关于 macOS High Sierra 10.13 的安全性内容

本文介绍了 macOS High Sierra 10.13 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。

如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

macOS High Sierra 10.13

发布于 2017 年 9 月 25 日

802.1X

适用于:OS X Mountain Lion 10.8 及更高版本

影响:攻击者或许能够利用 TLS 1.0 中的漏洞

描述:已通过启用 TLS 1.1 和 TLS 1.2 解决协议安全问题。

CVE-2017-13832:佛罗里达州立大学的 Doug Wussler

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

apache

适用于:OS X Mountain Lion 10.8 及更高版本

影响:Apache 中存在多个问题

描述:已通过更新至版本 2.4.27 解决多个问题。

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 14 日

AppleScript

适用于:OS X Mountain Lion 10.8 及更高版本

影响:使用 osadecompile 反编译 AppleScript 可能会导致任意代码执行

描述:已通过改进输入清理解决验证问题。

CVE-2017-13809:bat0s

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

应用程序防火墙

适用于:OS X Mountain Lion 10.8 及更高版本

影响:以前被拒绝的应用程序防火墙设置可能会在升级后生效。

描述:防火墙设置处理中存在升级问题。已通过改进升级期间防火墙设置的处理解决这个问题。

CVE-2017-7084:一位匿名研究人员

AppSandbox

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够导致服务遭拒

描述:已通过改进内存处理解决多个服务遭拒问题。

CVE-2017-7074:Red Sweater Software 的 Daniel Jalkut

ATS

适用于:OS X Mountain Lion 10.8 及更高版本

影响:处理恶意制作的字体可能会导致进程内存泄露

描述:已通过改进输入验证解决内存损坏问题。

CVE-2017-13820:John Villamil、Doyensec

条目添加于 2017 年 10 月 31 日

音频

适用于:OS X Mountain Lion 10.8 及更高版本

影响:解析恶意制作的 QuickTime 文件可能会导致应用程序意外终止或任意代码执行

描述:已通过改进内存处理解决内存消耗问题。

CVE-2017-13807:奇虎 360 Qex Team 的 Yangkang (@dnpushme)

条目添加于 2017 年 10 月 31 日

强制网络助理

适用于:OS X Mountain Lion 10.8 及更高版本

影响:本地用户可能会不知不觉地通过网络发送未加密的密码

描述:强制门户网站浏览器的安全性状态不明显。已通过改进强制门户网站浏览器的安全性状态的可见性解决这个问题。

CVE-2017-7143:Johns Hopkins University 的 Matthew Green

条目更新于 2017 年 10 月 3 日

CFNetwork

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13829:与 Trend Micro 的 Zero Day Initiative 合作的 Niklas Baumstark 和 Samuel Gro

CVE-2017-13833:与 Trend Micro 的 Zero Day Initiative 合作的 Niklas Baumstark 和 Samuel Gro

条目添加于 2017 年 11 月 10 日

CFNetwork 代理

适用于:OS X Mountain Lion 10.8 及更高版本

影响:拥有特权网络地位的攻击者或许能够导致服务遭拒

描述:已通过改进内存处理解决多个服务遭拒问题。

CVE-2017-7083:Zscaler, Inc. 的 Abhinav Bansal

CFString

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-13821:澳大利亚网络安全中心 – 澳大利亚信号理事会

条目添加于 2017 年 10 月 31 日

CoreAudio

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够读取受限内存

描述:已通过更新至 Opus 版本 1.1.4 解决越界读取问题。

CVE-2017-0381:Trend Micro 的 Mobile Threat Research Team 的 V.E.O (@VYSEa)

CoreText

适用于:OS X Mountain Lion 10.8 及更高版本

影响:处理恶意制作的字体文件可能会导致任意代码执行

描述:已通过改进内存处理解决内存消耗问题。

CVE-2017-13825:澳大利亚网络安全中心 – 澳大利亚信号理事会

条目添加于 2017 年 10 月 31 日

DesktopServices

适用于:OS X Mountain Lion 10.8 及更高版本

影响:本地攻击者或许能够观察未受保护的用户数据

描述:某些个人文件夹文件中存在文件访问权限问题。已通过改进访问限制解决这个问题。

CVE-2017-13851:一位匿名研究人员

条目添加于 2017 年 11 月 2 日

目录实用工具

适用于:OS X Mountain Lion 10.8 及更高版本

影响:本地攻击者或许能够确定电脑所有者的 Apple ID

描述:处理 Apple ID 时存在权限问题。已通过改进访问控制解决这个问题。

CVE-2017-7138:Masaryk University 的 Daniel Kvak

条目更新于 2017 年 10 月 3 日

file

适用于:OS X Mountain Lion 10.8 及更高版本

影响:file 中存在多个问题

说明:已通过更新至版本 5.30 解决多个问题。

CVE-2017-7121:由 OSS-Fuzz 发现

CVE-2017-7122:由 OSS-Fuzz 发现

CVE-2017-7123:由 OSS-Fuzz 发现

CVE-2017-7124:由 OSS-Fuzz 发现

CVE-2017-7125:由 OSS-Fuzz 发现

CVE-2017-7126:由 OSS-Fuzz 发现

file

适用于:OS X Mountain Lion 10.8 及更高版本

影响:file 中存在多个问题

说明:已通过更新至版本 5.31 解决多个问题。

CVE-2017-13815

条目添加于 2017 年 10 月 31 日

字体

适用于:OS X Mountain Lion 10.8 及更高版本

影响:渲染不可信的文本可能会导致欺诈问题

描述:已通过改进状态管理解决用户界面不一致问题。

CVE-2017-13828:Google Chrome 的 Leonard Grey 和 Robert Sesek

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

fsck_msdos

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13811:Trend Micro 的 Mobile Advanced Threat Team 的 V.E.O. (@VYSEa)

条目更新于 2017 年 11 月 2 日

Heimdal

适用于:OS X Mountain Lion 10.8 及更高版本

影响:拥有特权网络地位的攻击者或许能够假冒服务

描述:处理 KDC-REP 服务名称时存在验证问题。已通过改进验证解决这个问题。

CVE-2017-11103:Jeffrey Altman、Viktor Duchovni 和 Nico Williams

HelpViewer

适用于:OS X Mountain Lion 10.8 及更高版本

影响:已隔离的 HTML 文件可能会跨源执行任意 JavaScript

说明:HelpViewer 中存在跨站点脚本处理问题。已通过移除受影响的文件解决这个问题。

CVE-2017-13819:SecuriTeam Secure Disclosure 的 Filippo Cavallarin

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

HFS

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13830:波鸿鲁尔大学的 Sergej Schumilo

条目添加于 2017 年 10 月 31 日

ImageIO

适用于:OS X Mountain Lion 10.8 及更高版本

影响:处理恶意制作的图像可能会导致任意代码执行

描述:已通过改进输入验证解决内存损坏问题。

CVE-2017-13814:澳大利亚网络安全中心 – 澳大利亚信号理事会

条目添加于 2017 年 10 月 31 日

ImageIO

适用于:OS X Mountain Lion 10.8 及更高版本

影响:处理恶意制作的图像可能会导致服务遭拒

说明:处理磁盘映像时存在信息泄漏问题。已通过改进内存管理解决这个问题。

CVE-2017-13831:Glen Carmichael

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

安装器

适用于:OS X Mountain Lion 10.8 及更高版本

影响:恶意应用程序或许能够访问 FileVault 解锁密钥

描述:已通过移除额外授权解决这个问题。

CVE-2017-13837:Synack 的 Patrick Wardle

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

IOFireWireFamily

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-7077:Brandon Azad

IOFireWireFamily

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-7119:Xiaolong Bai、阿里巴巴集团的 Min (Spark) Zheng,以及 PDX 的 Benjamin Gnahm (@mitp0sh)

内核

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-7114:MWR InfoSecurity 的 Alex Plaskett

内核

适用于:OS X Mountain Lion 10.8 及更高版本

影响:本地用户或许能够泄露敏感用户信息

描述:内核数据包计数器存在权限问题。已通过改进权限验证解决这个问题。

CVE-2017-13810:加利福尼亚大学河滨分校的 Zhiyun Qian

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

内核

适用于:OS X Mountain Lion 10.8 及更高版本

影响:本地用户或许能够读取内核内存

描述:存在导致内核内存泄露的越界读取问题。已通过改进输入验证解决这个问题。

CVE-2017-13817:Maxime Villard (m00nbsd)

条目添加于 2017 年 10 月 31 日

内核

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-13818:英国国家网络安全中心 (NCSC)

CVE-2017-13836:一位匿名研究人员、一位匿名研究人员

CVE-2017-13841:一位匿名研究人员

CVE-2017-13840:一位匿名研究人员

CVE-2017-13842:一位匿名研究人员

CVE-2017-13782:Semmle Ltd. 的 Kevin Backhouse

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 14 日

内核

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13843:一位匿名研究人员、一位匿名研究人员

条目添加于 2017 年 10 月 31 日

内核

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13854:奇虎 360 Nirvan Team 的 shrek_wzw

条目添加于 2017 年 11 月 2 日

内核

适用于:OS X Mountain Lion 10.8 及更高版本

影响:处理错误的 mach 二进制可能会导致任意代码执行

描述:已通过改进验证解决内存损坏问题。

CVE-2017-13834:Maxime Villard (m00nbsd)

条目添加于 2017 年 11 月 10 日

kext 工具

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进状态处理解决 kext 载入中的逻辑错误。

CVE-2017-13827:一位匿名研究人员

条目添加于 2017 年 10 月 31 日

libarchive

适用于:OS X Mountain Lion 10.8 及更高版本

影响:解压恶意制作的归档文件可能会导致任意代码执行

描述:已通过改进内存处理解决缓冲区溢出问题。

CVE-2017-13813:由 OSS-Fuzz 发现

CVE-2017-13816:由 OSS-Fuzz 发现

条目添加于 2017 年 10 月 31 日

libarchive

适用于:OS X Mountain Lion 10.8 及更高版本

影响:解压恶意制作的归档文件可能会导致任意代码执行

说明:libarchive 中存在多个内存损坏问题。已通过改进输入验证解决这些问题。

CVE-2017-13812:由 OSS-Fuzz 发现

条目添加于 2017 年 10 月 31 日

libarchive

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2016-4736:一位匿名研究人员

条目添加于 2017 年 10 月 31 日

libc

适用于:OS X Mountain Lion 10.8 及更高版本

影响:远程攻击者或许能够导致服务遭拒

描述:已通过改进算法解决 glob() 中的资源耗尽问题。

CVE-2017-7086:Google 的 Russ Cox

libc

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够导致服务遭拒

描述:已通过改进内存处理解决内存消耗问题。

CVE-2017-1000373

libexpat

适用于:OS X Mountain Lion 10.8 及更高版本

影响:expat 中存在多个问题

描述:已通过更新至版本 2.2.1 解决多个问题

CVE-2016-9063

CVE-2017-9233

邮件

适用于:OS X Mountain Lion 10.8 及更高版本

影响:电子邮件的发件人或许能够确定收件人的 IP 地址

描述:关闭“载入邮件中的远程内容”没有应用到全部邮箱。已通过改进设置传播解决这个问题。

CVE-2017-7141:《纽约时报》的 John Whitehead

条目更新于 2017 年 10 月 3 日

邮件草稿

适用于:OS X Mountain Lion 10.8 及更高版本

影响:拥有特权网络地位的攻击者或许能够拦截邮件内容

描述:处理邮件草稿时存在加密问题。已通过改进应加密发送的邮件草稿的处理解决这个问题。

CVE-2017-7078:Petter Flink、Marseille(法国)的 Pierre ALBARÈDE、一位匿名研究人员

条目更新于 2017 年 10 月 3 日

ntp

适用于:OS X Mountain Lion 10.8 及更高版本

影响:ntp 中存在多个问题

描述:已通过更新至版本 4.2.8p10 解决多个问题

CVE-2017-6451:Cure53 

CVE-2017-6452:Cure53 

CVE-2017-6455:Cure53 

CVE-2017-6458:Cure53 

CVE-2017-6459:Cure53 

CVE-2017-6460:Cure53 

CVE-2017-6462:Cure53 

CVE-2017-6463:Cure53 

CVE-2017-6464:Cure53 

CVE-2016-9042:Cisco 的 Matthew Van Gundy

开放式脚本编写结构

适用于:OS X Mountain Lion 10.8 及更高版本

影响:使用 osadecompile 反编译 AppleScript 可能会导致任意代码执行

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13824:一位匿名研究人员

条目添加于 2017 年 10 月 31 日

PCRE

适用于:OS X Mountain Lion 10.8 及更高版本

影响:pcre 中存在多个问题

说明:已通过更新至版本 8.40 解决多个问题。

CVE-2017-13846

条目添加于 2017 年 10 月 31 日

Postfix

适用于:OS X Mountain Lion 10.8 及更高版本

影响:Postfix 中存在多个问题

描述:已通过更新至版本 3.2.2 解决多个问题。

CVE-2017-13826:一位匿名研究人员

条目添加于 2017 年 10 月 31 日

快速查看

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-13822:澳大利亚网络安全中心 – 澳大利亚信号理事会

条目添加于 2017 年 10 月 31 日

快速查看

适用于:OS X Mountain Lion 10.8 及更高版本

影响:解析恶意制作的 Office 文稿可能会导致应用程序意外终止或任意代码执行

描述:已通过改进内存处理解决内存消耗问题。

CVE-2017-7132:澳大利亚网络安全中心 – 澳大利亚信号理事会

条目添加于 2017 年 10 月 31 日

QuickTime

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-13823:中国科学院软件研究所的 Xiangkun Jia

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

远程管理

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13808:一位匿名研究人员

条目添加于 2017 年 10 月 31 日

沙盒

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13838:Alastair Houghton

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

屏幕锁定

适用于:OS X Mountain Lion 10.8 及更高版本

影响:登录窗口上可能会出现应用程序防火墙提示

描述:已通过改进状态管理解决窗口管理问题。

CVE-2017-7082:Tim Kingman

安全性

适用于:OS X Mountain Lion 10.8 及更高版本

影响:已撤销的证书可能获得信任

描述:处理撤销数据时存在证书验证问题。已通过改进验证解决这个问题。

CVE-2017-7080:adesso mobile solutions gmbh 的 Sven Driemecker、Bærum kommune 的 Rune Darrud (@theflyingcorpse)、一位匿名研究人员、一位匿名研究人员

Spotlight

适用于:OS X Mountain Lion 10.8 及更高版本

影响:Spotlight 可能会显示不属于用户的文件结果

描述:Spotlight 中存在访问问题。已通过改进访问限制解决这个问题。

CVE-2017-13839:Free Robot Collective 的 Ken Harris

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

SQLite

适用于:OS X Mountain Lion 10.8 及更高版本

影响:SQLite 中存在多个问题

描述:已通过更新至版本 3.19.3 解决多个问题。

CVE-2017-10989:由 OSS-Fuzz 发现

CVE-2017-7128:由 OSS-Fuzz 发现

CVE-2017-7129:由 OSS-Fuzz 发现

CVE-2017-7130:由 OSS-Fuzz 发现

SQLite

适用于:OS X Mountain Lion 10.8 及更高版本

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-7127:一位匿名研究人员

zlib

适用于:OS X Mountain Lion 10.8 及更高版本

影响:zlib 中存在多个问题

描述:已通过更新至版本 1.2.11 解决多个问题。

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

其他表彰

安全性

由衷感谢 Zscaler, Inc. 的 Abhinav Bansal 为我们提供的帮助。

NSWindow

由衷感谢 Google Chrome 团队的 Trent Apted 为我们提供的帮助。

WebKit Web 检查器

由衷感谢 Bloggify 的 Ioan Bizău 为我们提供的帮助。

macOS High Sierra 10.13 补充更新

下载新的 macOS High Sierra 10.13 后,即可获得 macOS High Sierra 10.13 补充更新的安全性内容。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: