Obsah zabezpečenia v systéme macOS High Sierra 10.13

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS High Sierra 10.13.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

macOS High Sierra 10.13

Vydané 25. septembra 2017

802.1X

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Útočník môže byť schopný zneužiť slabiny protokolu TLS 1.0

Popis: Dochádzalo k problému so zabezpečením protokolu, ktorý bol vyriešený povolením protokolov TLS 1.1 a TLS 1.2.

CVE-2017-13832: Doug Wussler z Floridskej štátnej univerzity

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

apache

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Viacero problémov v súčasti Apache

Popis: V softvéri Apache dochádzalo k viacerými problémom. Tieto problémy boli vyriešené aktualizáciou softvéru Apache na verziu 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 14. decembra 2018

Nastavenia účtov Apple

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Lokálny útočník môže získať prístup k overovacím tokenom iCloudu

Popis: Dochádzalo k problému v úložisku citlivých tokenov. Tento problém bol vyriešený umiestňovaním tokenov do Kľúčenky.

CVE-2017-13909: Andreas Nilsson

Dátum pridania záznamu: 18. októbra 2018

AppleScript

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Dekompilovanie kódu AppleScript s použitím súčasti osadecompile môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13809: bat0s

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

Aplikačný Firewall

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Predtým vypnuté pravidlo aplikačného firewallu sa po upgrade môže znova zapnúť

Popis: Pri upgrade dochádzalo k problému so spracovaním nastavení firewallu. Tento problém bol vyriešený vylepšením spracovania nastavení firewallu počas upgradovania.

CVE-2017-7084: Anonymný výskumník

AppSandbox

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spôsobiť odmietnutie služby

Popis: Dochádzalo k viacerým problémom súvisiacim s odmietnutím služby, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-7074: Daniel Jalkut zo spoločnosti Red Sweater Software

ATS

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Spracovanie webovej stránky so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-13820: John Villamil, Doyensec

Dátum pridania záznamu: 31. októbra 2017

Audio

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Analýza súboru QuickTime so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13807: Yangkang (@dnpushme) z tímu Qihoo 360 Qex

Dátum pridania záznamu: 31. októbra 2017

Asistent pre siete s vynútenou predvolenou stránkou

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Lokálny používateľ môže cez sieť nevedome odoslať nezašifrované heslo

Popis: V prehliadači kaptívnych portálov nebolo jasné, aký je stav zabezpečenia. Tento problém bol vyriešený jasnejším označením stavu zabezpečenia v prehliadači kaptívnych portálov.

CVE-2017-7143: Matthew Green z Univerzity Johna Hopkinsa

Dátum aktualizovania záznamu: 3. októbra 2017

CFNetwork

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13829: Niklas Baumstark a Samuel Gro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro 

CVE-2017-13833: Niklas Baumstark a Samuel Gro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 10. novembra 2017

Proxy servery súčasti CFNetwork

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k viacerým problémom súvisiacim s odmietnutím služby, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-7083: Abhinav Bansal zo spoločnosti Zscaler Inc.

CFString

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13821: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum pridania záznamu: 31. októbra 2017

CoreAudio

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený aktualizovaním súčasti Opus na verziu 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) z tímu Mobile Threat Research Team, Trend Micro

CoreText

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13825: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 16. novembra 2018

CoreTypes

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Spracovanie webovej stránky so škodlivým kódom môže mať za následok pripojenie obrazu disku

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2017-13890: Apple, Theodor Ragnar Gislason zo spoločnosti Syndis

Dátum pridania záznamu: 29. marca 2018

DesktopServices

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Lokálny útočník môže byť schopný sledovať nechránené používateľské dáta

Popis: Pri niektorých súboroch v domovskom priečinku dochádzalo k problému s prístupom k súborom. Tento problém bol vyriešený vylepšením obmedzení prístupu.

CVE-2017-13851: Henrique Correa de Amorim

Dátum pridania záznamu: 2. novembra 2017, dátum aktualizovania: 14. februára 2018

Adresárová utilita

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Lokálny útočník môže byť schopný zistiť účet Apple ID vlastníka počítača

Popis: Pri spracovávaní účtu Apple ID dochádzalo k problému s právami. Tento problém bol vyriešený vylepšením riadenia prístupu.

CVE-2017-7138: Daniel Kvak z Masarykovej univerzity

Dátum aktualizovania záznamu: 3. októbra 2017

File

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Viacero problémov v súčasti file

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 5.30.

CVE-2017-7121: Nájdené programom OSS-Fuzz

CVE-2017-7122: Nájdené programom OSS-Fuzz

CVE-2017-7123: Nájdené programom OSS-Fuzz

CVE-2017-7124: Nájdené programom OSS-Fuzz

CVE-2017-7125: Nájdené programom OSS-Fuzz

CVE-2017-7126: Nájdené programom OSS-Fuzz

File

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Viacero problémov v súčasti file

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 5.31.

CVE-2017-13815

Dátum pridania záznamu: 31. októbra 2017

Písma

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Vykreslenie nedôveryhodného textu môže viesť k falšovaniu

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-13828: Leonard Grey a Robert Sesek z tímu prehliadača Google Chrome

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

fsck_msdos

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13811: V.E.O (@VYSEa) z tímu Mobile Advanced Threat Team, Trend Micro

Dátum aktualizovania záznamu: 2. novembra 2017

fsck_msdos

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so zvýšenými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13835: Anonymný výskumník

Dátum pridania záznamu: 18. októbra 2018

Heimdal

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Útočník s oprávneniami v sieti môže byť schopný vydávať sa za službu

Popis: Pri spracovávaní názvu služby KDC-REP dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni a Nico Williams

HelpViewer

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Súbor HTML v karanténe môže spúšťať ľubovoľný kód JavaScript z inej lokality

Popis: V súčasti HelpViewer dochádzalo k problému súvisiacemu so skriptovaním medzi lokalitami. Tento problém bol vyriešený odstránením príslušného súboru.

CVE-2017-13819: Filippo Cavallarin z tímu SecuriTeam Secure Disclosure

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

HFS

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13830: Sergej Schumilo z Porúrskej univerzity v Bochume

Dátum pridania záznamu: 31. októbra 2017

ImageIO

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-13814: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 16. novembra 2018

ImageIO

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-13831: Glen Carmichael

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 3. apríla 2019

Inštalátor

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup ku kľúču na odomknutie FileVaultu

Popis: Tento problém bol vyriešený odstránením dodatočných oprávnení.

CVE-2017-13837: Patrick Wardle zo spoločnosti Synack

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

IOAcceleratorFamily

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13906

Dátum pridania záznamu: 18. októbra 2018

IOFireWireFamily

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7077: Brandon Azad

IOFireWireFamily

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng zo spoločnosti Alibaba Inc., Benjamin Gnahm (@mitp0sh) zo spoločnosti PDX

Jadro

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7114: Alex Plaskett zo spoločnosti MWR InfoSecurity

Jadro

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Lokálny používateľ môže byť schopný spôsobiť únik citlivých používateľských informácií

Popis: V počítadlách paketov jadra dochádzalo k problému s právami. Tento problém bol vyriešený vylepšením overovania práv.

CVE-2017-13810: Zhiyun Qian z Kalifornskej univerzity v Riverside

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

Jadro

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-13817: Maxime Villard (m00nbsd)

Dátum pridania záznamu: 31. októbra 2017

Jadro

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13818: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse zo spoločnosti Semmle Ltd.

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 18. júna 2018

Jadro

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13843: Dvaja anonymní výskumníci

Dátum pridania záznamu: 31. októbra 2017

Jadro

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13854: shrek_wzw z tímu Qihoo 360 Nirvan

Dátum pridania záznamu: 2. novembra 2017

Jadro

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Spracovanie poškodeného binárneho súboru mach môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2017-13834: Maxime Villard (m00nbsd)

Dátum pridania záznamu: 10. novembra 2017

Jadro

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia so škodlivým kódom môže byť schopná získať informácie o prítomnosti a fungovaní iných aplikácií v zariadení.

Popis: Aplikácia mohla získať neobmedzený prístup k informáciám o sieťovej aktivite, ktoré spravuje operačný systém. Tento problém bol vyriešený obmedzením informácií dostupných pre aplikácie od iných výrobcov.

CVE-2017-13873: Xiaokuan Zhang a Yinqian Zhang z Ohijskej štátnej univerzity, Xueqiang Wang a XiaoFeng Wang z Bloomingtonskej univerzity v Indiane a Xiaolong Bai z univerzity Čching-chua

Dátum pridania záznamu: 30. novembra 2017

Nástroje kext

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Pri načítavaní nástrojov kext dochádzalo k problému s logickou chybou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-13827: Anonymný výskumník

Dátum pridania záznamu: 31. októbra 2017

libarchive

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13813: Nájdené programom OSS-Fuzz

CVE-2017-13816: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: 31. októbra 2017

libarchive

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: V súčasti libarchive existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania vstupu.

CVE-2017-13812: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: 31. októbra 2017

libarchive

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2016-4736: Anonymný výskumník

Dátum pridania záznamu: 31. októbra 2017

libc

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému s vyčerpaním prostriedkov vo funkcii glob(), ktorý bol vyriešený vylepšením algoritmu.

CVE-2017-7086: Russ Cox zo spoločnosti Google

libc

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spôsobiť odmietnutie služby

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-1000373

libexpat

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Viacero problémov v súčasti expat

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 2.2.1.

CVE-2016-9063

CVE-2017-9233

libxml2

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s dereferenciou nulového smerníka, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4302: Gustavo Grieco

Dátum pridania záznamu: 18. októbra 2018

libxml2

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-5130: Anonymný výskumník

CVE-2017-7376: Anonymný výskumník

Dátum pridania záznamu: 18. októbra 2018

libxml2

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-9050: Mateusz Jurczyk (j00ru) z tímu Google Project Zero

Dátum pridania záznamu: 18. októbra 2018

libxml2

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-9049: Wei Lei a Liu Yang – Technologická univerzita v Nanyangu v Singapure

Dátum pridania záznamu: 18. októbra 2018

Mail

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Odosielateľ e‑mailu môže byť schopný zistiť IP adresu príjemcu

Popis: Vypnutie možnosti „Načítať vzdialený obsah v správach“ sa neprejavovalo vo všetkých schránkach. Tento problém bol vyriešený vylepšením šírenia nastavení.

CVE-2017-7141: John Whitehead z The New York Times

Dátum aktualizovania záznamu: 3. októbra 2017

Koncepty v aplikácii Mail

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať obsah e-mailov

Popis: Pri spracovávaní konceptov e-mailov dochádzalo k problému so šifrovaním. Tento problém bol vyriešený vylepšením spracovania konceptov e-mailov, ktoré sa majú odosielať zašifrované.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE z Marseille (Francúzsko), anonymný výskumník

Dátum aktualizovania záznamu: 3. októbra 2017

ntp

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Viacero problémov v súčasti ntp

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 2.2.8p10.

CVE-2017-6451: Cure53 

CVE-2017-6452: Cure53 

CVE-2017-6455: Cure53 

CVE-2017-6458: Cure53 

CVE-2017-6459: Cure53 

CVE-2017-6460: Cure53 

CVE-2017-6462: Cure53 

CVE-2017-6463: Cure53 

CVE-2017-6464: Cure53

CVE-2016-9042: Matthew Van Gundy zo spoločnosti Cisco

Open Scripting Architecture

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Dekompilovanie kódu AppleScript s použitím súčasti osadecompile môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13824: Anonymný výskumník

Dátum pridania záznamu: 31. októbra 2017

PCRE

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Viacero problémov v súčasti pcre

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 8.40.

CVE-2017-13846

Dátum pridania záznamu: 31. októbra 2017

Postfix

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Viacero problémov v súčasti Postfix

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 3.2.2.

CVE-2017-10140: Anonymný výskumník

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 17. novembra 2017

Rýchly náhľad

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13822: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum pridania záznamu: 31. októbra 2017

Rýchly náhľad

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dosah: Analýza dokumentu balíka Office so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7132: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum pridania záznamu: 31. októbra 2017

QuickTime

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13823: Xiangkun Jia zo Softvérového inštitútu Čínskej akadémie vied

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

Vzdialená správa

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13808: Anonymný výskumník

Dátum pridania záznamu: 31. októbra 2017

Izolovaný priestor

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13838: Alastair Houghton

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

Zámok obrazovky

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Výzvy aplikačného firewallu sa môžu zobrazovať cez prihlasovacie okno

Popis: Dochádzalo k problému so správou okien, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-7082: Tim Kingman

Zabezpečenie

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Systém môže považovať zrušený certifikát za dôveryhodný

Popis: Pri spracovávaní dát zrušených certifikátov dochádzalo k problému s overovaním certifikátov. Tento problém bol vyriešený vylepšením overovania.

CVE-2017-7080: Sven Driemecker zo spoločnosti adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) z obce Bærum, anonymný výskumník, anonymný výskumník

SMB

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Lokálny útočník môže byť schopný spúšťať nespustiteľné textové súbory prostredníctvom zdieľania SMB

Popis: Pri spracovávaní práv k súborom dochádzalo k problému, ktorý bol vyriešený vylepšením overovania.

CVE-2017-13908: Anonymný výskumník

Dátum pridania záznamu: 18. októbra 2018

Spotlight

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Spotlight môže vo výsledkoch zobrazovať súbory patriace iným používateľom

Popis: V Spotlighte dochádzalo k problému s prístupom. Tento problém bol vyriešený vylepšením obmedzení prístupu.

CVE-2017-13839: Ken Harris zo spoločnosti Free Robot Collective

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

Spotlight

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná získať prístup k obmedzeným súborom

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru aplikácií.

CVE-2017-13910

Dátum pridania záznamu: 18. októbra 2018

SQLite

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Viacero problémov v súčasti SQLite

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 3.19.3.

CVE-2017-10989: Nájdené programom OSS-Fuzz

CVE-2017-7128: Nájdené programom OSS-Fuzz

CVE-2017-7129: Nájdené programom OSS-Fuzz

CVE-2017-7130: Nájdené programom OSS-Fuzz

SQLite

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7127: Anonymný výskumník

zlib

Dostupné pre: OS X Mountain Lion 10.8 a novší

Dopad: Viacero problémov v súčasti zlib

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Ďalšie poďakovanie

Zabezpečenie

Poďakovanie za pomoc si zaslúži Abhinav Bansal zo spoločnosti Zscaler, Inc.

NSWindow

Poďakovanie za pomoc si zaslúži Trent Apted z tímu Google Chrome.

WebKit Web Inspector

Poďakovanie za pomoc si zaslúži Ioan Bizău zo spoločnosti Bloggify.

Doplnková aktualizácia macOS High Sierra 10.13

Nový softvér systému macOS High Sierra 10.13 na stiahnutie obsahuje obsah zabezpečenia doplnkovej aktualizácie macOS High Sierra 10.13.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: