Informácie o obsahu zabezpečenia systému macOS High Sierra 10.13.1, aktualizácie zabezpečenia 2017-001 Sierra a aktualizácie zabezpečenia 2017-004 El Capitan

Tento dokument popisuje obsah zabezpečenia systému macOS High Sierra 10.13.1, aktualizácie zabezpečenia 2017-001 Sierra a aktualizácie zabezpečenia 2017-004 El Capitan.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

macOS High Sierra 10.13.1, aktualizácia zabezpečenia 2017-001 Sierra a aktualizácia zabezpečenia 2017-004 El Capitan

Vydané 31. októbra 2017

apache

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Viacero problémov v súčasti Apache

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 2.4.27.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

Dátum aktualizácie záznamu: 14. novembra 2017

APFS

Dostupné pre: macOS High Sierra 10.13

Dopad: Škodlivý adaptér Thunderbolt môže byť schopný obnoviť nešifrované dáta súborového systému APFS

Popis: Pri spracovávaní DMA dochádzalo k problému. Tento problém sa odstránil skrátením časového úseku, počas ktorého sú dešifrovacie medzipamäte FileVault namapované pomocou DMA na trvanie vstupno-výstupnej operácie.

CVE-2017-13786: Dmytro Oleksiuk

Dátum aktualizovania záznamu: 10. novembra 2017

APFS

Dostupné pre: macOS High Sierra 10.13

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13800: Sergej Schumilo z Porúrskej univerzity v Bochume

AppleScript

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Dekompilovanie kódu AppleScript s použitím súčasti osadecompile môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13809: bat0s

Dátum aktualizovania záznamu: 10. novembra 2017

ATS

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Spracovanie webovej stránky so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-13820: John Villamil, Doyensec

Zvuk

Dostupné pre: macOS Sierra 10.12.6

Dopad: Analýza súboru QuickTime so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13807: Yangkang (@dnpushme) z tímu Qihoo 360 Qex

Dátum aktualizácie záznamu: 22. januára 2019

CFNetwork

Dostupné pre: OS X El Capitan 10.11.6 a macOS Sierra 10.12.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13829: Niklas Baumstark a Samuel Gro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro 

CVE-2017-13833: Niklas Baumstark a Samuel Gro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 10. novembra 2017

CFString

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13821: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

CoreText

Dostupné pre: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13825: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum aktualizovania záznamu: 16. novembra 2018

curl

Dostupné pre: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Nahranie prostredníctvom protokolu TFTP na adresu URL so škodlivým obsahom s použitím súčasti libcurl môže viesť k sprístupneniu pamäte aplikácie

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2017-1000100: Even Rouault, nájdené programom OSS-Fuzz

curl

Dostupné pre: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Spracovanie adresy URL so škodlivým obsahom s použitím súčasti libcurl môže viesť k neočakávanému ukončeniu aplikácie alebo k čítaniu operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2017-1000101: Brian Carpenter, Yongji Ouyang

Widget Slovník

Dostupné pre: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Hľadanie textu vloženého do widgetu Slovník môže viesť k úniku informácií používateľa

Popis: Vyskytoval sa problém s overovaním, ktorý umožňoval prístup k lokálnym súborom. Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13801: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)

file

Dostupné pre: macOS Sierra 10.12.6

Dopad: Viacero problémov v súčasti file

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 5.31.

CVE-2017-13815: Nájdené programom OSS-Fuzz

Dátum aktualizovania záznamu: 18. októbra 2018

Písma

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Vykreslenie nedôveryhodného textu môže viesť k falšovaniu

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-13828: Leonard Grey a Robert Sesek z tímu prehliadača Google Chrome

Dátum aktualizovania záznamu: 10. novembra 2017

fsck_msdos

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13811: V.E.O (@VYSEa) z tímu Mobile Advanced Threat Team, Trend Micro

Dátum aktualizovania záznamu: 2. novembra 2017

HFS

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13830: Sergej Schumilo z Porúrskej univerzity v Bochume

Heimdal

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Útočník s oprávneniami v sieti môže byť schopný vydávať sa za službu

Popis: Pri spracovávaní názvu služby KDC-REP dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania adries.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni a Nico Williams

Dátum aktualizácie záznamu: 22. januára 2019

HelpViewer

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Súbor HTML v karanténe môže spúšťať ľubovoľný kód JavaScript z inej lokality

Popis: V súčasti HelpViewer dochádzalo k problému súvisiacemu so skriptovaním medzi lokalitami. Tento problém bol vyriešený odstránením príslušného súboru.

CVE-2017-13819: Filippo Cavallarin z tímu SecuriTeam Secure Disclosure

Dátum aktualizovania záznamu: 10. novembra 2017

ImageIO

Dostupné pre: macOS Sierra 10.12.6

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-13814: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum aktualizovania záznamu: 16. novembra 2018

ImageIO

Dostupné pre: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Pri spracovávaní obrazov diskov dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením správy pamäte.

CVE-2017-13831: Glen Carmichael

Dátum aktualizovania záznamu: 16. novembra 2018

IOAcceleratorFamily

Dostupné pre: macOS Sierra 10.12.6

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13906

Dátum pridania záznamu: 18. októbra 2018

Jadro

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Lokálny používateľ môže byť schopný spôsobiť únik citlivých používateľských informácií

Popis: V počítadlách paketov jadra sa vyskytoval problém s povoleniami. Tento problém bol vyriešený vylepšením overovania povolení.

CVE-2017-13810: Zhiyun Qian z Kalifornskej univerzity v Riverside

Dátum aktualizácie záznamu: 22. januára 2019

Jadro

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-13817: Maxime Villard (m00nbsd)

Jadro

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13818: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse zo spoločnosti Semmle Ltd.

Dátum aktualizácie záznamu: 18. júna 2018

Jadro

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13843: Dvaja anonymní výskumníci

Jadro

Dostupné pre: macOS Sierra 10.12.6

Dopad: Spracovanie poškodeného binárneho súboru mach môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2017-13834: Maxime Villard (m00nbsd)

Dátum aktualizácie záznamu: 22. januára 2019

Jadro

Dostupné pre: macOS High Sierra 10.13, macOS Sierra 10.12.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13799: Lufeng Li z tímu Qihoo 360 Vulcan Team

Dátum aktualizovania záznamu: 10. novembra 2017

Jadro

Dostupné pre: macOS High Sierra 10.13

Dopad: Aplikácia so škodlivým kódom môže byť schopná získať informácie o prítomnosti a fungovaní iných aplikácií v zariadení.

Popis: Aplikácia mohla získať neobmedzený prístup k informáciám o procesoch spravovaných operačným systémom. Tento problém bol vyriešený obmedzením rýchlosti dátových prenosov.

CVE-2017-13852: Xiaokuan Zhang a Yinqian Zhang z Ohijskej štátnej univerzity, Xueqiang Wang a XiaoFeng Wang z Bloomingtonskej univerzity v Indiane a Xiaolong Bai z univerzity Čching-chua

Dátum pridania záznamu: 10. novembra 2017, dátum aktualizovania: 22. januára 2019

libarchive

Dostupné pre: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: V súčasti libarchive existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania vstupu.

CVE-2017-13813: Nájdené programom OSS-Fuzz

Dátum aktualizácie záznamu: 16. novembra 2018, dátum ďalšej aktualizácie: 22. januára 2019

libarchive

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: V súčasti libarchive existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania vstupu.

CVE-2017-13812: Nájdené programom OSS-Fuzz

Dátum aktualizácie záznamu: 22. januára 2019

libarchive

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2016-4736: Proteas z tímu Qihoo 360 Nirvan Team

Dátum aktualizovania záznamu: 21. decembra 2017

libxml2

Dostupné pre: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s dereferenciou nulového smerníka, ktorý bol vyriešený vylepšením overovania.

CVE-2017-5969: Gustavo Grieco

Dátum pridania záznamu: 18. októbra 2018

libxml2

Dostupné pre: OS X El Capitan 10.11.6

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-5130: Anonymný výskumník

CVE-2017-7376: Anonymný výskumník

Dátum pridania záznamu: 18. októbra 2018

libxml2

Dostupné pre: macOS Sierra 10.12.6

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-9050: Mateusz Jurczyk (j00ru) z tímu Google Project Zero

Dátum pridania záznamu: 18. októbra 2018

libxml2

Dostupné pre: macOS Sierra 10.12.6

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-9049: Wei Lei a Liu Yang – Technologická univerzita v Nanyangu v Singapure

Dátum pridania záznamu: 18. októbra 2018

LinkPresentation

Dostupné pre: macOS High Sierra 10.13

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4390: Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter

CVE-2018-4391: Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter

Dátum pridania záznamu: 16. novembra 2018

Prihlasovacie okno

Dostupné pre: macOS High Sierra 10.13

Dopad: Zámok obrazovky môže neočakávane zostať odomknutý

Popis: Dochádzalo k problému so správou stavov, ktorý bol vyriešený vylepšením overovania stavu.

CVE-2017-13907: Anonymný výskumník

Dátum pridania záznamu: 18. októbra 2018

Open Scripting Architecture

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Dekompilovanie kódu AppleScript s použitím súčasti osadecompile môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13824: Anonymný výskumník

PCRE

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Viacero problémov v súčasti pcre

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 8.40.

CVE-2017-13846

Postfix

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Viacero problémov v súčasti Postfix

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 3.2.2.

CVE-2017-10140: Anonymný výskumník

Dátum aktualizácie záznamu: 17. novembra 2017

Rýchly náhľad

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13822: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Rýchly náhľad

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Analýza dokumentu balíka Office so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7132: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum aktualizácie záznamu: 22. januára 2019

QuickTime

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13823: Xiangkun Jia zo Softvérového inštitútu Čínskej akadémie vied

Dátum aktualizovania záznamu: 10. novembra 2017

Vzdialená správa

Dostupné pre: macOS Sierra 10.12.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13808: Anonymný výskumník

Izolovaný priestor

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13838: Alastair Houghton

Dátum aktualizovania záznamu: 10. novembra 2017

Zabezpečenie

Dostupné pre: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-7170: Patrick Wardle zo spoločnosti Synack

Dátum pridania záznamu: 11. januára 2018

Zabezpečenie

Dostupné pre: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Škodlivá aplikácia môže získať heslá kľúčenky

Popis: Existoval spôsob, ako mohli aplikácie umelým kliknutím obísť výzvu na prístup ku kľúčenke. Tento problém bol vyriešený vyžadovaním zadania hesla používateľa pri vygenerovaní výzvy na prístup ku kľúčenke.

CVE-2017-7150: Patrick Wardle zo spoločnosti Synack

Dátum pridania záznamu: 17. novembra 2017

SMB

Dostupné pre: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Dopad: Lokálny útočník môže byť schopný spúšťať nespustiteľné textové súbory prostredníctvom zdieľania SMB

Popis: Problém so spracovaním povolení k súborom bol vyriešený vylepšením overovania.

CVE-2017-13908: Anonymný výskumník

Dátum pridania záznamu: 18. októbra 2018

StreamingZip

Dostupné pre: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Škodlivý súbor .zip môže byť schopný zmeniť neprístupné oblasti systému súborov

Popis: Dochádzalo k problému súvisiacemu so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2017-13804: @qwertyoruiopz zo spoločnosti KJC Research Intl. S.R.L.

tcpdump

Dostupné pre: macOS High Sierra 10.13, macOS Sierra 10.12.6

Dopad: Viacero problémov v súčasti tcpdump

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 4.9.2.

CVE-2017-11108

CVE-2017-11541

CVE-2017-11542

CVE-2017-11543

CVE-2017-12893

CVE-2017-12894

CVE-2017-12895

CVE-2017-12896

CVE-2017-12897

CVE-2017-12898

CVE-2017-12899

CVE-2017-12900

CVE-2017-12901

CVE-2017-12902

CVE-2017-12985

CVE-2017-12986

CVE-2017-12987

CVE-2017-12988

CVE-2017-12989

CVE-2017-12990

CVE-2017-12991

CVE-2017-12992

CVE-2017-12993

CVE-2017-12994

CVE-2017-12995

CVE-2017-12996

CVE-2017-12997

CVE-2017-12998

CVE-2017-12999

CVE-2017-13000

CVE-2017-13001

CVE-2017-13002

CVE-2017-13003

CVE-2017-13004

CVE-2017-13005

CVE-2017-13006

CVE-2017-13007

CVE-2017-13008

CVE-2017-13009

CVE-2017-13010

CVE-2017-13011

CVE-2017-13012

CVE-2017-13013

CVE-2017-13014

CVE-2017-13015

CVE-2017-13016

CVE-2017-13017

CVE-2017-13018

CVE-2017-13019

CVE-2017-13020

CVE-2017-13021

CVE-2017-13022

CVE-2017-13023

CVE-2017-13024

CVE-2017-13025

CVE-2017-13026

CVE-2017-13027

CVE-2017-13028

CVE-2017-13029

CVE-2017-13030

CVE-2017-13031

CVE-2017-13032

CVE-2017-13033

CVE-2017-13034

CVE-2017-13035

CVE-2017-13036

CVE-2017-13037

CVE-2017-13038

CVE-2017-13039

CVE-2017-13040

CVE-2017-13041

CVE-2017-13042

CVE-2017-13043

CVE-2017-13044

CVE-2017-13045

CVE-2017-13046

CVE-2017-13047

CVE-2017-13048

CVE-2017-13049

CVE-2017-13050

CVE-2017-13051

CVE-2017-13052

CVE-2017-13053

CVE-2017-13054

CVE-2017-13055

CVE-2017-13687

CVE-2017-13688

CVE-2017-13689

CVE-2017-13690

CVE-2017-13725

Wi-Fi

Dostupné pre: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Útočník v dosahu Wi-Fi siete môže vynútiť opätovné použitie čísla nonce v klientoch WPA unicast/PTK (útoky opätovnou inštaláciou kľúča – KRACK)

Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-13077: Mathy Vanhoef zo skupiny imec-DistriNet na univerzite KU Leuven

CVE-2017-13078: Mathy Vanhoef zo skupiny imec-DistriNet na univerzite KU Leuven

Dátum aktualizovania záznamu: 3. novembra 2017

Wi-Fi

Dostupné pre: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Dopad: Útočník v dosahu Wi-Fi siete môže vynútiť opätovné použitie čísla nonce v klientoch WPA multicast/GTK (útoky opätovnou inštaláciou kľúča – KRACK)

Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-13080: Mathy Vanhoef zo skupiny imec-DistriNet na univerzite KU Leuven

Dátum aktualizovania záznamu: 3. novembra 2017

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: