macOS Sierra 10.12.4, Güvenlik Güncellemesi 2017-001 El Capitan ve Güvenlik Güncellemesi 2017-001 Yosemite'nin güvenlik içeriği hakkında

Bu belgede macOS Sierra 10.12.4, Güvenlik Güncellemesi 2017-001 El Capitan ve Güvenlik Güncellemesi 2017-001 Yosemite'nin güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

macOS Sierra 10.12.4, Güvenlik Güncellemesi 2017-001 El Capitan ve Güvenlik Güncellemesi 2017-001 Yosemite

apache

İlgili sürümler: macOS Sierra 10.12.3

Etki: Uzaktaki bir saldırgan, servis reddine neden olabilir

Açıklama: 2.4.25 sürümünden önceki Apache sürümlerinde birden çok sorun vardı. Bu sorunlar, Apache yazılımı 2.4.25 sürümüne güncellenerek giderildi.

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

apache_mod_php

İlgili sürümler: macOS Sierra 10.12.3

Etki: 5.6.30 sürümünden önceki PHP sürümlerinde birden çok sorun vardı

Açıklama: 5.6.30 sürümünden önceki PHP sürümlerinde birden çok sorun vardı. Bu sorunlar, PHP yazılımı 5.6.30 sürümüne güncellenerek giderildi.

CVE-2016-10158

CVE-2016-10159

CVE-2016-10160

CVE-2016-10161

CVE-2016-9935

AppleGraphicsPowerManagement

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir yarış durumu giderildi.

CVE-2017-2421: @cocoahuke

AppleRAID

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-2438: 360Nirvanteam'den sss ve Axis

Ses

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2430: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2017-2462: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)

Bluetooth

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2420: Synopsys Software Integrity Group'tan Pekka Oikarainen, Matias Karhumaa ve Marko Laakso

Bluetooth

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2427: Qihoo 360 Nirvan Team'den Axis ve sss

Bluetooth

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-2449: 360NirvanTeam'den sss ve Axis

Carbon

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir .dfont dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE-2017-2379: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥), Doyensec'ten John Villamil

CoreGraphics

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir sonsuz yineleme sorunu giderildi.

CVE-2017-2417: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

CoreMedia

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir .mov dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: .mov dosyalarının işlenmesinde bellek bozulması sorunu vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-2431: Tencent Güvenlik Platformu Departmanı'ndan kimyok

CoreText

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2435: Doyensec'ten John Villamil

CoreText

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2017-2450: Doyensec'ten John Villamil

CoreText

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi uygulamada servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir kaynak tükenmesi sorunu giderildi.

CVE-2017-2461: IDAoADI'dan Isaac Archambault, anonim bir araştırmacı

curl

İlgili sürümler: macOS Sierra 10.12.3

Etki: libcurl API'ye yönelik olarak kötü amaçlarla oluşturulmuş kullanıcı girişi, rastgele kod yürütülmesine neden olabilir

Açıklama: Sınırların denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2016-9586: Mozilla'dan Daniel Stenberg

EFI

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir Thunderbolt adaptörü, FileVault 2 şifrelemesinin parolasını ele geçirebilir

Açıklama: DMA'nın işlenmesinde sorun vardı. EFI'de VT-d etkinleştirilerek bu sorun giderildi.

CVE-2016-7585: Ulf Frisk (@UlfFrisk)

FinderKit

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bağlantı gönderilirken izinler beklenmedik bir şekilde sıfırlanabilir

Açıklama: iCloud Paylaşma'nın Bağlantı Gönder özelliğinin işlenmesinde izin sorunu vardı. İzin denetimleri iyileştirilerek bu sorun giderildi.

CVE-2017-2429: Arnot Ogden Medical Center'dan Raymond Wong DO

FontParser

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2487: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

CVE-2017-2406: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

FontParser

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının ayrıştırılması uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2407: Tencent Güvenlik Platformu Departmanı'ndan riusksk (泉哥)

FontParser

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir sınırların dışında okuma sorunu giderildi.

CVE-2017-2439: Doyensec'ten John Villamil

FontParser

İlgili sürümler: OS X El Capitan v10.11.6 ve OS X Yosemite v10.10.5

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Font dosyalarının işlenmesinde arabellek taşması sorunu vardı. Bu sorun sınırların denetimi iyileştirilerek giderildi.

CVE-2016-4688: Alipay firmasından Simon Huang

HTTPProtocol

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir HTTP/2 sunucusu tanımlanmayan davranışa neden olabilir

Açıklama: 1.17.0 sürümünden önceki nghttp2 sürümlerinde birden çok sorun vardı. Bu sorunlar, nghttp2'nin 1.17.0 sürümüne güncellenmesiyle giderildi.

CVE-2017-2428

Hypervisor

İlgili sürümler: macOS Sierra 10.12.3

Etki: Hypervisor çerçevesini kullanan uygulamalar, konuk ve sunucu arasındaki CR8 denetim kaydını beklenmedik bir şekilde sızdırabilir

Açıklama: Durum yönetimi iyileştirilerek bir bilgi sızıntısı sorunu giderildi.

CVE-2017-2418: Veertu Inc.'den Alex Fishman ve Izik Eidus.

iBooks

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir iBooks dosyasının ayrıştırılması yerel bir dosyanın açığa çıkmasına neden olabilir

Açıklama: Dosya URL'lerinin işlenmesinde bilgi sızıntısı sorunu vardı. URL'lerin işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2017-2426: Stratum Security'den Craig Arendt, Jun Kokatsu (@shhnjk)

ImageIO

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2416: Tencent KeenLab'den Qidan He (何淇丹, @flanker_hqd)

ImageIO

İlgili sürümler: macOS Sierra 10.12.3, OS X El Capitan v10.11.6 ve OS X Yosemite v10.10.5

Etki: Kötü amaçlarla oluşturulmuş bir JPEG dosyasının görüntülenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2432: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla)

ImageIO

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2467

ImageIO

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: 4.0.7 sürümünden önceki LibTIFF sürümlerinde sınırların dışında okuma sorunu vardı. Bu sorun, ImageIO'daki LibTIFF'in 4.0.7 sürümüne güncellenmesiyle giderildi.

CVE-2016-3619

Intel Grafik Sürücüsü

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2443: Google Project Zero'dan Ian Beer

Intel Grafik Sürücüsü

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama, çekirdek belleğini açığa çıkarabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-2489: Google Project Zero'dan Ian Beer

IOATAFamily

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2408: Qihoo360 Qex Team'den Yangkang (@dnpushme)

IOFireWireAVC

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2436: IBM Security'den Orr A

IOFireWireAVC

İlgili sürümler: macOS Sierra 10.12.3

Etki: Yerel konumdaki bir saldırgan, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2437: Blue Frost Security'den Benjamin Gnahm (@mitp0sh)

IOFireWireFamily

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama, servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek null işaretçi dereferansı sorunu giderildi.

CVE-2017-2388: Brandon Azad, anonim bir araştırmacı

Çekirdek

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2398: Qihoo 360 Vulcan Team'den Lufeng Li

CVE-2017-2401: Qihoo 360 Vulcan Team'den Lufeng Li

Çekirdek

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Çekirdekte bir giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2410: Apple

Çekirdek

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tamsayı taşması sorunu giderildi.

CVE-2017-2440: anonim bir araştırmacı

Çekirdek

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir yarış durumu giderildi.

CVE-2017-2456: Google Project Zero'dan lokihardt

Çekirdek

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-2472: Google Project Zero'dan Ian Beer

Çekirdek

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2473: Google Project Zero'dan Ian Beer

Çekirdek

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınırların denetimi iyileştirilerek "artı/eksi 1 sapma" (off-by-one) hatası giderildi.

CVE-2017-2474: Google Project Zero'dan Ian Beer

Çekirdek

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2017-2478: Google Project Zero'dan Ian Beer

Çekirdek

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama, çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-2482: Google Project Zero'dan Ian Beer

CVE-2017-2483: Google Project Zero'dan Ian Beer

Çekirdek

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama, yükseltilmiş ayrıcalıklarla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2490: Google Project Zero'dan Ian Beer, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Çekirdek

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kapak kapalıyken ekranın kilidi beklenmedik bir şekilde açık kalabilir

Açıklama: Durum yönetimi iyileştirilerek yetersiz kilitleme sorunu giderildi.

CVE-2017-7070: Ed McKenzie

Klavyeler

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama rastgele kod yürütebilir

Açıklama: Sınırların denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-2458: Shashank (@cyberboyIndia)

Anahtar Zinciri

İlgili sürümler: macOS Sierra 10.12.3

Etki: TLS bağlantılarını ele geçirebilen bir saldırgan, iCloud Anahtar Zinciri ile korunan gizli içerikleri okuyabilir.

Açıklama: iCloud Anahtar Zinciri belirli durumlarda OTR paketlerinin gerçekliğini doğrulayamıyordu. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2448: Longterm Security, Inc. şirketinden Alex Radocea

libarchive

İlgili sürümler: macOS Sierra 10.12.3

Etki: Yerel konumdaki bir saldırgan, rastgele dizinlerde dosya sistemi izinlerini değiştirebilir

Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2017-2390: enSilo Ltd'den Omer Medan

libc++abi

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir C++ uygulamasının kodunun çözülmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-2441

LibreSSL

İlgili sürümler: macOS Sierra 10.12.3 ve OS X El Capitan v10.11.6

Etki: Yerel bir kullanıcı, gizli kullanıcı bilgilerini sızdırabilir

Açıklama: Zamanlayıcı yan kanalının, bir saldırganın anahtarları ele geçirmesine olanak sağladığı tespit edildi. Sürekli zaman hesaplaması eklenerek bu sorun giderildi.

CVE-2016-7056: Cesar Pereida García ve Billy Brumley (Tampere Teknoloji Üniversitesi)

libxslt

İlgili sürümler: OS X El Capitan 10.11.6

Etki: libxslt'de birden çok güvenlik açığı

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-2477

libxslt

İlgili sürümler: macOS Sierra 10.12.3, OS X El Capitan v10.11.6 ve Yosemite v10.10.5

Etki: libxslt'de birden çok güvenlik açığı

Açıklama: Belleğin işlenmesi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-5029: Holger Fuhrmannek

MCX İstemcisi

İlgili sürümler: macOS Sierra 10.12.3

Etki: Birden çok yükü olan bir konfigürasyon profili kaldırıldığında Active Directory sertifika güveni kaldırılmayabilir

Açıklama: Profil kaldırma işleminde bir sorun vardı. Temizleme işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2402: anonim bir araştırmacı

Menüler

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama, işlem belleğini açığa çıkarabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2017-2409: Sergey Bylokhov

Multi-Touch

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-2422: @cocoahuke

OpenSSH

İlgili sürümler: macOS Sierra 10.12.3

Etki: OpenSSH'de birden çok sorun

Açıklama: 7.4 sürümünden önceki OpenSSH sürümlerinde birden çok sorun vardı. Bu sorunlar, OpenSSH yazılımı 7.4 sürümüne güncellenerek giderildi.

CVE-2016-10009

CVE-2016-10010

CVE-2016-10011

CVE-2016-10012

OpenSSL

İlgili sürümler: macOS Sierra 10.12.3

Etki: Yerel bir kullanıcı, gizli kullanıcı bilgilerini sızdırabilir

Açıklama: Sürekli zaman hesaplaması kullanılarak bir zamanlayıcı yan kanalı sorunu giderildi.

CVE-2016-7056: Cesar Pereida García ve Billy Brumley (Tampere Teknoloji Üniversitesi)

Yazdırma

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir IPP(S) bağlantısının tıklanması rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir denetimsiz biçim dizisi sorunu giderildi.

CVE-2017-2403: GrayHash'ten beist

python

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş ZIP arşivlerinin Python ile işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Zip arşivlerinin işlenmesinde bir bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2016-5636

QuickTime

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir ortam dosyasının görüntülenmesi, uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: QuickTime'da bellek bozulması sorunu vardı. Bu sorun, belleğin işlenmesi iyileştirilerek giderildi.

CVE-2017-2413: Qihoo 360 IceSword Lab'den Simon Huang(@HuangShaomang) ve pjf

Güvenlik

İlgili sürümler: macOS Sierra 10.12.3

Etki: Boş imzaların SecKeyRawVerify() ile doğrulanması beklenmedik şekilde başarılı olabilir

Açıklama: Şifreleme API çağrılarında doğrulama sorunu vardı. Parametre doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2017-2423: anonim bir araştırmacı

Güvenlik

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir uygulama, kök ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınırların denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-2451: Longterm Security, Inc. şirketinden Alex Radocea

Güvenlik

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş x509 sertifikasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sertifikaların ayrıştırılmasında bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-2485: Cisco Talos'tan Aleksandar Nikolic

SecurityFoundation

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir sertifikanın işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek çift serbest bırakma sorunu giderildi.

CVE-2017-2425: Tencent Güvenlik Platformu Departmanı'ndan kimyok

sudo

İlgili sürümler: macOS Sierra 10.12.3

Etki: Bir ağ dizini sunucusundaki "admin" adlı grupta bulunan bir kullanıcı, sudo kullanarak ayrıcalıkları beklenmedik bir şekilde yönlendirebilir

Açıklama: sudo'da bir erişim sorunu vardı. İzin denetimi iyileştirilerek bu sorun giderildi.

CVE-2017-2381

Sistem Bütünlüğü Koruması

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlı bir uygulama, korumalı disk konumlarını değiştirebilir

Açıklama: Sistem yüklemesinin işlenmesinde bir doğrulama sorunu vardı. Yükleme sırasındaki işleme ve doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-6974: Synack'ten Patrick Wardle

tcpdump

İlgili sürümler: macOS Sierra 10.12.3

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, kullanıcı yardımı ile rastgele kod yürütebilir

Açıklama: 4.9.0'dan önceki tcpdump sürümlerinde birden çok sorun vardı. Bu sorunlar, tcpdump yazılımı 4.9.0 sürümüne güncellenerek giderildi.

CVE-2016-7922

CVE-2016-7923

CVE-2016-7924

CVE-2016-7925

CVE-2016-7926

CVE-2016-7927

CVE-2016-7928

CVE-2016-7929

CVE-2016-7930

CVE-2016-7931

CVE-2016-7932

CVE-2016-7933

CVE-2016-7934

CVE-2016-7935

CVE-2016-7936

CVE-2016-7937

CVE-2016-7938

CVE-2016-7939

CVE-2016-7940

CVE-2016-7973

CVE-2016-7974

CVE-2016-7975

CVE-2016-7983

CVE-2016-7984

CVE-2016-7985

CVE-2016-7986

CVE-2016-7992

CVE-2016-7993

CVE-2016-8574

CVE-2016-8575

CVE-2017-5202

CVE-2017-5203

CVE-2017-5204

CVE-2017-5205

CVE-2017-5341

CVE-2017-5342

CVE-2017-5482

CVE-2017-5483

CVE-2017-5484

CVE-2017-5485

CVE-2017-5486

tiffutil

İlgili sürümler: macOS Sierra 10.12.3

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi uygulamanın beklenmedik şekilde sonlandırılmasına neden olabilir

Açıklama: 4.0.7'den önceki LibTIFF sürümlerinde sınırların dışında okuma sorunu vardı. Bu sorun, AKCmds'deki LibTIFF 4.0.7 sürümüne güncellenerek giderildi.

CVE-2016-3619

CVE-2016-9533

CVE-2016-9535

CVE-2016-9536

CVE-2016-9537

CVE-2016-9538

CVE-2016-9539

CVE-2016-9540

Ek teşekkür listesi

XNU

Qihoo 360 Vulcan Team'den Lufeng Li'ye desteği için teşekkür ederiz.