เกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13.1, รายการอัพเดทความปลอดภัย 2017-001 Sierra และรายการอัพเดทความปลอดภัย 2017-004 El Capitan
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13.1, รายการอัพเดทความปลอดภัย 2017-001 Sierra และรายการอัพเดทความปลอดภัย 2017-004 El Capitan
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
macOS High Sierra 10.13.1, รายการอัพเดทความปลอดภัย 2017-001 Sierra และรายการอัพเดทความปลอดภัย 2017-004 El Capitan
apache
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: มีปัญหาจำนวนมากใน Apache
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 2.4.27
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
CVE-2017-3167
CVE-2017-3169
CVE-2017-7659
CVE-2017-7668
CVE-2017-7679
CVE-2017-9788
CVE-2017-9789
APFS
มีให้สำหรับ: macOS High Sierra 10.13
ผลกระทบ: อะแดปเตอร์ Thunderbolt ที่ประสงค์ร้ายอาจสามารถกู้คืนข้อมูลระบบไฟล์ APFS ที่ไม่ได้เข้ารหัสได้
คำอธิบาย: มีปัญหาในการจัดการ DMA ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดเวลาในการแมป DMA ของบัฟเฟอร์การถอดรหัส FileVault ให้เท่ากับระยะเวลาการทำงานของ I/O
CVE-2017-13786: Dmytro Oleksiuk
APFS
มีให้สำหรับ: macOS High Sierra 10.13
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13800: Sergej Schumilo จาก Ruhr-University Bochum
AppleScript
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: การแยก AppleScript ที่มี Osadecompile อาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-13809: bat0s
ATS
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-13820: John Villamil, Doyensec
เสียง
มีให้สำหรับ: macOS Sierra 10.12.6
ผลกระทบ: การแยกวิเคราะห์ไฟล์ QuickTime ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13807: Yangkang (@dnpushme) จาก Qihoo 360 Qex Team
CFNetwork
มีให้สำหรับ: OS X El Capitan 10.11.6 และ macOS Sierra 10.12.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13829: Niklas Baumstark และ Samuel Gro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2017-13833: Niklas Baumstark และ Samuel Gro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CFString
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
CoreText
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
curl
มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: การอัพโหลดโดยใช้ TFTP ไปยัง URL ที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งมี libcurl อาจเปิดเผยหน่วยความจำของแอพพลิเคชั่น
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2017-1000100: Even Rouault พบโดย OSS-Fuzz
curl
มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: การประมวลผล URL ที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งมี libcurl อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรืออ่านหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2017-1000101: Brian Carpenter, Yongji Ouyang
วิดเจ็ตพจนานุกรม
มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: การค้นหาข้อความที่วางลงในวิดเจ็ตพจนานุกรมอาจทำให้เป็นภัยต่อข้อมูลของผู้ใช้
คำอธิบาย: มีปัญหาการตรวจสอบที่ทำให้เข้าถึงไฟล์ในระบบได้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการดูแลอินพุต
CVE-2017-13801: xisigr จาก Tencent's Xuanwu Lab (tencent.com)
ไฟล์
มีให้สำหรับ: macOS Sierra 10.12.6
ผลกระทบ: มีปัญหาจำนวนมากใน file
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 5.31
CVE-2017-13815: พบโดย OSS-Fuzz
แบบอักษร
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: การแสดงข้อความที่ไม่น่าเชื่อถืออาจทำให้เกิดการปลอมแปลง
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-13828: Leonard Grey และ Robert Sesek จาก Google Chrome
fsck_msdos
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13811: V.E.O. (@VYSEa) จาก Mobile Advanced Threat Team ของ Trend Micro
HFS
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13830: Sergej Schumilo จาก Ruhr-University Bochum
Heimdal
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถปลอมบริการได้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการชื่อบริการ KDC-REP ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni และ Nico Williams
ตัวแสดงวิธีใช้
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: ไฟล์ HTML ที่ถูกกักกันอาจใช้ JavaScript ข้ามต้นทางตามอำเภอใจ
คำอธิบาย: มีปัญหา Cross-site Scripting ในตัวแสดงวิธีใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยนำไฟล์ที่ได้รับผลกระทบออก
CVE-2017-13819: Filippo Cavallarin จาก SecuriTeam Secure Disclosure
ImageIO
มีให้สำหรับ: macOS Sierra 10.12.6
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
ImageIO
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-13831: Glen Carmichael
IOAcceleratorFamily
มีให้สำหรับ: macOS Sierra 10.12.6
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13906
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้
คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในตัวนับแพคเก็ตเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2017-13810: Zhiyun Qian จาก University of California, Riverside
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-13817: Maxime Villard (m00nbsd)
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-13818: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Kevin Backhouse จาก Semmle Ltd.
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13843: นักวิจัยนิรนามและนักวิจัยนิรนาม
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.6
ผลกระทบ: การประมวลผลไบนารี่ mach ที่ผิดรูปอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2017-13834: Maxime Villard (m00nbsd)
เคอร์เนล
มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13799: Lufeng Li จาก Qihoo 360 Vulcan Team
เคอร์เนล
มีให้สำหรับ: macOS High Sierra 10.13
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถดูข้อมูลเกี่ยวกับการมีอยู่และการทำงานของแอพพลิเคชั่นอื่นบนอุปกรณ์ได้
คำอธิบาย: แอพพลิเคชั่นสามารถเข้าถึงข้อมูลขั้นตอนที่เก็บรักษาโดยระบบปฏิบัติการที่ไม่จำกัดไว้ได้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจำกัดอัตรา
CVE-2017-13852: Xiaokuan Zhang และ Yinqian Zhang จาก The Ohio State University, Xueqiang Wang และ XiaoFeng Wang จาก Indiana University Bloomington และ Xiaolong Bai จาก Tsinghua University
libarchive
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน libarchive ปัญหาเหล่านี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-13813: พบโดย OSS-Fuzz
libarchive
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน libarchive ปัญหาเหล่านี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-13812: พบโดย OSS-Fuzz
libarchive
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2016-4736: Proteas จาก Qihoo 360 Nirvan Team
libxml2
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2017-5969: Gustavo Grieco
libxml2
มีให้สำหรับ: OS X El Capitan 10.11.6
ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-5130: นักวิจัยนิรนาม
CVE-2017-7376: นักวิจัยนิรนาม
libxml2
มีให้สำหรับ: macOS Sierra 10.12.6
ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-9050: Mateusz Jurczyk (j00ru) จาก Google Project Zero
libxml2
มีให้สำหรับ: macOS Sierra 10.12.6
ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-9049: Wei Lei และ Liu Yang - Nanyang Technological University ในสิงคโปร์
LinkPresentation
มีให้สำหรับ: macOS High Sierra 10.13
ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4390: Rayyan Bijoora (@Bijoora) จาก The City School, PAF Chapter
CVE-2018-4391: Rayyan Bijoora (@Bijoora) จาก The City School, PAF Chapter
หน้าต่างเข้าสู่ระบบ
มีให้สำหรับ: macOS High Sierra 10.13
ผลกระทบ: หน้าจออาจยังคงปลดล็อคโดยไม่ได้คาดคิด
คำอธิบาย: ปัญหาการจัดการสถานะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสถานะ
CVE-2017-13907: นักวิจัยนิรนาม
สถาปัตยกรรมการเขียนสคริปต์แบบเปิด
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: การแยก AppleScript ที่มี Osadecompile อาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13824: นักวิจัยนิรนาม
PCRE
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: มีปัญหาจำนวนมากใน Pcre
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 8.40
CVE-2017-13846
Postfix
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: มีปัญหาจำนวนมากใน Postfix
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 3.2.2
CVE-2017-10140: นักวิจัยนิรนาม
Quick Look
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
Quick Look
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: การแยกวิเคราะห์เอกสาร Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
QuickTime
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-13823: Xiangkun Jia จาก Institute of Software Chinese Academy of Sciences
การจัดการระยะไกล
มีให้สำหรับ: macOS Sierra 10.12.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13808: นักวิจัยนิรนาม
Sandbox
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13838: Alastair Houghton
ความปลอดภัย
มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-7170: Patrick Wardle จาก Synack
ความปลอดภัย
มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายสามารถแยกรหัสผ่านพวงกุญแจได้
คำอธิบาย: มีวิธีการสำหรับแอพพลิเคชั่นในการบายพาสการแจ้งการเข้าถึงพวงกุญแจโดยการคลิกแบบสังเคราะห์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการร้องขอรหัสผ่านผู้ใช้เมื่อมีการแจ้งการเข้าถึงพวงกุญแจ
CVE-2017-7150: Patrick Wardle จาก Synack
SMB
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
ผลกระทบ: ผู้โจมตีในระบบอาจสามารถไฟล์ข้อมูลที่ใช้ไม่ได้ผ่าน SMB share
คำอธิบาย: ปัญหาในการจัดการสิทธิ์อนุญาตของไฟล์ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2017-13908: นักวิจัยนิรนาม
StreamingZip
มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: ไฟล์ zip ที่ประสงค์ร้ายอาจสามารถแก้ไขพื้นที่ที่จำกัดไว้ของระบบไฟล์ได้
คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2017-13804: @qwertyoruiopz จาก KJC Research Intl. S.R.L.
tcpdump
มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6
ผลกระทบ: มีปัญหาจำนวนมากใน tcpdump
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 4.9.2
CVE-2017-11108
CVE-2017-11541
CVE-2017-11542
CVE-2017-11543
CVE-2017-12893
CVE-2017-12894
CVE-2017-12895
CVE-2017-12896
CVE-2017-12897
CVE-2017-12898
CVE-2017-12899
CVE-2017-12900
CVE-2017-12901
CVE-2017-12902
CVE-2017-12985
CVE-2017-12986
CVE-2017-12987
CVE-2017-12988
CVE-2017-12989
CVE-2017-12990
CVE-2017-12991
CVE-2017-12992
CVE-2017-12993
CVE-2017-12994
CVE-2017-12995
CVE-2017-12996
CVE-2017-12997
CVE-2017-12998
CVE-2017-12999
CVE-2017-13000
CVE-2017-13001
CVE-2017-13002
CVE-2017-13003
CVE-2017-13004
CVE-2017-13005
CVE-2017-13006
CVE-2017-13007
CVE-2017-13008
CVE-2017-13009
CVE-2017-13010
CVE-2017-13011
CVE-2017-13012
CVE-2017-13013
CVE-2017-13014
CVE-2017-13015
CVE-2017-13016
CVE-2017-13017
CVE-2017-13018
CVE-2017-13019
CVE-2017-13020
CVE-2017-13021
CVE-2017-13022
CVE-2017-13023
CVE-2017-13024
CVE-2017-13025
CVE-2017-13026
CVE-2017-13027
CVE-2017-13028
CVE-2017-13029
CVE-2017-13030
CVE-2017-13031
CVE-2017-13032
CVE-2017-13033
CVE-2017-13034
CVE-2017-13035
CVE-2017-13036
CVE-2017-13037
CVE-2017-13038
CVE-2017-13039
CVE-2017-13040
CVE-2017-13041
CVE-2017-13042
CVE-2017-13043
CVE-2017-13044
CVE-2017-13045
CVE-2017-13046
CVE-2017-13047
CVE-2017-13048
CVE-2017-13049
CVE-2017-13050
CVE-2017-13051
CVE-2017-13052
CVE-2017-13053
CVE-2017-13054
CVE-2017-13055
CVE-2017-13687
CVE-2017-13688
CVE-2017-13689
CVE-2017-13690
CVE-2017-13725
Wi-Fi
มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์ยูนิคาสต์ WPA/PTK ได้ (Key Reinstallation Attacks - KRACK)
คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-13077: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven
CVE-2017-13078: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven
Wi-Fi
มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์มัลติคาสต์ WPA/GTK ได้ (Key Reinstallation Attacks - KRACK)
คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-13080: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม