядро
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Локальный пользователь может считывать память ядра.
Описание. Возникала проблема чтения за пределами выделенной области памяти, приводившая к утечке памяти ядра. Проблема устранена путем улучшенной проверки ввода.
CVE-2017-13817: Максим Виллард (Maxime Villard, m00nbsd)
Запись добавлена 31 октября 2017 г.
Ядро
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.
CVE-2017-13818: национальный центр информационной безопасности Великобритании (National Cyber Security Centre, NCSC)
CVE-2017-13836: Влад Цырклевич (Vlad Tsyrklevich)
CVE-2017-13841: Влад Цырклевич (Vlad Tsyrklevich)
CVE-2017-13840: Влад Цырклевич (Vlad Tsyrklevich)
CVE-2017-13842: Влад Цырклевич (Vlad Tsyrklevich)
CVE-2017-13782: Кевин Бэкхауз (Kevin Backhouse) из Semmle Ltd.
Запись добавлена 31 октября 2017 г., обновлена 18 июня 2018 г.
Ядро
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-13843: анонимный исследователь, анонимный исследователь
Запись добавлена 31 октября 2017 г.
Ядро
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-13854: пользователь shrek_wzw из группы Nirvan в Qihoo 360
Запись добавлена 2 ноября 2017 г.
Ядро
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обработка вредоносного бинарного файла mach может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.
CVE-2017-13834: Максим Виллард (Maxime Villard, m00nbsd)
Запись добавлена 10 ноября 2017 г.
Ядро
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Вредоносное приложение может получать информацию о наличии на устройстве других приложений и их работе.
Описание. Приложение могло получить доступ к данным о сетевой активности, которые находились в открытой области операционной системы. Проблема устранена путем сокращения объема информации, доступного приложениям сторонних разработчиков.
CVE-2017-13873: Сяокуань Чжан (Xiaokuan Zhang) и Иньцянь Чжан (Yinqian Zhang) из Университета штата Огайо, Сюцян Ван (Xueqiang Wang) и Сяо Фен Ван (XiaoFeng Wang) из Индианского университета в Блумингтоне, Сяолун Бай (Xiaolong Bai) из университета Цинхуа
Запись добавлена 30 ноября 2017 г.
Инструменты для расширений ядра (KEXT)
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Логическая ошибка при загрузке расширения ядра (KEXT) устранена путем улучшенной обработки состояний.
CVE-2017-13827: анонимный исследователь
Запись добавлена 31 октября 2017 г.
libarchive
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Распаковка вредоносного архива может приводить к выполнению произвольного кода.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2017-13813: обнаружено с помощью инструмента OSS-Fuzz
CVE-2017-13816: обнаружено с помощью инструмента OSS-Fuzz
Запись добавлена 31 октября 2017 г.
libarchive
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Распаковка вредоносного архива может приводить к выполнению произвольного кода.
Описание. В libarchive возникал ряд проблем, приводящих к повреждению данных в памяти. Эти проблемы были устранены путем улучшенной проверки ввода.
CVE-2017-13812: обнаружено с помощью инструмента OSS-Fuzz
Запись добавлена 31 октября 2017 г.
libarchive
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.
CVE-2016-4736: анонимный исследователь
Запись добавлена 31 октября 2017 г.
libc
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Удаленный злоумышленник может вызывать отказ в обслуживании.
Описание. Проблема с исчерпанием ресурсов в glob() устранена путем оптимизации алгоритма.
CVE-2017-7086: Расс Кокс (Russ Cox) из Google
libc
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может вызывать отказ в обслуживании.
Описание. Проблема с потреблением памяти устранена путем улучшенной обработки памяти.
CVE-2017-1000373
libexpat
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обнаружен ряд проблем в expat.
Описание. Ряд проблем устранен путем обновления до версии 2.2.1.
CVE-2016-9063
CVE-2017-9233
libxml2
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема разыменования нулевого указателя решена посредством улучшения процедуры проверки.
CVE-2018-4302: Густаво Гриеко (Gustavo Grieco)
Запись добавлена 18 октября 2018 г.
libxml2
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
CVE-2017-5130: анонимный исследователь
CVE-2017-7376: анонимный исследователь
Запись добавлена 18 октября 2018 г.
libxml2
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2017-9050: Матеуш Юрчик (Mateusz Jurczyk, j00ru) из Google Project Zero
Запись добавлена 18 октября 2018 г.
libxml2
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обработка вредоносного кода XML может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема с использованием памяти после ее высвобождения устранена путем улучшенного управления памятью.
CVE-2017-9049: Вэй Лэй (Wei Lei) и Лю Ян (Liu Yang) из Наньянского технологического университета в Сингапуре
Запись добавлена 18 октября 2018 г.
Почта
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Отправитель сообщения электронной почты может определять IP-адрес получателя.
Описание. Отключение параметра «Загружать содержимое из других источников» применялось не ко всем почтовым ящикам. Проблема устранена путем улучшенного распространения настроек.
CVE-2017-7141: Джон Уайтхед (John Whitehead) из The New York Times
Запись обновлена 3 октября 2017 г.
Черновики почтовых сообщений
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Злоумышленник с преимущественным положением в сети может перехватывать содержимое сообщений, отправляемых через программу «Почта».
Описание. При обработке черновиков почтовых сообщений возникала проблема с шифрованием. Проблема устранена путем улучшенной обработки черновиков почтовых сообщений, которые должны шифроваться при отправке.
CVE-2017-7078: Петтер Флинк (Petter Flink), Пьер Альбареде (Pierre ALBARÈDE) из Марселя (Франция), анонимный исследователь
Запись обновлена 3 октября 2017 г.
ntp
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обнаружен ряд проблем в ntp.
Описание. Ряд проблем устранен путем обновления до версии 4.2.8p10.
CVE-2017-6451: компания Cure53
CVE-2017-6452: компания Cure53
CVE-2017-6455: компания Cure53
CVE-2017-6458: компания Cure53
CVE-2017-6459: компания Cure53
CVE-2017-6460: компания Cure53
CVE-2017-6462: компания Cure53
CVE-2017-6463: компания Cure53
CVE-2017-6464: компания Cure53
CVE-2016-9042: Мэттью Ван Ганди (Matthew Van Gundy) из Cisco
Открытая архитектура сценариев (OSA)
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Декомпиляция AppleScript с помощью osadecompile может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-13824: анонимный исследователь
Запись добавлена 31 октября 2017 г.
PCRE
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обнаружен ряд проблем в PCRE.
Описание. Ряд проблем устранен путем обновления до версии 8.40.
CVE-2017-13846
Запись добавлена 31 октября 2017 г.
Postfix
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обнаружен ряд проблем в Postfix.
Описание. Ряд проблем устранен путем обновления до версии 3.2.2.
CVE-2017-10140: анонимный исследователь
Запись добавлена 31 октября 2017 г., обновлена 17 ноября 2017 г.
Быстрый просмотр
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.
CVE-2017-13822: Австралийский центр информационной безопасности, отдел обработки сигналов
Запись добавлена 31 октября 2017 г.
Быстрый просмотр
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие: анализ вредоносного документа Office может приводить к неожиданному завершению работы приложения или выполнению произвольного кода.
Описание. Проблема с потреблением памяти устранена путем улучшенной обработки памяти.
CVE-2017-7132: Австралийский центр информационной безопасности, отдел обработки сигналов
Запись добавлена 31 октября 2017 г.
Компонент QuickTime
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.
CVE-2017-13823: Сянкунь Цзя (Xiangkun Jia) из Института программного обеспечения Китайской академии наук
Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.
Функция удаленного управления
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-13808: анонимный исследователь
Запись добавлена 31 октября 2017 г.
Изолированная среда
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-13838: Аластер Хьютон (Alastair Houghton)
Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.
Функция блокировки экрана
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Запросы брандмауэра для приложений могут отображаться поверх окна входа в систему.
Описание. Проблема с управлением окнами устранена путем улучшенного управления состояниями.
CVE-2017-7082: Тим Кингман (Tim Kingman)
Безопасность
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Отозванный сертификат может становиться доверенным.
Описание. При обработке данных об отзывах возникала проблема с их проверкой. Эта проблема устранена путем улучшенной проверки.
CVE-2017-7080: Свен Дримекер (Sven Driemecker) из adesso mobile solutions gmbh, Рун Дарруд (Rune Darrud, @theflyingcorpse) из коммуны Берум, анонимный исследователь, анонимный исследователь
SMB
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Локальный злоумышленник может запускать выполнение неисполняемых текстовых файлов через общий узел SMB.
Описание. Проблема с обработкой разрешений файлов устранена путем улучшенной проверки.
CVE-2017-13908: анонимный исследователь
Запись добавлена 18 октября 2018 г.
Spotlight
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Функция Spotlight может отображать в списке результатов файлы, не принадлежащие данному пользователю.
Описание. В Spotlight возникала проблема доступа. Проблема устранена путем улучшения ограничений доступа.
CVE-2017-13839: Кен Харрис (Ken Harris) из Free Robot Collective
Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.
Spotlight
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может использовать файлы с ограниченным доступом.
Описание. Проблема с доступом устранена путем ввода дополнительных ограничений изолированной среды в отношении приложений.
CVE-2017-13910
Запись добавлена 18 октября 2018 г.
SQLite
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обнаружен ряд проблем в SQLite.
Описание. Ряд проблем устранен путем обновления до версии 3.19.3.
CVE-2017-10989: обнаружено с помощью инструмента OSS-Fuzz
CVE-2017-7128: обнаружено с помощью инструмента OSS-Fuzz
CVE-2017-7129: обнаружено с помощью инструмента OSS-Fuzz
CVE-2017-7130: обнаружено с помощью инструмента OSS-Fuzz
SQLite
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2017-7127: анонимный исследователь
zlib
Целевые продукты: OS X Mountain Lion 10.8 и более поздней версии
Воздействие. Обнаружен ряд проблем в zlib.
Описание. Ряд проблем устранен путем обновления до версии 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Дополнительные благодарности
Почта
Выражаем благодарность за помощь Джону Боттарини (Jon Bottarini) из HackerOne.
Запись добавлена 6 февраля 2020 г.
Безопасность
Выражаем благодарность за помощь Абхинаву Бансалу (Abhinav Bansal) из Zscaler, Inc.
NSWindow
Выражаем благодарность за помощь Тренту Эптеду (Trent Apted) из коллектива Google Chrome.
Веб-инспектор в WebKit
Выражаем благодарность за помощь Йоану Бизэу (Ioan Bizău) из Bloggify.
Дополнительное обновление macOS High Sierra 10.13
Новые загрузки macOS High Sierra 10.13 включают исправления системы безопасности из дополнительного обновления macOS High Sierra 10.13.