เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Sierra 10.12.3

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Sierra 10.12.3

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือรายการที่เปิดตัวใหม่ให้ใช้งาน รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

macOS Sierra 10.12.3

เปิดตัวเมื่อวันที่ 23 มกราคม 2017

เซิร์ฟเวอร์ APN

มีให้สำหรับ: macOS Sierra 10.12.2

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์สามารถติดตามกิจกรรมของผู้ใช้ได้

คำอธิบาย: ใบรับรองไคลเอนต์ถูกส่งในรูปแบบข้อความธรรมดา ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการใบรับรองให้ดียิ่งขึ้น

CVE-2017-2383: Matthias Wachs และ Quirin Scheitle จาก Technical University Munich (TUM)

เพิ่มรายการเมื่อวันที่ 28 มีนาคม 2017

apache_mod_php

มีให้สำหรับ: macOS Sierra 10.12.2

ผลกระทบ: มีปัญหาหลายประการใน PHP

คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัพเดทเป็น PHP เวอร์ชั่น 5.6.28

CVE-2016-8670

CVE-2016-9933

CVE-2016-9934

บลูทูธ

มีให้สำหรับ: macOS Sierra 10.12.2

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2353: Ian Beer จาก Google Project Zero

ไดรเวอร์กราฟิก

มีให้สำหรับ: macOS Sierra 10.12.2

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-2358: Team Pangu และ Lokihardt ที่ PwnFest 2016

ตัวแสดงวิธีใช้

มีให้สำหรับ: macOS Sierra 10.12.2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาเกี่ยวกับการโจมตีแบบแฝงสคริปต์ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบ URL ให้ดียิ่งขึ้น

CVE-2017-2361: lokihardt จาก Google Project Zero

IOAudioFamily

มีให้สำหรับ: macOS Sierra 10.12.2

ผลกระทบ: แอพพลิเคชั่นอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหน่วยความจำที่ไม่ได้เตรียมใช้งานได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2357: Team Pangu และ Lokihardt ที่ PwnFest 2016

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.2

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2370: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.2

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-2360: Ian Beer จาก Google Project Zero

libarchive

มีให้สำหรับ: macOS Sierra 10.12.2

ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2016-8687: Agostino Sarubbo จาก Gentoo

Vim

มีให้สำหรับ: macOS Sierra 10.12.2

ผลกระทบ: การเปิดไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาในการตรวจสอบอินพุตใน modelines ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2016-1248: Florian Larysch

macOS Sierra 10.12.3 มีเนื้อหาความปลอดภัยของ Safari 10.0.3

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: