Om säkerhetsinnehållet i macOS High Sierra 10.13

Det här dokumentet beskriver säkerhetsinnehållet i macOS High Sierra 10.13.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

macOS High Sierra 10.13

Släpptes 25 september 2017

802.1X

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: En angripare kan exploatera svagheter i TLS 1.0

Beskrivning: Ett protokollsäkerhetsproblem åtgärdades genom att aktivera TLS 1.1 och TLS 1.2.

CVE-2017-13832: Doug Wussler på Florida State University

Posten lades till 31 oktober 2017 och uppdaterades 10 november 2017

apache

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Flera problem i Apache

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 2.4.27.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

Posten lades till 31 oktober 2017 och uppdaterades 14 november 2017

AppleScript

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Dekompilering av ett AppleScript med osadecompile kan leda till körning av opålitlig kod

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2017-13809: bat0s

Posten lades till 31 oktober 2017 och uppdaterades 10 november 2017

Brandvägg för program

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: En tidigare nekad inställning i programbrandväggen kan träda i kraft efter uppgradering

Beskrivning: Det fanns ett uppgraderingsproblem i hanteringen av brandväggsinställningar. Problemet åtgärdades genom att förbättra hanteringen av brandväggsinställningar vid uppgraderingar.

CVE-2017-7084: en anonym forskare

AppSandbox

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program kan orsaka ett dos-angrepp

Beskrivning: Flera problem med dos-angrepp åtgärdades genom förbättrad minneshantering.

CVE-2017-7074: Daniel Jalkut på Red Sweater Software

ATS

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-13820: John Villamil, Doyensec

Lades till 31 oktober 2017

Ljud

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Tolkning av en skadlig QuickTime-fil kan leda till ett oväntat programavslut eller till körning av opålitlig kod

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2017-13807: Yangkang (@dnpushme) på Qihoo 360 Qex Team

Lades till 31 oktober 2017

Captive Network Assistant

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: En lokal användare kan oavsiktligt skicka ett lösenord okrypterat över nätverket

Beskrivning: Säkerhetsskicket i captive portal browser var inte uppenbart. Problemet åtgärdades genom förbättrad synlighet av säkerhetsskicket i captive portal browser.

CVE-2017-7143: Matthew Green på Johns Hopkins University

Informationen uppdaterades 3 oktober 2017

CFNetwork

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13829: Niklas Baumstark och Samuel Gro i samarbete med Trend Micros Zero Day Initiative 

CVE-2017-13833: Niklas Baumstark och Samuel Gro i samarbete med Trend Micros Zero Day Initiative 

Posten lades till 10 november 2017

CFNetwork Proxies

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: En angripare i en privilegierad nätverksposition kan orsaka ett dos-angrepp

Beskrivning: Flera problem med dos-angrepp åtgärdades genom förbättrad minneshantering.

CVE-2017-7083: Abhinav Bansal på Zscaler Inc.

CFString

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

Lades till 31 oktober 2017

CoreAudio

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom uppdatering till Opus version 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) på Mobile Threat Research Team, Trend Micro

CoreText

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Lades till 31 oktober 2017

DesktopServices

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: En lokal angripare kan observera oskyddade användardata

Beskrivning: Det förekom ett problem med filåtkomst för vissa hemmappsfiler. Problemet åtgärdades genom förbättrad åtkomstbegränsning.

CVE-2017-13851: en anonym forskare

Posten lades till 2 november 2017

Katalogverktyg

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: En lokal angripare kan ta reda på datorägarens Apple-ID

Beskrivning: Ett behörighetsproblem förekom i hanteringen av Apple-ID. Problemet åtgärdades genom förbättrade åtkomstkontroller.

CVE-2017-7138: Daniel Kvak på Masaryk University

Informationen uppdaterades 3 oktober 2017

file

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Flera problem i file

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 5.30.

CVE-2017-7121: hittat av OSS-Fuzz

CVE-2017-7122: hittat av OSS-Fuzz

CVE-2017-7123: hittat av OSS-Fuzz

CVE-2017-7124: hittat av OSS-Fuzz

CVE-2017-7125: hittat av OSS-Fuzz

CVE-2017-7126: hittat av OSS-Fuzz

file

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Flera problem i file

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 5.31.

CVE-2017-13815

Lades till 31 oktober 2017

Typsnitt

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Rendering av opålitlig text kan leda till förfalskning

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.

CVE-2017-13828: Leonard Grey och Robert Sesek på Google Chrome

Posten lades till 31 oktober 2017 och uppdaterades 10 november 2017

fsck_msdos

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13811: V.E.O (@VYSEa) på Mobile Advanced Threat Team, Trend Micro

Posten uppdaterades 2 november 2017

Heimdal

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: En angripare i en privilegierad nätverksposition kan imitera en tjänst

Beskrivning: Det fanns ett valideringsproblem i hanteringen av tjänstnamnet KDC-REP. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni och Nico Williams

Hjälpvisning

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: En HTML-fil i karantän kan köra godtycklig JavaScript från flera källor

Beskrivning: Ett problem med skriptkörning över flera webbplatser hittades i Hjälpvisning. Problemet åtgärdades genom att den drabbade filen togs bort.

CVE-2017-13819: Filippo Cavallarin på SecuriTeam Secure Disclosure

Posten lades till 31 oktober 2017 och uppdaterades 10 november 2017

HFS

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13830: Sergej Schumilo på Ruhr-Universität Bochum

Lades till 31 oktober 2017

ImageIO

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

Lades till 31 oktober 2017

ImageIO

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp

Beskrivning: Ett problem med avslöjande av information förekom i bearbetningen av skivavbilder. Problemet åtgärdades genom förbättrad minneshantering.

CVE-2017-13831: Glen Carmichael

Posten lades till 31 oktober 2017 och uppdaterades 10 november 2017

Installeraren

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: En skadlig applikation kan komma åt upplåsningsnyckeln till FileVault

Beskrivning: Problemet åtgärdades genom att ytterligare behörigheter togs bort.

CVE-2017-13837: Patrick Wardle på Synack

Posten lades till 31 oktober 2017 och uppdaterades 10 november 2017

IOFireWireFamily

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-7077: Brandon Azad

IOFireWireFamily

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng på Alibaba Inc., Benjamin Gnahm (@mitp0sh) på PDX

Kernel

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-7114: Alex Plaskett på MWR InfoSecurity

Kernel

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: En lokal användare kan läcka känslig användarinformation

Beskrivning: Ett behörighetsproblem fanns i kernelpaketräknarna. Problemet har åtgärdats genom förbättrad behörighetsvalidering.

CVE-2017-13810: Zhiyun Qian på University of California, Riverside

Posten lades till 31 oktober 2017 och uppdaterades 10 november 2017

Kernel

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: En lokal användare kan läsa kernelminne

Beskrivning: Det förekom ett problem med läsning utanför gränserna som ledde till att kernelminne avslöjades. Detta har åtgärdats genom förbättrad indatavalidering.

CVE-2017-13817: Maxime Villard (m00nbsd)

Lades till 31 oktober 2017

Kernel

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2017-13818: Storbritanniens National Cyber Security Centre (NCSC)

CVE-2017-13836: en anonym forskare, en anonym forskare

CVE-2017-13841: en anonym forskare

CVE-2017-13840: en anonym forskare

CVE-2017-13842: en anonym forskare

CVE-2017-13782: Kevin Backhouse på Semmle Ltd.

Posten lades till 31 oktober 2017 och uppdaterades 14 november 2017

Kernel

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13843: en anonym forskare, en anonym forskare

Lades till 31 oktober 2017

Kernel

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13854: shrek_wzw på Qihoo 360 Nirvan Team

Posten lades till 2 november 2017

Kernel

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Bearbetning av en felaktigt utformad mach binary-fil kan ge upphov till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad validering.

CVE-2017-13834: Maxime Villard (m00nbsd)

Posten lades till 10 november 2017

kext-verktyg

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett logikfel i kext-inläsning åtgärdades genom förbättrad tillståndshantering.

CVE-2017-13827: en anonym forskare

Lades till 31 oktober 2017

libarchive

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Uppackning av ett arkiv med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2017-13813: hittades av OSS-Fuzz

CVE-2017-13816: hittades av OSS-Fuzz

Lades till 31 oktober 2017

libarchive

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Uppackning av ett arkiv med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Flera minnesfel förekom i libarchive. Dessa problem har åtgärdats genom förbättrad indatavalidering.

CVE-2017-13812: hittades av OSS-Fuzz

Lades till 31 oktober 2017

libarchive

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2016-4736: en anonym forskare

Lades till 31 oktober 2017

libc

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Ett problem med utmattning av resurser i glob() åtgärdades genom en förbättrad algoritm.

CVE-2017-7086: Russ Cox på Google

libc

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program kan orsaka ett dos-angrepp

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2017-1000373

libexpat

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Flera problem i expat

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 2.2.1

CVE-2016-9063

CVE-2017-9233

Mail

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Den som skickar e-post kan avgöra mottagarens IP-adress

Beskrivning: Avstängning av Läs in fjärrinnehåll i meddelanden verkställdes inte för alla brevlådor. Problemet åtgärdades genom att förbättra hur inställningen sparas.

CVE-2017-7141: John Whitehead på The New York Times

Informationen uppdaterades 3 oktober 2017

E-postutkast

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: En angripare med en privilegierad nätverksposition kan snappa upp innehåll i e-post

Beskrivning: Det fanns ett krypteringsproblem i hanteringen av e-postutkast. Problemet åtgärdades med förbättrad hantering av e-postutkast som var avsedda att skickas krypterade.

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE från Marseille (Frankrike), en anonym forskare

Informationen uppdaterades 3 oktober 2017

ntp

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Flera problem i ntp

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 4.2.8p10

CVE-2017-6451: Cure53 

CVE-2017-6452: Cure53 

CVE-2017-6455: Cure53 

CVE-2017-6458: Cure53 

CVE-2017-6459: Cure53 

CVE-2017-6460: Cure53 

CVE-2017-6462: Cure53 

CVE-2017-6463: Cure53 

CVE-2017-6464: Cure53 

CVE-2016-9042: Matthew Van Gundy på Cisco

Öppen skriptarkitektur

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Dekompilering av ett AppleScript med osadecompile kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13824: en anonym forskare

Lades till 31 oktober 2017

PCRE

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Flera problem i pcre

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 8.40.

CVE-2017-13846

Lades till 31 oktober 2017

Postfix

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Flera problem i Postfix

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 3.2.2.

CVE-2017-13826: en anonym forskare

Lades till 31 oktober 2017

Överblick

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

Lades till 31 oktober 2017

Överblick

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Tolkning av ett Office-dokument med skadligt innehåll kan leda till att ett program avslutas oväntat eller till körning av opålitlig kod

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

Lades till 31 oktober 2017

QuickTime

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2017-13823: Xiangkun Jia på  Institute of Software Chinese Academy of Sciences

Posten lades till 31 oktober 2017 och uppdaterades 10 november 2017

Fjärrhantering

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13808: en anonym forskare

Lades till 31 oktober 2017

Sandlåda

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13838: Alastair Houghton

Posten lades till 31 oktober 2017 och uppdaterades 10 november 2017

Skärmlås

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Programbrandväggens prompter kan hamna över inloggningsfönstret

Beskrivning: Ett problem med fönsterhantering åtgärdades genom förbättrad tillståndshantering.

CVE-2017-7082: Tim Kingman

Säkerhet

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Återkallade certifikat kan bli betrodda

Beskrivning: Ett problem med certifikatvalideringen fanns vid hantering av återkallningsdata. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-7080: Sven Driemecker på adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) på Bærum kommune, en anonym forskare, en anonym forskare

Spotlight

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Spotlight kan visa resultat för filer som inte tillhör användaren

Beskrivning: Ett åtkomstproblem förekom i Spotlight. Problemet åtgärdades genom förbättrad åtkomstbegränsning.

CVE-2017-13839: Ken Harris på The Free Robot Collective

Posten lades till 31 oktober 2017 och uppdaterades 10 november 2017

SQLite

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Flera problem i SQLite

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 3.19.3

CVE-2017-10989: hittat av OSS-Fuzz

CVE-2017-7128: hittat av OSS-Fuzz

CVE-2017-7129: hittat av OSS-Fuzz

CVE-2017-7130: hittat av OSS-Fuzz

SQLite

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-7127: en anonym forskare

zlib

Tillgängligt för: OS X Mountain Lion 10.8 och senare

Effekt: Flera problem i zlib

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Ytterligare tack

Säkerhet

Vi vill tacka Abhinav Bansal på Zscaler, Inc. för all hjälp.

NSWindow

Vi vill tacka Trent Apted på Google Chrome-teamet för hjälpen.

WebKit Web Inspector

Vi vill tacka Ioan Bizău på Bloggify för hjälpen.

macOS High Sierra 10.13-tilläggsuppdatering

Nya hämtningar av macOS High Sierra 10.13 har säkerhetsinnehållet för macOS High Sierra 10.13-tilläggsuppdatering.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: