macOS High Sierra 10.13.2, Güvenlik Güncellemesi 2017-002 Sierra ve Güvenlik Güncellemesi 2017-005 El Capitan'ın güvenlik içeriği hakkında

Bu belgede macOS High Sierra 10.13.2, Güvenlik Güncellemesi 2017-002 Sierra ve Güvenlik Güncellemesi 2017-005 El Capitan'ın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

macOS High Sierra 10.13.2, Güvenlik Güncellemesi 2017-002 Sierra ve Güvenlik Güncellemesi 2017-005 El Capitan

Yayınlanma tarihi: 6 Aralık 2017

APFS

İlgili sürüm: macOS High Sierra 10.13.1

Etki: APFS şifreleme anahtarları hazırda bekletme modundan sonra güvenli bir şekilde silinmeyebilir

Açıklama: APFS'de, hazırda bekletme sırasında anahtarlar silinirken ortaya çıkan bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-13887: David Ryskalczyk

Giriş eklenme tarihi: 21 Haziran 2018

apache

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Kötü amaçlarla oluşturulmuş bir Apache konfigürasyon direktifinin işlenmesi, işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Yazılım 2.4.28 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2017-9798

CFNetwork Oturumu

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-7172: Richard Zhu (fluorescence) (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 22 Ocak 2018

CoreAnimation

İlgili sürüm: macOS High Sierra 10.13.1

Etki: Bir uygulama, yükseltilmiş ayrıcalıklarla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2017-7171: 360 Security (Trend Micro'nun Zero Day Initiative programıyla) ve Tencent Keen Security Lab (@keen_lab) (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 22 Ocak 2018

curl

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Kötü amaçlı FTP sunucuları, istemcinin sınırların dışında bellek okumasına neden olabilir

Açıklama: FTP PWD yanıt ayrıştırma işleminde bir sınırların dışında okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

CVE-2017-1000254: Max Dymond

Dizin İzlencesi

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etkilenmeyen sürümler: macOS Sierra 10.12.6 ve önceki sürümleri 

Etki: Bir saldırgan, yönetici parolası girmeden yönetici kimlik doğrulamasını atlayabilir

Açıklama: Kimlik bilgilerinin doğrulanmasında bir mantık hatası vardı. Kimlik bilgisi doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-13872

ICU

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir tam sayı taşması sorunu giderildi.

CVE-2017-15422: Ant-financial Light-Year Security Lab'den Yuan Deng

Giriş eklenme tarihi: 14 Mart 2018

Intel Grafik Sürücüsü

İlgili sürüm: macOS High Sierra 10.13.1

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13883: Didi Research America'dan Yu Wang

CVE-2017-7163: Didi Research America'dan Yu Wang

CVE-2017-7155: Didi Research America'dan Yu Wang

Giriş güncellenme tarihi: 21 Aralık 2017 

Intel Grafik Sürücüsü

İlgili sürüm: macOS High Sierra 10.13.1

Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir

Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Girdi doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-13878: Google Project Zero'dan Ian Beer

Intel Grafik Sürücüsü

İlgili sürüm: macOS High Sierra 10.13.1

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2017-13875: Google Project Zero'dan Ian Beer

IOAcceleratorFamily

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-7159: SoftSec, KAIST'den (softsec.kaist.ac.kr) HyungSeok Han (daramg.gift) tarafından geliştirilen IMF tarafından bulundu

Giriş güncellenme tarihi: 21 Aralık 2017 

IOKit

İlgili sürüm: macOS High Sierra 10.13.1

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Çekirdekte bir giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-13848: MWR InfoSecurity'den Alex Plaskett

CVE-2017-13858: anonim bir araştırmacı

IOKit

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2017-13847: Google Project Zero'dan Ian Beer

IOKit

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) (Trend Micro'nun Zero Day Initiative programıyla)

Giriş güncellenme tarihi: 10 Ocak 2018

Çekirdek

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13904: Semmle Ltd. şirketinden Kevin Backhouse

Giriş eklenme tarihi: 14 Şubat 2018

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.1

Etki: Bir uygulama çekirdek belleğini okuyabilir (Meltdown)

Açıklama: Spekülatif yürütme ve dolaylı dal tahmini özelliklerini kullanan mikroişlemcilerle çalışan sistemler, veri önbelleğinin yan kanal analizi yoluyla bilgilerin yerel kullanıcı erişimi olan bir saldırgana yetkisiz olarak açıklanmasına izin verebilir.

CVE-2017-5754: Google Project Zero'dan Jann Horn; Graz Teknoloji Üniversitesi'nden Moritz Lipp; Graz Teknoloji Üniversitesi'nden Michael Schwarz; Graz Teknoloji Üniversitesi'nden Daniel Gruss; Cyberus Technology GmbH şirketinden Thomas Prescher; Cyberus Technology GmbH şirketinden Werner Haas; Graz Teknoloji Üniversitesi'nden Stefan Mangard; Paul Kocher; Pennsylvania Üniversitesi ve Maryland Üniversitesi'nden Daniel Genkin; Adelaide Üniversitesi ve Data61'dan Yuval Yarom; Rambus'tan (Şifreleme Araştırmaları Bölümü) Mike Hamburg

Giriş güncellenme tarihi: 5 Ocak 2018

Çekirdek

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13862: Apple

CVE-2017-13867: Google Project Zero'dan Ian Beer

Giriş güncellenme tarihi: 21 Aralık 2017 

Çekirdek

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2017-7173: Brandon Azad

Giriş güncellenme tarihi: 11 Ocak 2018

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.1

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2017-13876: Google Project Zero'dan Ian Beer

Çekirdek

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2017-13855: Google Project Zero'dan Jann Horn

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.1

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-13865: Google Project Zero'dan Ian Beer

Çekirdek

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Google Project Zero'dan Jann Horn

Çekirdek

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir

Açıklama: Çekirdekte bir giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-7154: Google Project Zero'dan Jann Horn

Giriş eklenme tarihi: 21 Aralık 2017

Mail

İlgili sürüm: macOS High Sierra 10.13.1

Etki: S/MIME ile şifrelenmiş bir e-posta, alıcının S/MIME sertifikası yüklenmemişse yanlışlıkla şifrelenmeden gönderilebilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2017-13871: GPGTools'dan Lukas Pitschl

Giriş güncellenme tarihi: 21 Aralık 2017

Mail Taslakları

İlgili sürüm: macOS High Sierra 10.13.1

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan e-posta içeriklerini ele geçirebilir

Açıklama: S/MIME kimlik bilgileriyle ilgili bir şifreleme sorunu vardı. Ek denetimler ve kullanıcı kontrolüyle bu sorun giderildi.

CVE-2017-13860: INNEO Solutions GmbH'den Michael Weishaar

Giriş güncellenme tarihi: 10 Ocak 2018

OpenSSL

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: X.509 IPAddressFamily ayrıştırma işleminde sınırların dışında okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

CVE-2017-3735: OSS-Fuzz tarafından bulundu

Ekran Paylaşımı Sunucusu

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Etki: Ekran paylaşımı erişimine sahip bir kullanıcı, root tarafından okunabilen herhangi bir dosyaya erişebilir

Açıklama: Ekran paylaşımı oturumlarının işlenmesinde bir izin sorunu vardı. İzinlerin işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2017-7158: Toronto'dan Trevor Jacques

Giriş güncellenme tarihi: 21 Aralık 2017

SIP

İlgili sürüm: macOS High Sierra 10.13.1

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Ek sınırlamalar aracılığıyla bir yapılandırma sorunu giderildi.

CVE-2017-13911: anonim bir araştırmacı

Giriş güncellenme tarihi: 8 Ağustos 2018 Çarşamba

Wi-Fi

İlgili sürüm: macOS High Sierra 10.13.1

Etki: Ayrıcalıklık bir kullanıcı Wi-Fi sistemi parametrelerini değiştirerek servis reddine neden olabilir

Açıklama: Ayrıcalıklı Wi-Fi sistemi konfigürasyonunda bir erişim sorunu vardı. Ek sınırlamalarla bu sorun giderildi.

CVE-2017-13886: Darmstadt Teknik Üniversitesi'ndeki Secure Mobile Networking Lab'den David Kreitschmann ve Matthias Schulz

Giriş eklenme tarihi: 2 Mayıs 2018

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: