Om säkerhetsinnehållet i macOS Sierra 10.12.4, säkerhetsuppdatering 2017-001 El Capitan och säkerhetsuppdatering 2017-001 Yosemite

Det här dokumentet beskriver säkerhetsinnehållet i macOS Sierra 10.12.4, säkerhetsuppdatering 2017-001 El Capitan och säkerhetsuppdatering 2017-001 Yosemite.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

macOS Sierra 10.12.4, säkerhetsuppdatering 2017-001 El Capitan och säkerhetsuppdatering 2017-001 Yosemite

apache

Tillgänglig för: macOS Sierra 10.12.3

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Flera problem förekom i Apache före 2.4.25. De åtgärdades genom uppdatering av Apache till version 2.4.25.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

apache_mod_php

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Det fanns flera problem i PHP före 5.6.30

Beskrivning: Flera problem förekom i PHP före 5.6.30. De åtgärdades genom uppdatering av PHP till version 5.6.30.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett skadligt program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad minneshantering.

CVE-2017-2421: @cocoahuke

AppleRAID

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett skadligt program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2438: sss och Axis på 360Nirvanteam

Ljud

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av en felaktigt utformad ljudfil kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2430: En anonym forskare i samarbete med Trend Micros Zero Day Initiative

CVE-2017-2462: En anonym forskare i samarbete med Trend Micros Zero Day Initiative

Bluetooth

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-2420: Pekka Oikarainen, Matias Karhumaa och Marko Laakso från Synopsys Software Integrity Group

Bluetooth

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett skadligt program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-2427: Axis och sss på Qihoo 360 Nirvan Team

Bluetooth

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2449: sss och Axis från 360NirvanTeam

Carbon

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av en felaktigt utformad DFONT-fil kan leda till körning av godtycklig kod

Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-2017-2379: riusksk (泉哥) från Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av en felaktigt utformad bild kan leda till att åtkomsten till tjänsten nekas

Beskrivning: Obegränsad rekursion åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2417: riusksk (泉哥) på Tencent Security Platform Department

CoreMedia

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av en felaktigt utformad MOV-fil kan leda till godtycklig kodkörning

Beskrivning: Ett minnesfel förekom i hantering av MOV-filer. Problemet åtgärdades genom förbättrad minneshantering.

CVE-2017-2431: kimyok på Tencent Security Platform Department

CoreText

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av en skadlig teckensnittsfil kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av ett felaktigt utformat typsnitt kan leda till att processminnet avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av ett felaktigt utformat textmeddelande kan leda till att åtkomsten till tjänsten begränsas

Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.

CVE-2017-2461: Isaac Archambault från IDAoADI, en anonym forskare

curl

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Felaktigt utformad användarinmatning till libcurl API kan leda till godtycklig kodkörning

Beskrivning: Ett buffertspill åtgärdades genom förbättrad gränskontroll.

CVE-2016-9586: Daniel Stenberg på Mozilla

EFI

Tillgänglig för: macOS Sierra 10.12.3

Effekt: En felaktigt utformad Thunderbolt-adapter kan återställa krypteringslösenordet för FileVault 2.

Beskrivning: Ett problem förekom i hanteringen av DMA. Problemet åtgärdades genom aktivering av VT-d i EFI.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Behörigheter kan oväntat återställas när länkar skickas

Beskrivning: Ett problem med behörigheter förekom vid hantering av länksändningsfunktionen i iCloud-delning. Problemet har åtgärdats genom förbättrad behörighetskontroll.

CVE-2017-2429: Raymond Wong DO på Arnot Ogden Medical Center

FontParser

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av en skadlig teckensnittsfil kan leda till körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2487: riusksk (泉哥) på Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) på Tencent Security Platform Department

FontParser

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Tolkning av en felaktigt utformad typsnittsfil kan leda till oväntad programavslutning eller körning av godtycklig kod

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2407: riusksk (泉哥) på Tencent Security Platform Department

FontParser

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av ett felaktigt utformat typsnitt kan leda till att processminnet avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2017-2439: John Villamil, Doyensec

FontParser

Tillgänglig för: OS X El Capitan 10.11.6 och OS X Yosemite 10.10.5

Effekt: Bearbetning av en skadlig teckensnittsfil kan leda till körning av opålitlig kod

Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-2016-4688: Simon Huang på företaget Alipay

HTTPProtocol

Tillgänglig för: macOS Sierra 10.12.3

Effekt: En skadlig HTTP/2-server kan orsaka odefinierat beteende

Beskrivning: Flera fel förekom i nghttp2 före 1.17.0. Dessa åtgärdades genom att uppdatera nghttp2 till version 1.17.0.

CVE-2017-2428

Hypervisor

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Program som använder Hypervisor-ramverket kan oväntat läcka CR8-kontrollregistret mellan gäst och värd

Beskrivning: Ett problem med informationsläckage åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2418: Alex Fishman och Izik Eidus på Veertu Inc.

iBooks

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Tolkning av en felaktigt utformad iBooks-fil kan leda till avslöjande av lokal fil

Beskrivning: Ett informationsläcka förekom vid hanteringen av filwebbadresser. Problemet åtgärdades genom förbättrad webbadresshantering.

CVE-2017-2426: Craig Arendt på Stratum Security, Jun Kokatsu (@shhnjk)

ImageIO

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av en felaktigt utformad bildfil kan ge upphov till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) från KeenLab, Tencent

ImageIO

Tillgänglig för: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 och OS X Yosemite 10.10.5

Effekt: Visning av en felaktigt utformad JPEG-fil kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2432: En anonym forskare i samarbete med Trend Micros Zero Day Initiative

ImageIO

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av en felaktigt utformad fil kan leda till oväntad programavslutning eller körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2467

ImageIO

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av en felaktigt utformad bild kan leda till att program avslutas oväntat

Beskrivning: Ett problem med läsning utanför gränserna förekom i LibTIFF-versioner före 4.0.7. Det åtgärdades genom uppdatering av LibTIFF i ImageIO till version 4.0.7.

CVE-2016-3619

Intel Graphics-drivrutin

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2443: Ian Beer på Google Project Zero

Intel Graphics-drivrutin

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan avslöja kärnminnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad inmatningssanering.

CVE-2017-2489: Ian Beer på Google Project Zero

IOATAFamily

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett skadligt program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-2408: Yangkang (@dnpushme) på Qihoo360 Qex Team

IOFireWireAVC

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett skadligt program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2436: Orr A, IBM Security

IOFireWireAVC

Tillgänglig för: macOS Sierra 10.12.3

Effekt: En lokal angripare kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2437: Benjamin Gnahm (@mitp0sh) på Blue Frost Security

IOFireWireFamily

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.

CVE-2017-2388: Brandon Azad, en anonym forskare

Kärna

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2398: Lufeng Li på Qihoo 360 Vulcan Team

CVE-2017-2401: Lufeng Li på Qihoo 360 Vulcan Team

Kärna

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett skadligt program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett indatavalideringsproblem förekom i kernel. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2410: Apple

Kärna

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2017-2440: En anonym forskare

Kärna

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett skadligt program kan köra godtycklig kod med rotbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad minneshantering.

CVE-2017-2456: lokihardt på Google Project Zero

Kärna

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2472: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett skadligt program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-2473: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett problem med förskjutning åtgärdades genom förbättrad kontroll av gränserna.

CVE-2017-2474: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2017-2478: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2017-2482: Ian Beer på Google Project Zero

CVE-2017-2483: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan köra godtycklig kod med högre privilegier

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-2490: Ian Beer på Google Project Zero, Storbritanniens National Cyber Security Centre (NCSC)

Kärna

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Skärmen kan oväntat fortsätta vara upplåst när locket är stängt

Beskrivning: Ett problem med otillräckligt lås åtgärdades genom förbättrad tillståndshantering.

CVE-2017-7070: Ed McKenzie

Tangentbord

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan köra godtycklig kod

Beskrivning: Ett buffertspill åtgärdades genom förbättrad gränskontroll.

CVE-2017-2458: Shashank (@cyberboyIndia)

Nyckelring

Tillgänglig för: macOS Sierra 10.12.3

Effekt: En angripare som klarar av att fånga upp TLS-anslutningar kan läsa hemligheter som skyddas av iCloud-nyckelring.

Beskrivning: Under vissa omständigheter kunde iCloud-nyckelring inte validera OTR-paketens autenticitet. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-2448: Alex Radocea på Longterm Security, Inc.

libarchive

Tillgänglig för: macOS Sierra 10.12.3

Effekt: En lokal angripare kan ändra filsystembehörigheter på godtyckliga kataloger

Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2017-2390: Omer Medan på enSilo Ltd

libc++abi

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Avkodning av skadligt C++-program kan leda till körning av godtycklig kod

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2441

LibreSSL

Tillgänglig för: macOS Sierra 10.12.3 och OS X El Capitan 10.11.6

Effekt: En lokal användare kan läcka känslig användarinformation

Beskrivning: En timingsidokanal gjorde det möjligt för en angripare att återskapa nycklar. Problemet åtgärdades genom införsel av kontinuerliga tidsberäkningar.

CVE-2016-7056: Cesar Pereida García och Billy Brumley (Tampere University of Technology)

libxslt

Tillgänglig för: OS X El Capitan version 10.11.6

Effekt: Flera sårbarheter i libxslt

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-2477

libxslt

Tillgänglig för: macOS Sierra 10.12.3, OS X El Capitan 10.11.6 och OS X Yosemite 10.10.5

Effekt: Flera sårbarheter i libxslt

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2017-5029: Holger Fuhrmannek

MCX-klient

Tillgänglig för: macOS Sierra 10.12.3

Effekt: När en konfigurationsprofil med flera nyttolaster tas bort tas inte Active Directory-certifikatförtroendet bort

Beskrivning: Det förekom ett problem med avinstallation av profil. Problemet åtgärdades genom förbättrad rensning.

CVE-2017-2402: En anonym forskare

Menyer

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan avslöja processminnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-2422: @cocoahuke

OpenSSH

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Flera problem i OpenSSH

Beskrivning: Flera problem förekom i OpenSSH före 7.4. De åtgärdades genom uppdatering av OpenSSH till version 7.4.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

Tillgänglig för: macOS Sierra 10.12.3

Effekt: En lokal användare kan läcka känslig användarinformation

Beskrivning: En timingsidokanal åtgärdades genom användning av kontinuerlig tidsberäkning.

CVE-2016-7056: Cesar Pereida García och Billy Brumley (Tampere University of Technology)

Utskrift

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Klick på en skadlig IPP(S)-länk kan leda till godtycklig kodkörning

Beskrivning: Ett problem med en okontrollerad formatsträng åtgärdades genom förbättrad indatavalidering.

CVE-2017-2403: beist på GrayHash

python

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av felaktigt utformade ZIP-arkiv med Python kan leda till godtycklig kodkörning

Beskrivning: Ett minnesfel förekom i hantering av ZIP-arkiv. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2016-5636

QuickTime

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Visning av en felaktigt utformad mediefil kan leda till oväntad programavslutning eller körning av godtycklig kod

Beskrivning: Ett minnesfel förekom i QuickTime. Problemet åtgärdades genom förbättrad minneshantering.

CVE-2017-2413: Simon Huang(@HuangShaomang) och pjf på IceSword Lab på Qihoo 360

Säkerhet

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Validering av tomma signaturer med SecKeyRawVerify() kan oväntat genomföras

Beskrivning: Det förekom ett valideringsproblem med kryptografiska API-samtal. Problemet har åtgärdats genom förbättrad parametervalidering.

CVE-2017-2423: En anonym forskare

Säkerhet

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Ett program kan köra godtycklig kod med rotbehörigheter

Beskrivning: Ett buffertspill åtgärdades genom förbättrad gränskontroll.

CVE-2017-2451: Alex Radocea på Longterm Security, Inc.

Säkerhet

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av ett felaktigt utformat x509-certifikat kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel förekom i tolkning av certifikat. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2017-2485: Aleksandar Nikolic på Cisco Talos

SecurityFoundation

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av ett felaktigt utformat certifikat kan leda till körning av godtycklig kod

Beskrivning: Ett problem med flera gånger använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2425: kimyok på Tencent Security Platform Department

sudo

Tillgänglig för: macOS Sierra 10.12.3

Effekt: En användare i en grupp med namnet ”admin” i en nätverkskatalogserver kan eskalera behörigheter via sudo

Beskrivning: Ett åtkomstproblem förekom i sudo. Problemet åtgärdades genom förbättrad behörighetskontroll.

CVE-2017-2381

Systemintegritetsskydd

Tillgänglig för: macOS Sierra 10.12.3

Effekt: En skadligt program kan modifiera skyddade diskplatser

Beskrivning: Ett valideringsproblem förekom i hanteringen av systeminstallation. Problemet åtgärdades genom förbättrad hantering och validering under installationsprocessen.

CVE-2017-6974: Patrick Wardle från Synack

tcpdump

Tillgänglig för: macOS Sierra 10.12.3

Effekt: En angripare med behörig nätverksposition kan köra godtycklig kod med hjälp från användare

Beskrivning: Flera problem förekom i tcpdump före 4.9.0. De åtgärdades genom uppdatering av tcpdump till version 4.9.0.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

Tillgänglig för: macOS Sierra 10.12.3

Effekt: Bearbetning av en felaktigt utformad bild kan leda till att program avslutas oväntat

Beskrivning: Ett problem med läsning utanför gränserna förekom i LibTIFF-versioner före 4.0.7. Det åtgärdades genom uppdatering av LibTIFF i AKCmds till version 4.0.7.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

Ytterligare tack

XNU

Vi vill tacka Lufeng Li på Qihoo 360 Vulcan Team för deras hjälp.