เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS High Sierra 10.13

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

macOS High Sierra 10.13

เปิดตัวเมื่อวันที่ 25 กันยายน 2017

802.1X

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ผู้โจมตีอาจสามารถใช้จุดอ่อนใน TLS 1.0 ได้

คำอธิบาย: ปัญหาความปลอดภัยของโปรโตคอลได้รับการแก้ไขแล้วโดยการเปิดใช้งาน TLS 1.1 และ TLS 1.2

CVE-2017-13832: Doug Wussler จาก Florida State University

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

apache

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: มีปัญหาจำนวนมากใน Apache

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 2.4.27

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 14 พฤศจิกายน 2017

AppleScript

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: การแยก AppleScript ที่มี Osadecompile อาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13809: bat0s

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

แอพพลิเคชั่นไฟร์วอลล์

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: การตั้งค่าไฟร์วอลล์แอพพลิเคชั่นที่ถูกปฏิเสธไปก่อนหน้านี้อาจมีผลหลังจากการอัพเกรด

คำอธิบาย: มีปัญหาการอัพเกรดในการจัดการการตั้งค่าไฟร์วอลล์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการการตั้งค่าไฟร์วอลล์ให้ดียิ่งขึ้นในระหว่างการอัพเกรด

CVE-2017-7084: นักวิจัยนิรนาม

AppSandbox

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการหลายปัญหาได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7074: Daniel Jalkut จาก Red Sweater Software

ATS

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13820: John Villamil, Doyensec

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

เสียง

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: การแยกวิเคราะห์ไฟล์ QuickTime ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13807: Yangkang (@dnpushme) จาก Qihoo 360 Qex Team

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

ผู้ช่วยเครือข่ายแบบ Captive

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจส่งรหัสผ่านที่ไม่ได้เข้ารหัสไว้ผ่านเครือข่ายโดยไม่ทราบ

คำอธิบาย: สถานะความปลอดภัยของเบราเซอร์แบบ Captive Portal ไม่ชัดเจน ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการแสดงสถานะความปลอดภัยของเบราเซอร์แบบ Captive Portal ให้ดียิ่งขึ้น

CVE-2017-7143: Matthew Green จาก Johns Hopkins University

อัพเดทรายการเมื่อวันที่ 3 ตุลาคม 2017

CFNetwork

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13829: Niklas Baumstark และ Samuel Gro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro 

CVE-2017-13833: Niklas Baumstark และ Samuel Gro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 10 พฤศจิกายน 2017

CFNetwork Proxies

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการปฏิเสธการให้บริการหลายปัญหาได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7083: Abhinav Bansal จาก Zscaler Inc.

CFString

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

CoreAudio

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วโดยการอัพเดทเป็น Opus เวอร์ชั่น 1.1.4

CVE-2017-0381: V.E.O (@VYSEa) จาก Mobile Threat Research Team, Trend Micro

CoreText

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

DesktopServices

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ผู้โจมตีเฉพาะอาจสามารถดูข้อมูลผู้ใช้ที่ไม่มีการป้องกันได้

คำอธิบาย: มีปัญหาการเข้าถึงไฟล์ในไฟล์โฟลเดอร์เริ่มต้นบางไฟล์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2017-13851: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 2 พฤศจิกายน 2017

ยูทิลิตี้ไดเรกทอรี

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ผู้โจมตีเฉพาะอาจสามารถระบุ Apple ID ของเจ้าของคอมพิวเตอร์ได้

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการ Apple ID ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการควบคุมการเข้าถึงให้ดียิ่งขึ้น

CVE-2017-7138: Daniel Kvak จาก Masaryk University

อัพเดทรายการเมื่อวันที่ 3 ตุลาคม 2017

ไฟล์

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: มีปัญหาจำนวนมากใน file

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 5.30

CVE-2017-7121: พบโดย OSS-Fuzz

CVE-2017-7122: พบโดย OSS-Fuzz

CVE-2017-7123: พบโดย OSS-Fuzz

CVE-2017-7124: พบโดย OSS-Fuzz

CVE-2017-7125: พบโดย OSS-Fuzz

CVE-2017-7126: พบโดย OSS-Fuzz

ไฟล์

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: มีปัญหาจำนวนมากใน file

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 5.31

CVE-2017-13815

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

แบบอักษร

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: การแสดงข้อความที่ไม่น่าเชื่อถืออาจทำให้เกิดการปลอมแปลง

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-13828: Leonard Grey และ Robert Sesek จาก Google Chrome

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

fsck_msdos

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13811: V.E.O. (@VYSEa) จาก Mobile Advanced Threat Team ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 2 พฤศจิกายน 2017

Heimdal

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถปลอมบริการได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการชื่อบริการ KDC-REP ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni และ Nico Williams

ตัวแสดงวิธีใช้

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ไฟล์ HTML ที่ถูกกักกันอาจใช้ JavaScript ข้ามต้นทางตามอำเภอใจ

คำอธิบาย: มีปัญหา Cross-site Scripting ในตัวแสดงวิธีใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยนำไฟล์ที่ได้รับผลกระทบออก

CVE-2017-13819: Filippo Cavallarin จาก SecuriTeam Secure Disclosure

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

HFS

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13830: Sergej Schumilo จาก Ruhr-University Bochum

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

ImageIO

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

ImageIO

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลในการประมวลผลภาพดิสก์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13831: Glen Carmichael

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

ตัวติดตั้ง

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถเข้าถึงรหัสปลดล็อค FileVault ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำสิทธิ์เพิ่มเติมออก

CVE-2017-13837: Patrick Wardle จาก Synack

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

IOFireWireFamily

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7077: Brandon Azad

IOFireWireFamily

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng จาก Alibaba Inc., Benjamin Gnahm (@mitp0sh) จาก PDX

เคอร์เนล

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7114: Alex Plaskett จาก MWR InfoSecurity

เคอร์เนล

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในตัวนับแพคเก็ตเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

CVE-2017-13810: Zhiyun Qian จาก University of California, Riverside

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

เคอร์เนล

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13817: Maxime Villard (m00nbsd)

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

เคอร์เนล

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13818: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร

CVE-2017-13836: นักวิจัยนิรนามและนักวิจัยนิรนาม

CVE-2017-13841: นักวิจัยนิรนาม

CVE-2017-13840: นักวิจัยนิรนาม

CVE-2017-13842: นักวิจัยนิรนาม

CVE-2017-13782: Kevin Backhouse จาก Semmle Ltd.

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 14 พฤศจิกายน 2017

เคอร์เนล

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13843: นักวิจัยนิรนามและนักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

เคอร์เนล

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13854: shrek_wzw จาก Qihoo 360 Nirvan Team

เพิ่มรายการเมื่อวันที่ 2 พฤศจิกายน 2017

เคอร์เนล

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: การประมวลผลไบนารี่ mach ที่ผิดรูปอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-13834: Maxime Villard (m00nbsd)

เพิ่มรายการเมื่อวันที่ 10 พฤศจิกายน 2017

เครื่องมือ kexts

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ข้อผิดพลาดตรรกะในการโหลด Kext ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-13827: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

libarchive

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13813: พบโดย OSS-Fuzz

CVE-2017-13816: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

libarchive

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน libarchive ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2017-13812: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

libarchive

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2016-4736: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

libc

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาทรัพยากรลดลงใน glob() ได้รับการแก้ไขแล้วผ่านการปรับปรุงอัลกอริทึมให้ดียิ่งขึ้น

CVE-2017-7086: Russ Cox จาก Google

libc

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-1000373

libexpat

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: มีปัญหาจำนวนมากใน Expat

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 2.2.1

CVE-2016-9063

CVE-2017-9233

เมล

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ผู้ส่งอีเมลอาจสามารถระบุที่อยู่ IP ของผู้รับได้

คำอธิบาย: การปิด "โหลดเนื้อหาระยะไกลในข้อความ" ไม่ได้ปรับใช้กับกล่องเมลทุกกล่อง ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการกระจายการตั้งค่าให้ดียิ่งขึ้น

CVE-2017-7141: John Whitehead จาก The New York Times

อัพเดทรายการเมื่อวันที่ 3 ตุลาคม 2017

เมลฉบับร่าง

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับคอนเทนต์เมลได้

คำอธิบาย: มีปัญหาการเข้ารหัสในการจัดการเมลฉบับร่าง ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการเมลฉบับร่างให้ดียิ่งขึ้น ซึ่งจะถูกส่งแบบเข้ารหัส

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE จาก Marseille (France), นักวิจัยนิรนาม

อัพเดทรายการเมื่อวันที่ 3 ตุลาคม 2017

ntp

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: มีปัญหาจำนวนมากใน ntp

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 4.2.8p10

CVE-2017-6451: Cure53 

CVE-2017-6452: Cure53 

CVE-2017-6455: Cure53 

CVE-2017-6458: Cure53 

CVE-2017-6459: Cure53 

CVE-2017-6460: Cure53 

CVE-2017-6462: Cure53 

CVE-2017-6463: Cure53 

CVE-2017-6464: Cure53

CVE-2016-9042: Matthew Van Gundy จาก Cisco

สถาปัตยกรรมการเขียนสคริปต์แบบเปิด

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: การแยก AppleScript ที่มี Osadecompile อาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13824: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

PCRE

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: มีปัญหาจำนวนมากใน Pcre

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 8.40

CVE-2017-13846

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

Postfix

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: มีปัญหาจำนวนมากใน Postfix

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 3.2.2

CVE-2017-13826: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

Quick Look

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

Quick Look

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: การแยกวิเคราะห์เอกสาร Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

QuickTime

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2017-13823: Xiangkun Jia จาก Institute of Software Chinese Academy of Sciences

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

การจัดการระยะไกล

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13808: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017

Sandbox

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-13838: Alastair Houghton

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

ล็อคหน้าจอ

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ข้อความแจ้งไฟร์วอลล์แอพพลิเคชั่นอาจปรากฏทับหน้าต่างเข้าสู่ระบบ

คำอธิบาย: ปัญหาการจัดการหน้าต่างได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7082: Tim Kingman

ความปลอดภัย

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: ใบรับรองที่ถูกเพิกถอนแล้วอาจได้รับการเชื่อถือ

คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองในการจัดการข้อมูลการเพิกถอน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2017-7080: Sven Driemecker จาก adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) จาก Bærum kommune, นักวิจัยนิรนาม

Spotlight

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: Spotlight อาจแสดงผลลัพธ์สำหรับไฟล์ที่ไม่ได้เป็นของผู้ใช้

คำอธิบาย: มีปัญหาการเข้าถึงใน Spotlight ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2017-13839: Ken Harris จาก the Free Robot Collective

เพิ่มรายการเมื่อวันที่ 31 ตุลาคม 2017 อัพเดทรายการเมื่อวันที่ 10 พฤศจิกายน 2017

SQLite

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: มีปัญหาจำนวนมากใน SQLite

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 3.19.3

CVE-2017-10989: พบโดย OSS-Fuzz

CVE-2017-7128: พบโดย OSS-Fuzz

CVE-2017-7129: พบโดย OSS-Fuzz

CVE-2017-7130: พบโดย OSS-Fuzz

SQLite

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7127: นักวิจัยนิรนาม

zlib

มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป

ผลกระทบ: มีปัญหาจำนวนมากใน zlib

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 1.2.11

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

คำขอบคุณพิเศษ

ความปลอดภัย

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhinav Bansal จาก Zscaler, Inc.

NSWindow

เราขอขอบคุณสำหรับความช่วยเหลือจาก Trent Apted จากทีม Google Chrome

WebKit Web Inspector

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ioan Bizău จาก Bloggify

การอัพเดทเสริมสำหรับ macOS High Sierra 10.13

รายการดาวน์โหลดรายการใหม่ของ macOS High Sierra 10.13 ประกอบด้วยเนื้อหาความปลอดภัยของการอัพเดทเสริมสำหรับ macOS High Sierra 10.13

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: