macOS High Sierra 10.13.1, Güvenlik Güncellemesi 2017-001 Sierra ve Güvenlik Güncellemesi 2017-004 El Capitan‘ın güvenlik içeriği hakkında

Bu belgede, macOS High Sierra 10.13.1, Güvenlik Güncellemesi 2017-001 Sierra ve Güvenlik Güncellemesi 2017-004 El Capitan'ın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

macOS High Sierra 10.13.1, Güvenlik Güncellemesi 2017-001 Sierra ve Güvenlik Güncellemesi 2017-004 El Capitan

Yayınlanma tarihi: 31 Ekim 2017

802.1X

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Bir saldırgan, TLS 1.0 protokolündeki zayıflıktan yararlanabilir

Açıklama: TLS 1.1 ve TLS 1.2 etkinleştirilerek bir protokol güvenliği sorunu giderildi.

CVE-2017-13832: Florida Devlet Üniversitesi'nden Doug Wussler

Giriş güncellenme tarihi: 10 Kasım 2017

apache

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Apache'de birden fazla sorun

Açıklama: Yazılım 2.4.27 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2016-736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

APFS

İlgili sürüm: macOS High Sierra 10.13

Etki: Kötü amaçlarla tasarlanmış bir Thunderbolt adaptörü, şifrelenmemiş APFS dosya sistemi verilerini ele geçirebilir

Açıklama: DMA'nın işlenmesinde sorun vardı. FileVault şifre çözme arabelleklerinin DMA ile eşlendiği süre Giriş/Çıkış işleminin süresiyle sınırlanarak bu sorun giderildi.

CVE-2017-13786: Dmytro Oleksiuk

Giriş güncellenme tarihi: 10 Kasım 2017

APFS

İlgili sürüm: macOS High Sierra 10.13

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13800: Bochum Ruhr Üniversitesi'nden Sergej Schumilo

AppleScript

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Bir AppleScript'in osadecompile komutu ile kaynak koda dönüştürülmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-13809: bat0s

Giriş güncellenme tarihi: 10 Kasım 2017

ATS

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-13820: Doyensec'ten John Villamil

Ses

İlgili sürüm: macOS Sierra 10.12.6

Etki: Kötü amaçlarla oluşturulmuş bir QuickTime dosyasının ayrıştırılması, beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2017-13807: Qihoo 360 Qex Team'den Yangkang (@dnpushme)

CFNetwork

İlgili sürümler: OS X El Capitan 10.11.6 ve macOS Sierra 10.12.6

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13829: Niklas Baumstark ve Samuel Gro (Trend Micro'nun Zero Day Initiative programıyla) 

CVE-2017-13833: Niklas Baumstark ve Samuel Gro (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 10 Kasım 2017

CFString

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-13821: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

CoreText

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2017-13825: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

curl

İlgili sürümler: macOS High Sierra 10.13, macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: libcurl ile kötü amaçlarla oluşturulmuş bir URL'ye TFTP kullanılarak yükleme yapılması uygulama belleğini açığa çıkarabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2017-1000100: Even Rouault ve OSS-Fuzz

curl

İlgili sürümler: macOS High Sierra 10.13, macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: libcurl ile kötü amaçlarla oluşturulmuş bir URL'nin işlenmesi uygulamanın beklenmedik bir şekilde sonlandırılmasına neden olabilir veya işlem belleğini okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2017-1000101: Brian Carpenter ve Yongji Ouyang

Sözlük Araç Takımı

İlgili sürümler: macOS High Sierra 10.13, macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Sözlük araç takımına yapıştırılan bir metnin aranması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Yerel dosya erişimine olanak sağlayan bir doğrulama sorunu vardı. Giriş temizleme ile bu sorun giderildi.

CVE-2017-13801: Tencent Xuanwu Lab'den (tencent.com) xisigr

file

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: file'da birden fazla sorun

Açıklama: Yazılım 5.31 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2017-13815

Fontlar

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Açıklama: Güvenilmeyen metinlerin işlenmesi sahteciliğe yol açabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2017-13828: Google Chrome'dan Leonard Grey ve Robert Sesek

Giriş güncellenme tarihi: 10 Kasım 2017

fsck_msdos

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13811: Trend Micro, Mobile Threat Research Team'den V.E.O (@VYSEa)

Giriş güncellenme tarihi: 2 Kasım 2017

HFS

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13830: Bochum Ruhr Üniversitesi'nden Sergej Schumilo

Heimdal

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan bir servisi taklit edebilir

Açıklama: KDC-REP servis adının işlenmesinde bir doğrulama sorunu vardı. Doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni ve Nico Williams

Yardım Görüntüleyici

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Karantinaya alınmış bir HTML dosyası kaynaklar arasında rastgele JavaScript (arbitrary JavaScript cross-origin) yürütülmesine neden olabilir

Açıklama: Yardım Görüntüleyici'de siteler arası betik kullanımı (cross-site scripting) sorunu vardı. Etkilenen dosya kaldırılarak bu sorun giderildi.

CVE-2017-13819: SecuriTeam Secure Disclosure'dan Filippo Cavallarin

Giriş güncellenme tarihi: 10 Kasım 2017

ImageIO

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-13814: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

ImageIO

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Kötü amaçlarla oluşturulmuş bir görüntünün işlenmesi servis reddine neden olabilir

Açıklama: Disk görüntülerinin işlenmesinde bilgilerin açığa çıkması sorunu vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-13831: Glen Carmichael

Giriş güncellenme tarihi: 10 Kasım 2017

Çekirdek

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Yerel bir kullanıcı, gizli kullanıcı bilgilerini sızdırabilir

Açıklama: Çekirdek paket sayaçlarında bir izin sorunu vardı. İzin doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-13810: Riverside'daki California Üniversitesi'nden Zhiyun Qian

Giriş güncellenme tarihi: 10 Kasım 2017

Çekirdek

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Yerel bir kullanıcı çekirdek belleğini okuyabilir

Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Girdi doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-13817: Maxime Villard (m00nbsd)

Çekirdek

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-13818: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

CVE-2017-13836: anonim bir araştırmacı, anonim bir araştırmacı

CVE-2017-13841: anonim bir araştırmacı

CVE-2017-13840: anonim bir araştırmacı

CVE-2017-13842: anonim bir araştırmacı

CVE-2017-13782: anonim bir araştırmacı

Çekirdek

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13843: anonim bir araştırmacı, anonim bir araştırmacı

Çekirdek

İlgili sürüm: macOS Sierra 10.12.6

Etki: Kötü amaçlarla oluşturulmuş bir mach ikili dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-13834: Maxime Villard (m00nbsd)

Çekirdek

İlgili sürümler: macOS High Sierra 10.13 ve macOS Sierra 10.12.6

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13799: Qihoo 360 Vulcan Team'den Lufeng Li

Giriş güncellenme tarihi: 10 Kasım 2017

Çekirdek

İlgili sürüm: macOS High Sierra 10.13

Etki: Kötü amaçlarla oluşturulmuş bir uygulama, aygıttaki diğer uygulamaların varlığı ve kullanımı ile ilgili bilgiler edinebilir.

Açıklama: Bir uygulama, sınırlanmamış bir şekilde işletim sistemi tarafından tutulan işlem bilgilerine erişebiliyordu. Hız sınırlaması ile bu sorun giderildi.

CVE-2017-13852: Ohio State University'den Xiaokuan Zhang ve Yinqian Zhang, Bloomington Indiana Üniversitesi'nden Xueqiang Wang ve XiaoFeng Wang, Tsinghua University'den Xiaolong Bai

Giriş eklenme tarihi: 10 Kasım 2017

libarchive

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2017-13813: OSS-Fuzz tarafından bulundu

CVE-2017-13816: OSS-Fuzz tarafından bulundu

libarchive

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Kötü amaçlarla oluşturulmuş bir arşivin açılması rastgele kod yürütülmesine neden olabilir

Açıklama: libarchive'da birden fazla bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorunlar giderildi.

CVE-2017-13812: OSS-Fuzz tarafından bulundu

libarchive

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2016-4736: anonim bir araştırmacı

Açık Betik Yazma Mimarisi

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Bir AppleScript'in osadecompile komutu ile kaynak koda dönüştürülmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-13824: anonim bir araştırmacı

PCRE

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: PCRE'de birden fazla sorun

Açıklama: Yazılım 8.40 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2017-13846

Postfix

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Postfix'te birden fazla sorun

Açıklama: Yazılım 3.2.2 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2017-13826: anonim bir araştırmacı

Göz At

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-13822: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

Göz At

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Kötü amaçlarla oluşturulmuş bir Office belgesinin ayrıştırılması, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2017-7132: Avustralya Siber Güvenlik Merkezi - Avustralya Sinyal Başkanlığı

QuickTime

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-13823: Institute of Software Chinese Academy of Sciences'tan Xiangkun Jia

Giriş güncellenme tarihi: 10 Kasım 2017

Uzaktan Yönetim

İlgili sürüm: macOS Sierra 10.12.6

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13808: anonim bir araştırmacı

Korumalı Alan (Sandbox)

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13838: Alastair Houghton

Giriş güncellenme tarihi: 10 Kasım 2017

StreamingZip

İlgili sürümler: macOS High Sierra 10.13, macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Kötü amaçlarla oluşturulmuş bir ZIP dosyası, dosya sisteminin sınırlanmış alanlarını değiştirebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir yol işleme sorunu giderildi.

CVE-2017-13804: KJC Research Intl. S.R.L. şirketinden @qwertyoruiopz

tcpdump

İlgili sürümler: macOS High Sierra 10.13 ve macOS Sierra 10.12.6

Etki: tcpdump'ta birden çok sorun

Açıklama: Yazılım 4.9.2 sürümüne güncellenerek birden çok sorun giderildi.

CVE-2017-11108

CVE-2017-11541

CVE-2017-11542

CVE-2017-11543

CVE-2017-12893

CVE-2017-12894

CVE-2017-12895

CVE-2017-12896

CVE-2017-12897

CVE-2017-12898

CVE-2017-12899

CVE-2017-12900

CVE-2017-12901

CVE-2017-12902

CVE-2017-12985

CVE-2017-12986

CVE-2017-12987

CVE-2017-12988

CVE-2017-12989

CVE-2017-12990

CVE-2017-12991

CVE-2017-12992

CVE-2017-12993

CVE-2017-12994

CVE-2017-12995

CVE-2017-12996

CVE-2017-12997

CVE-2017-12998

CVE-2017-12999

CVE-2017-13000

CVE-2017-13001

CVE-2017-13002

CVE-2017-13003

CVE-2017-13004

CVE-2017-13005

CVE-2017-13006

CVE-2017-13007

CVE-2017-13008

CVE-2017-13009

CVE-2017-13010

CVE-2017-13011

CVE-2017-13012

CVE-2017-13013

CVE-2017-13014

CVE-2017-13015

CVE-2017-13016

CVE-2017-13017

CVE-2017-13018

CVE-2017-13019

CVE-2017-13020

CVE-2017-13021

CVE-2017-13022

CVE-2017-13023

CVE-2017-13024

CVE-2017-13025

CVE-2017-13026

CVE-2017-13027

CVE-2017-13028

CVE-2017-13029

CVE-2017-13030

CVE-2017-13031

CVE-2017-13032

CVE-2017-13033

CVE-2017-13034

CVE-2017-13035

CVE-2017-13036

CVE-2017-13037

CVE-2017-13038

CVE-2017-13039

CVE-2017-13040

CVE-2017-13041

CVE-2017-13042

CVE-2017-13043

CVE-2017-13044

CVE-2017-13045

CVE-2017-13046

CVE-2017-13047

CVE-2017-13048

CVE-2017-13049

CVE-2017-13050

CVE-2017-13051

CVE-2017-13052

CVE-2017-13053

CVE-2017-13054

CVE-2017-13055

CVE-2017-13687

CVE-2017-13688

CVE-2017-13689

CVE-2017-13690

CVE-2017-13725

Wi-Fi

İlgili sürümler: macOS High Sierra 10.13, macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Wi-Fi kapsama alanındaki bir saldırgan, WPA tekli yayın/PTK istemcilerinde yeniden nonce kullanımını zorlayabilir (Anahtar Yeniden Yükleme Saldırıları - KRACK)

Açıklama: Durum geçişlerinin işlenmesinde bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-13077: KU Leuven'deki imec-DistriNet grubundan Mathy Vanhoef

CVE-2017-13078: KU Leuven'deki imec-DistriNet grubundan Mathy Vanhoef

Giriş güncellenme tarihi: 3 Kasım 2017

Wi-Fi

İlgili sürümler: macOS High Sierra 10.13, macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Wi-Fi kapsama alanındaki bir saldırgan, WPA çoklu yayın/GTK istemcilerinde yeniden nonce kullanımını zorlayabilir (Anahtar Yeniden Yükleme Saldırıları - KRACK)

Açıklama: Durum geçişlerinin işlenmesinde bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-13080: KU Leuven'deki imec-DistriNet grubundan Mathy Vanhoef

Giriş güncellenme tarihi: 3 Kasım 2017

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: