เกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13.1, รายการอัพเดทความปลอดภัย 2017-001 Sierra และรายการอัพเดทความปลอดภัย 2017-004 El Capitan

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13.1, รายการอัพเดทความปลอดภัย 2017-001 Sierra และรายการอัพเดทความปลอดภัย 2017-004 El Capitan

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

macOS High Sierra 10.13.1, รายการอัพเดทความปลอดภัย 2017-001 Sierra และรายการอัพเดทความปลอดภัย 2017-004 El Capitan

เปิดตัวเมื่อวันที่ 31 ตุลาคม 2017

apache

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: มีปัญหาจำนวนมากใน Apache

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 2.4.27

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

อัพเดทรายการเมื่อวันที่ 14 พฤศจิกายน 2017

APFS

มีให้สำหรับ: macOS High Sierra 10.13

ผลกระทบ: อะแดปเตอร์ Thunderbolt ที่ประสงค์ร้ายอาจสามารถกู้คืนข้อมูลระบบไฟล์ APFS ที่ไม่ได้เข้ารหัสได้

คำอธิบาย: มีปัญหาในการจัดการ DMA ปัญหานี้ได้รับการแก้ไขแล้วโดยการจำกัดเวลาในการแมป DMA ของบัฟเฟอร์การถอดรหัส FileVault ให้เท่ากับระยะเวลาการทำงานของ I/O

CVE-2017-13786: Dmytro Oleksiuk

อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

APFS

มีให้สำหรับ: macOS High Sierra 10.13

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13800: Sergej Schumilo จาก Ruhr-University Bochum

AppleScript

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: การแยก AppleScript ที่มี Osadecompile อาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13809: bat0s

อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

ATS

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13820: John Villamil, Doyensec

เสียง

มีให้สำหรับ: macOS Sierra 10.12.6

ผลกระทบ: การแยกวิเคราะห์ไฟล์ QuickTime ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13807: Yangkang (@dnpushme) จาก Qihoo 360 Qex Team

อัพเดทรายการเมื่อวันที่ 22 มกราคม 2019

CFNetwork

มีให้สำหรับ: OS X El Capitan 10.11.6 และ macOS Sierra 10.12.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13829: Niklas Baumstark และ Samuel Gro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2017-13833: Niklas Baumstark และ Samuel Gro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 10 พฤศจิกายน 2017

CFString

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

CoreText

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

อัพเดทรายการเมื่อวันที่ 16 พฤศจิกายน 2018

curl

มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: การอัพโหลดโดยใช้ TFTP ไปยัง URL ที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งมี libcurl อาจเปิดเผยหน่วยความจำของแอพพลิเคชั่น

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-1000100: Even Rouault พบโดย OSS-Fuzz

curl

มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: การประมวลผล URL ที่ออกแบบมาเพื่อประสงค์ร้ายซึ่งมี libcurl อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรืออ่านหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-1000101: Brian Carpenter, Yongji Ouyang

วิดเจ็ตพจนานุกรม

มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: การค้นหาข้อความที่วางลงในวิดเจ็ตพจนานุกรมอาจทำให้เป็นภัยต่อข้อมูลของผู้ใช้

คำอธิบาย: มีปัญหาการตรวจสอบที่ทำให้เข้าถึงไฟล์ในระบบได้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการดูแลอินพุต

CVE-2017-13801: xisigr จาก Tencent's Xuanwu Lab (tencent.com)

ไฟล์

มีให้สำหรับ: macOS Sierra 10.12.6

ผลกระทบ: มีปัญหาจำนวนมากใน file

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 5.31

CVE-2017-13815: พบโดย OSS-Fuzz

อัพเดทรายการเมื่อวันที่ 18 ตุลาคม 2018

แบบอักษร

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: การแสดงข้อความที่ไม่น่าเชื่อถืออาจทำให้เกิดการปลอมแปลง

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-13828: Leonard Grey และ Robert Sesek จาก Google Chrome

อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

fsck_msdos

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13811: V.E.O. (@VYSEa) จาก Mobile Advanced Threat Team ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 2 พฤศจิกายน 2017

HFS

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13830: Sergej Schumilo จาก Ruhr-University Bochum

Heimdal

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถปลอมบริการได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการชื่อบริการ KDC-REP ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni และ Nico Williams

อัพเดทรายการเมื่อวันที่ 22 มกราคม 2019

ตัวแสดงวิธีใช้

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: ไฟล์ HTML ที่ถูกกักกันอาจใช้ JavaScript ข้ามต้นทางตามอำเภอใจ

คำอธิบาย: มีปัญหา Cross-site Scripting ในตัวแสดงวิธีใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยนำไฟล์ที่ได้รับผลกระทบออก

CVE-2017-13819: Filippo Cavallarin จาก SecuriTeam Secure Disclosure

อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

ImageIO

มีให้สำหรับ: macOS Sierra 10.12.6

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

อัพเดทรายการเมื่อวันที่ 16 พฤศจิกายน 2018

ImageIO

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13831: Glen Carmichael

อัพเดทรายการเมื่อวันที่ 3 เมษายน 2019

IOAcceleratorFamily

มีให้สำหรับ: macOS Sierra 10.12.6

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13906

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในตัวนับแพคเก็ตเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสิทธิ์อนุญาตให้ดียิ่งขึ้น

CVE-2017-13810: Zhiyun Qian จาก University of California, Riverside

อัพเดทรายการเมื่อวันที่ 22 มกราคม 2019

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13817: Maxime Villard (m00nbsd)

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13818: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse จาก Semmle Ltd.

อัพเดทรายการเมื่อวันที่ 18 มิถุนายน 2018

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13843: นักวิจัยนิรนามและนักวิจัยนิรนาม

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6

ผลกระทบ: การประมวลผลไบนารี่ mach ที่ผิดรูปอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-13834: Maxime Villard (m00nbsd)

อัพเดทรายการเมื่อวันที่ 22 มกราคม 2019

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13799: Lufeng Li จาก Qihoo 360 Vulcan Team

อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถดูข้อมูลเกี่ยวกับการมีอยู่และการทำงานของแอพพลิเคชั่นอื่นบนอุปกรณ์ได้

คำอธิบาย: แอพพลิเคชั่นสามารถเข้าถึงข้อมูลขั้นตอนที่เก็บรักษาโดยระบบปฏิบัติการที่ไม่จำกัดไว้ได้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการจำกัดอัตรา

CVE-2017-13852: Xiaokuan Zhang และ Yinqian Zhang จาก The Ohio State University, Xueqiang Wang และ XiaoFeng Wang จาก Indiana University Bloomington และ Xiaolong Bai จาก Tsinghua University

เพิ่มรายการเมื่อวันที่ 10 พฤศจิกายน 2017 อัพเดทเมื่อวันที่ 22 มกราคม 2019

libarchive

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน libarchive ปัญหาเหล่านี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13813: พบโดย OSS-Fuzz

อัพเดทรายการเมื่อวันที่ 16 พฤศจิกายน 2018 อัพเดทรายการเมื่อวันที่ 22 มกราคม 2019

libarchive

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน libarchive ปัญหาเหล่านี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13812: พบโดย OSS-Fuzz

อัพเดทรายการเมื่อวันที่ 22 มกราคม 2019

libarchive

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2016-4736: Proteas จาก Qihoo 360 Nirvan Team

อัพเดทรายการเมื่อวันที่ 21 ธันวาคม 2017

libxml2

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-5969: Gustavo Grieco

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

libxml2

มีให้สำหรับ: OS X El Capitan 10.11.6

ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-5130: นักวิจัยนิรนาม

CVE-2017-7376: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

libxml2

มีให้สำหรับ: macOS Sierra 10.12.6

ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-9050: Mateusz Jurczyk (j00ru) จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

libxml2

มีให้สำหรับ: macOS Sierra 10.12.6

ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-9049: Wei Lei และ Liu Yang - Nanyang Technological University ในสิงคโปร์

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

LinkPresentation

มีให้สำหรับ: macOS High Sierra 10.13

ผลกระทบ: การเข้าชมเว็บไซต์ที่ประสงค์ร้ายอาจทำให้เกิดการปลอมแปลงแถบที่อยู่

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4390: Rayyan Bijoora (@Bijoora) จาก The City School, PAF Chapter

CVE-2018-4391: Rayyan Bijoora (@Bijoora) จาก The City School, PAF Chapter

เพิ่มรายการเมื่อวันที่ 16 พฤศจิกายน 2018

หน้าต่างเข้าสู่ระบบ

มีให้สำหรับ: macOS High Sierra 10.13

ผลกระทบ: หน้าจออาจยังคงปลดล็อคโดยไม่ได้คาดคิด

คำอธิบาย: ปัญหาการจัดการสถานะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบสถานะ

CVE-2017-13907: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

สถาปัตยกรรมการเขียนสคริปต์แบบเปิด

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: การแยก AppleScript ที่มี Osadecompile อาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13824: นักวิจัยนิรนาม

PCRE

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: มีปัญหาจำนวนมากใน Pcre

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 8.40

CVE-2017-13846

Postfix

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: มีปัญหาจำนวนมากใน Postfix

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 3.2.2

CVE-2017-10140: นักวิจัยนิรนาม

อัพเดทรายการเมื่อวันที่ 17 พฤศจิกายน 2017

Quick Look

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

Quick Look

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: การแยกวิเคราะห์เอกสาร Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

อัพเดทรายการเมื่อวันที่ 22 มกราคม 2019

QuickTime

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13823: Xiangkun Jia จาก Institute of Software Chinese Academy of Sciences

อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

การจัดการระยะไกล

มีให้สำหรับ: macOS Sierra 10.12.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13808: นักวิจัยนิรนาม

Sandbox

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13838: Alastair Houghton

อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

ความปลอดภัย

มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7170: Patrick Wardle จาก Synack

เพิ่มรายการเมื่อวันที่ 11 มกราคม 2018

ความปลอดภัย

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายสามารถแยกรหัสผ่านพวงกุญแจได้

คำอธิบาย: มีวิธีการสำหรับแอพพลิเคชั่นในการบายพาสการแจ้งการเข้าถึงพวงกุญแจโดยการคลิกแบบสังเคราะห์ ปัญหานี้ได้รับการแก้ไขแล้วโดยการร้องขอรหัสผ่านผู้ใช้เมื่อมีการแจ้งการเข้าถึงพวงกุญแจ

CVE-2017-7150: Patrick Wardle จาก Synack

เพิ่มรายการเมื่อวันที่ 17 พฤศจิกายน 2017

SMB

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

ผลกระทบ: ผู้โจมตีในระบบอาจสามารถไฟล์ข้อมูลที่ใช้ไม่ได้ผ่าน SMB share

คำอธิบาย: ปัญหาในการจัดการสิทธิ์อนุญาตของไฟล์ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ

CVE-2017-13908: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

StreamingZip

มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: ไฟล์ zip ที่ประสงค์ร้ายอาจสามารถแก้ไขพื้นที่ที่จำกัดไว้ของระบบไฟล์ได้

คำอธิบาย: ปัญหาการจัดการพาธได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-13804: @qwertyoruiopz จาก KJC Research Intl. S.R.L.

tcpdump

มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6

ผลกระทบ: มีปัญหาจำนวนมากใน tcpdump

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 4.9.2

CVE-2017-11108

CVE-2017-11541

CVE-2017-11542

CVE-2017-11543

CVE-2017-12893

CVE-2017-12894

CVE-2017-12895

CVE-2017-12896

CVE-2017-12897

CVE-2017-12898

CVE-2017-12899

CVE-2017-12900

CVE-2017-12901

CVE-2017-12902

CVE-2017-12985

CVE-2017-12986

CVE-2017-12987

CVE-2017-12988

CVE-2017-12989

CVE-2017-12990

CVE-2017-12991

CVE-2017-12992

CVE-2017-12993

CVE-2017-12994

CVE-2017-12995

CVE-2017-12996

CVE-2017-12997

CVE-2017-12998

CVE-2017-12999

CVE-2017-13000

CVE-2017-13001

CVE-2017-13002

CVE-2017-13003

CVE-2017-13004

CVE-2017-13005

CVE-2017-13006

CVE-2017-13007

CVE-2017-13008

CVE-2017-13009

CVE-2017-13010

CVE-2017-13011

CVE-2017-13012

CVE-2017-13013

CVE-2017-13014

CVE-2017-13015

CVE-2017-13016

CVE-2017-13017

CVE-2017-13018

CVE-2017-13019

CVE-2017-13020

CVE-2017-13021

CVE-2017-13022

CVE-2017-13023

CVE-2017-13024

CVE-2017-13025

CVE-2017-13026

CVE-2017-13027

CVE-2017-13028

CVE-2017-13029

CVE-2017-13030

CVE-2017-13031

CVE-2017-13032

CVE-2017-13033

CVE-2017-13034

CVE-2017-13035

CVE-2017-13036

CVE-2017-13037

CVE-2017-13038

CVE-2017-13039

CVE-2017-13040

CVE-2017-13041

CVE-2017-13042

CVE-2017-13043

CVE-2017-13044

CVE-2017-13045

CVE-2017-13046

CVE-2017-13047

CVE-2017-13048

CVE-2017-13049

CVE-2017-13050

CVE-2017-13051

CVE-2017-13052

CVE-2017-13053

CVE-2017-13054

CVE-2017-13055

CVE-2017-13687

CVE-2017-13688

CVE-2017-13689

CVE-2017-13690

CVE-2017-13725

Wi-Fi

มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์ยูนิคาสต์ WPA/PTK ได้ (Key Reinstallation Attacks - KRACK)

คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-13077: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven

CVE-2017-13078: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven

อัพเดทรายการเมื่อวันที่ 3 พฤศจิกายน 2017

Wi-Fi

มีให้สำหรับ: macOS High Sierra 10.13, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์มัลติคาสต์ WPA/GTK ได้ (Key Reinstallation Attacks - KRACK)

คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-13080: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven

อัพเดทรายการเมื่อวันที่ 3 พฤศจิกายน 2017

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: