Проблемы системы безопасности, устраняемые обновлением ОС macOS High Sierra 10.13.2, обновлениями системы безопасности 2017-002 для ОС Sierra и 2017-005 для ОС El Capitan

В этой статье описываются проблемы системы безопасности, устраняемые обновлением ОС macOS High Sierra 10.13.2, а также обновлениями системы безопасности 2017-002 для ОС Sierra и 2017-005 для ОС El Capitan.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

macOS High Sierra 10.13.2, обновление системы безопасности 2017-002 для ОС Sierra и обновление системы безопасности 2017-005 для ОС El Capitan

Выпущено 6 декабря 2017 г.

APFS

Целевые продукты: macOS High Sierra 10.13.1

Воздействие. Ключи шифрования APFS могут быть не удалены безопасно после гибернации.

Описание. В APFS существовала проблема с логикой при удалении ключей во время гибернации. Проблема устранена путем улучшенного управления состояниями.

CVE-2017-13887: Дэвид Рыскалчик (David Ryskalczyk)

Запись добавлена 21 июня 2018 г.

Apache

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Обработка вредоносной инструкции конфигурации Apache может приводить к раскрытию содержимого памяти процессов.

Описание. Ряд проблем устранен путем обновления до версии 2.4.28.

CVE-2017-9798

Сеанс CFNetwork

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7172: Ричард Чжу (Richard Zhu, fluorescence), сотрудничающий с Trend Micro по программе Zero Day Initiative

Запись добавлена 22 января 2018 г.

CoreAnimation

Целевые продукты: macOS High Sierra 10.13.1

Воздействие. Программа может выполнять произвольный код с повышенными привилегиями.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7171: группа 360 Security и отдел безопасности Keen Security Lab (@keen_lab) в Tencent, сотрудничающие с Trend Micro по программе Zero Day Initiative

Запись добавлена 22 января 2018 г.

curl

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Вредоносные серверы FTP могли приводить к тому, что клиент считывал данные за границами выделенной памяти

Описание. При разборе ответа FTP PWD возникала проблема чтения за границами выделенной памяти. Проблема устранена путем улучшенной проверки границ памяти.

CVE-2017-1000254: Макс Даймонд (Max Dymond)

Служба каталогов

Целевые продукты: ОС macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Незатрагиваемые продукты: macOS Sierra 10.12.6 и более ранние версии 

Воздействие. Злоумышленник может обойти процедуру аутентификации администратора без ввода пароля администратора.

Описание. При проверке учетных данных возникала логическая ошибка. Проблема устранена путем улучшенной проверки учетных данных.

CVE-2017-13872

ICU

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2017-15422: Юань Дэн (Yuan Deng) из отдела безопасности Ant-financial Light-Year

Запись добавлена 14 марта 2018 г.

Драйвер видеокарты Intel

Целевые продукты: macOS High Sierra 10.13.1

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13883: Ю Ван (Yu Wang) из Didi Research America

CVE-2017-7163: Ю Ван (Yu Wang) из Didi Research America

CVE-2017-7155: Ю Ван (Yu Wang) из Didi Research America

Запись обновлена 21 декабря 2017 г. 

Драйвер видеокарты Intel

Целевые продукты: macOS High Sierra 10.13.1

Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра

Описание. Возникала проблема чтения за пределами выделенной области памяти, приводившая к утечке памяти ядра. Проблема устранена путем улучшенной проверки ввода.

CVE-2017-13878: Йен Бир (Ian Beer) из Google Project Zero

Драйвер видеокарты Intel

Целевые продукты: macOS High Sierra 10.13.1

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2017-13875: Йен Бир (Ian Beer) из Google Project Zero

IOAcceleratorFamily

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7159: обнаружено средством IMF (разработчик Хёнсок Хан [HyungSeok Han, daramg.gift] из SoftSec, KAIST [softsec.kaist.ac.kr])

Запись обновлена 21 декабря 2017 г. 

IOKit

Целевые продукты: macOS High Sierra 10.13.1

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. В ядре существовала проблема проверки ввода. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2017-13848: Алекс Пласкетт (Alex Plaskett) из MWR InfoSecurity

CVE-2017-13858: анонимный исследователь

IOKit

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Ряд проблем повреждения памяти устранен путем улучшенного управления состоянием.

CVE-2017-13847: Йен Бир (Ian Beer) из Google Project Zero

IOKit

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7162: отдел безопасности Keen Security Lab (@keen_lab) в Tencent, сотрудничающий с Trend Micro по программе Zero Day Initiative

Запись обновлена 10 января 2018 г.

Ядро

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13904: Кевин Бэкхауз (Kevin Backhouse) из Semmle Ltd.

Запись добавлена 14 февраля 2018 г.

Ядро

Целевые продукты: macOS High Sierra 10.13.1

Воздействие. Программа могла прочитать данные из памяти ядра (Meltdown)

Описание. Системы, оснащенные микропроцессорами со спекулятивным выполнением команд и непрямым прогнозированием ветвлений, могут допускать несанкционированное раскрытие информации злоумышленнику с локальным пользовательским доступом посредством анализа кэша данных через сторонний канал.

CVE-2017-5754: Янн Хорн (Jann Horn) из подразделения Google Project Zero, Мориц Липп (Moritz Lipp), Михаэль Шварц (Michael Schwarz), Даниэль Грусс (Daniel Gruss) и Штефан Мангард (Stefan Mangard) из Грацского технического университета, Томас Прешер (Thomas Prescher) и Вернер Хаас (Werner Haas) из Cyberus Technology GmbH, Пауль Кохер (Paul Kocher), Даниэль Дженкин (Daniel Genkin) из Пенсильванского и Мэрилендского университетов, Ювал Яром (Yuval Yarom) из Аделаидского университета и группы Data61 и Майк Хамбург (Mike Hamburg) из Rambus (подразделение криптографических исследований).

Запись обновлена 5 января 2018 г.

Ядро

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13862: компания Apple

CVE-2017-13867: Йен Бир (Ian Beer) из Google Project Zero

Запись обновлена 21 декабря 2017 г. 

Ядро

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2017-7173: Брэндон Азад (Brandon Azad)

Запись обновлена 11 января 2018 г.

Ядро

Целевые продукты: macOS High Sierra 10.13.1

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13876: Йен Бир (Ian Beer) из Google Project Zero

Ядро

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2017-13855: Янн Хорн (Jann Horn) из подразделения Google Project Zero

Ядро

Целевые продукты: macOS High Sierra 10.13.1

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13865: Йен Бир (Ian Beer) из Google Project Zero

Ядро

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13868: Брэндон Азад (Brandon Azad)

CVE-2017-13869: Янн Хорн (Jann Horn) из подразделения Google Project Zero

Ядро

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра

Описание. В ядре существовала проблема проверки ввода. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2017-7154: Янн Хорн (Jann Horn) из подразделения Google Project Zero

Запись добавлена 21 декабря 2017 г.

Почта

Целевые продукты: macOS High Sierra 10.13.1

Воздействие. Сообщение электронной почты с использованием шифрования S/MIME может непреднамеренно отправляться незашифрованным, если сертификат S/MIME получателя не установлен

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2017-13871: Лукас Питшл (Lukas Pitschl) из GPGTools

Запись обновлена 21 декабря 2017 г.

Черновики почтовых сообщений

Целевые продукты: macOS High Sierra 10.13.1

Воздействие. Злоумышленник с преимущественным положением в сети может перехватывать сообщения, отправляемые через программу «Почта».

Описание. При использовании учетных данных S/MIME возникала проблема шифрования. Эта проблема устранена путем дополнительных проверок и контроля со стороны пользователя.

CVE-2017-13860: Михаэль Вайсхаар (Michael Weishaar) из INNEO Solutions GmbH

Запись обновлена 10 января 2018 г.

OpenSSL

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. При разборе X.509 IPAddressFamily возникала проблема чтения за пределами выделенной памяти. Проблема устранена путем улучшенной проверки границ памяти.

CVE-2017-3735: обнаружено с помощью инструмента OSS-Fuzz

Сервер общего доступа к экрану

Целевые продукты: ОС macOS Sierra 10.12.6 и macOS High Sierra 10.13.1

Воздействие. Пользователь с общим доступом к экрану может получить доступ к любому файлу, доступному для чтения пользователю root

Описание. При обработке сеансов совместного доступа к экрану возникала проблема с разрешениями. Проблема устранена путем улучшенной обработки разрешений.

CVE-2017-7158: Тревор Жак (Trevor Jacques) из Торонто

Запись обновлена 21 декабря 2017 г.

SIP

Целевые продукты: ОС macOS High Sierra 10.13.1

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема конфигурации решена посредством наложения дополнительных ограничений.

CVE-2017-13911: анонимный исследователь

Запись обновлена 8 августа 2018 г.

Wi-Fi

Целевые продукты: macOS High Sierra 10.13.1

Воздействие. Пользователь без прав может изменить системные параметры сети Wi-Fi, что приводит к отказу в обслуживании.

Описание. Проблема с доступом в случае привилегированной конфигурации сети Wi-Fi. Проблема устранена путем дополнительных ограничений.

CVE-2017-13886: Давид Крайцшманн (David Kreitschmann) и Матиас Шульц (Matthias Schulz) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете

Запись добавлена 2 мая 2018 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: