เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Sierra 10.12.6, รายการอัพเดทความปลอดภัย 2017-003 El Capitan และรายการอัพเดทความปลอดภัย 2017-003 Yosemite

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Sierra 10.12.6, รายการอัพเดทความปลอดภัย 2017-003 El Capitan และรายการอัพเดทความปลอดภัย 2017-003 Yosemite

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

macOS Sierra 10.12.6, รายการอัพเดทความปลอดภัย 2017-003 El Capitan และรายการอัพเดทความปลอดภัย 2017-003 Yosemite

เปิดตัวเมื่อวันที่ 19 กรกฎาคม 2017

afclip

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-7016: riusksk (泉哥) จาก Tencent Security Platform Department

afclip

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7033: riusksk (泉哥) จาก Tencent Security Platform Department

AppleGraphicsPowerManagement

มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7021: sss และ Axis จาก Qihoo 360 Nirvan Team

เสียง

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7015: riusksk (泉哥) จาก Tencent Security Platform Department

บลูทูธ

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7050: Min (Spark) Zheng จาก Alibaba Inc.

CVE-2017-7051: Alex Plaskett จาก MWR InfoSecurity

บลูทูธ

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7054: Alex Plaskett จาก MWR InfoSecurity, Lufeng Li จาก Qihoo 360 Vulcan Team

รายชื่อ

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7062: Shashank (@cyberboyIndia)

CoreAudio

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: การประมวลผลไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-7008: Yangkang (@dnpushme) จาก Qihoo 360 Qex Team

curl

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: มีปัญหาหลายประการใน curl

คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วด้วยการอัพเดทเป็นเวอร์ชั่น 7.54.0

CVE-2016-9586

CVE-2016-9594

CVE-2017-2629

CVE-2017-7468

Foundation

มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-7031: HappilyCoded (ant4g0nist และ r3dsm0k3)

ตัวนำเข้าแบบอักษร

มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13850: John Villamil, Doyensec

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7014: Lee จาก Minionz, Axis และ sss จาก Qihoo 360 Nirvan Team

CVE-2017-7017: chenqin จาก Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)

CVE-2017-7035: shrek_wzw จาก Qihoo 360 Nirvan Team

CVE-2017-7044: shrek_wzw จาก Qihoo 360 Nirvan Team

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-7036: shrek_wzw จาก Qihoo 360 Nirvan Team

CVE-2017-7045: shrek_wzw จาก Qihoo 360 Nirvan Team

IOUSBFamily

มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7009: shrek_wzw จาก Qihoo 360 Nirvan Team

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7022: นักวิจัยนิรนาม

CVE-2017-7024: นักวิจัยนิรนาม

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7023: นักวิจัยนิรนาม

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7025: นักวิจัยนิรนาม

CVE-2017-7027: นักวิจัยนิรนาม

CVE-2017-7069: Proteas จาก Qihoo 360 Nirvan Team

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7026: นักวิจัยนิรนาม

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-7028: นักวิจัยนิรนาม

CVE-2017-7029: นักวิจัยนิรนาม

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-7067: shrek_wzw จาก Qihoo 360 Nirvan Team

เครื่องมือ kexts

มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7032: Axis และ sss จาก Qihoo 360 Nirvan Team

libarchive

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-7068: ค้นพบโดย OSS-Fuzz

libxml2

มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5

ผลกระทบ: การแยกวิเคราะห์เอกสาร XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-7010: Apple

CVE-2017-7013: ค้นพบโดย OSS-Fuzz

libxpc

มีให้สำหรับ: macOS Sierra 10.12.5 และ OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7047: Ian Beer จาก Google Project Zero

Wi-Fi

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: ผู้โจมตีที่อยู่ในช่วงสัญญาณอาจสามารถใช้รหัสได้โดยอำเภอใจบนชิพ Wi-Fi

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7065: Gal Beniamini จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 25 กันยายน 2017

Wi-Fi

มีให้สำหรับ: macOS Sierra 10.12.5

ผลกระทบ: ผู้โจมตีที่อยู่ในช่วงสัญญาณอาจสามารถใช้รหัสได้โดยอำเภอใจบนชิพ Wi-Fi

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-9417: Nitay Artenstein จาก Exodus Intelligence

macOS Sierra 10.12.6, รายการอัพเดทความปลอดภัย 2017-003 El Capitan และรายการอัพเดทความปลอดภัย 2017-003 Yosemite ประกอบไปด้วยเนื้อหาด้านความปลอดภัยของ Safari 10.1.2

คำขอบคุณพิเศษ

curl

เราขอขอบคุณสำหรับความช่วยเหลือจาก Dave Murdock จาก Tangerine Element

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: