เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Sierra 10.12.6, รายการอัพเดทความปลอดภัย 2017-003 El Capitan และรายการอัพเดทความปลอดภัย 2017-003 Yosemite
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Sierra 10.12.6, รายการอัพเดทความปลอดภัย 2017-003 El Capitan และรายการอัพเดทความปลอดภัย 2017-003 Yosemite
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
macOS Sierra 10.12.6, รายการอัพเดทความปลอดภัย 2017-003 El Capitan และรายการอัพเดทความปลอดภัย 2017-003 Yosemite
afclip
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-7016: riusksk (泉哥) จาก Tencent Security Platform Department
afclip
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7033: riusksk (泉哥) จาก Tencent Security Platform Department
AppleGraphicsPowerManagement
มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7021: sss และ Axis จาก Qihoo 360 Nirvan Team
เสียง
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7015: riusksk (泉哥) จาก Tencent Security Platform Department
บลูทูธ
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7050: Min (Spark) Zheng จาก Alibaba Inc.
CVE-2017-7051: Alex Plaskett จาก MWR InfoSecurity
บลูทูธ
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7054: Alex Plaskett จาก MWR InfoSecurity, Lufeng Li จาก Qihoo 360 Vulcan Team
รายชื่อ
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7062: Shashank (@cyberboyIndia)
CoreAudio
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: การประมวลผลไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2017-7008: Yangkang (@dnpushme) จาก Qihoo 360 Qex Team
curl
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: มีปัญหาหลายประการใน curl
คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วด้วยการอัพเดทเป็นเวอร์ชั่น 7.54.0
CVE-2016-9586
CVE-2016-9594
CVE-2017-2629
CVE-2017-7468
Foundation
มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-7031: HappilyCoded (ant4g0nist และ r3dsm0k3)
ตัวนำเข้าแบบอักษร
มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-13850: John Villamil, Doyensec
ไดรเวอร์กราฟิกของ Intel
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7014: Lee จาก Minionz, Axis และ sss จาก Qihoo 360 Nirvan Team
CVE-2017-7017: chenqin จาก Ant-financial Light-Year Security Lab (蚂蚁金服巴斯光年安全实验室)
CVE-2017-7035: shrek_wzw จาก Qihoo 360 Nirvan Team
CVE-2017-7044: shrek_wzw จาก Qihoo 360 Nirvan Team
ไดรเวอร์กราฟิกของ Intel
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-7036: shrek_wzw จาก Qihoo 360 Nirvan Team
CVE-2017-7045: shrek_wzw จาก Qihoo 360 Nirvan Team
IOUSBFamily
มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7009: shrek_wzw จาก Qihoo 360 Nirvan Team
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7022: นักวิจัยนิรนาม
CVE-2017-7024: นักวิจัยนิรนาม
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7023: นักวิจัยนิรนาม
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7025: นักวิจัยนิรนาม
CVE-2017-7027: นักวิจัยนิรนาม
CVE-2017-7069: Proteas จาก Qihoo 360 Nirvan Team
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7026: นักวิจัยนิรนาม
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-7028: นักวิจัยนิรนาม
CVE-2017-7029: นักวิจัยนิรนาม
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-7067: shrek_wzw จาก Qihoo 360 Nirvan Team
เครื่องมือ kexts
มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7032: Axis และ sss จาก Qihoo 360 Nirvan Team
libarchive
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2017-7068: ค้นพบโดย OSS-Fuzz
libxml2
มีให้สำหรับ: macOS Sierra 10.12.5, OS X El Capitan 10.11.6 และ OS X Yosemite 10.10.5
ผลกระทบ: การแยกวิเคราะห์เอกสาร XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2017-7010: Apple
CVE-2017-7013: ค้นพบโดย OSS-Fuzz
libxpc
มีให้สำหรับ: macOS Sierra 10.12.5 และ OS X El Capitan 10.11.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7047: Ian Beer จาก Google Project Zero
Wi-Fi
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: ผู้โจมตีที่อยู่ในช่วงสัญญาณอาจสามารถใช้รหัสได้โดยอำเภอใจบนชิพ Wi-Fi
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7065: Gal Beniamini จาก Google Project Zero
Wi-Fi
มีให้สำหรับ: macOS Sierra 10.12.5
ผลกระทบ: ผู้โจมตีที่อยู่ในช่วงสัญญาณอาจสามารถใช้รหัสได้โดยอำเภอใจบนชิพ Wi-Fi
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-9417: Nitay Artenstein จาก Exodus Intelligence
คำขอบคุณพิเศษ
curl
เราขอขอบคุณสำหรับความช่วยเหลือจาก Dave Murdock จาก Tangerine Element
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม