关于 macOS High Sierra 10.13.1、安全性更新 2017-001 Sierra 和安全性更新 2017-004 El Capitan 的安全性内容

本文介绍了 macOS High Sierra 10.13.1、安全性更新 2017-001 Sierra 和安全性更新 2017-004 El Capitan 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。

如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

macOS High Sierra 10.13.1、安全性更新 2017-001 Sierra 和安全性更新 2017-004 El Capitan

发布于 2017 年 10 月 31 日

apache

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:Apache 中存在多个问题

描述:已通过更新至版本 2.4.27 解决多个问题。

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

条目更新于 2017 年 11 月 14 日

APFS

适用于:macOS High Sierra 10.13

影响:恶意的雷雳转换器或许能够恢复未加密的 APFS 文件系统数据

描述:处理 DMA 时存在问题。已通过限制文件保险箱解密缓冲区 DMA 映射到 I/O 操作时长的时间来解决这个问题。

CVE-2017-13786: Dmytro Oleksiuk

条目更新于 2017 年 11 月 10 日

APFS

适用于:macOS High Sierra 10.13

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13800: Sergej Schumilo of Ruhr-University Bochum

AppleScript

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:使用 osadecompile 反编译 AppleScript 可能会导致任意代码执行

描述:已通过改进输入清理解决验证问题。

CVE-2017-13809: bat0s

条目更新于 2017 年 11 月 10 日

ATS

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:处理恶意制作的字体可能会导致进程内存泄露

描述:已通过改进输入验证解决内存损坏问题。

CVE-2017-13820: John Villamil, Doyensec

音频

适用于:macOS Sierra 10.12.6

影响:解析恶意制作的 QuickTime 文件可能会导致应用程序意外终止或任意代码执行

描述:已通过改进内存处理解决内存消耗问题。

CVE-2017-13807: Yangkang (@dnpushme) of Qihoo 360 Qex Team

CFNetwork

适用于:OS X El Capitan 10.11.6 和 macOS Sierra 10.12.6

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13829: Niklas Baumstark and Samuel Gro working with Trend Micro's Zero Day Initiative 

CVE-2017-13833: Niklas Baumstark and Samuel Gro working with Trend Micro's Zero Day Initiative

条目添加于 2017 年 11 月 10 日

CFString

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

CoreText

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:处理恶意制作的字体文件可能会导致任意代码执行

描述:已通过改进内存处理解决内存消耗问题。

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

curl

适用于:macOS High Sierra 10.13、macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:通过 libcurl 使用 TFTP 上传至恶意制作的 URL 可能会泄漏应用程序内存

描述:已通过改进边界检查解决越界读取问题。

CVE-2017-1000100: Even Rouault, found by OSS-Fuzz

curl

适用于:macOS High Sierra 10.13、macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:通过 libcurl 处理恶意制作的 URL 可能会导致应用程序意外终止或读取进程内存

描述:已通过改进边界检查解决越界读取问题。

CVE-2017-1000101: Brian Carpenter, Yongji Ouyang

“词典”小组件

适用于:macOS High Sierra 10.13、macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:在“词典”小组件中搜索粘贴的文本可能会导致用户信息泄漏

描述:存在验证问题,它会允许访问本地文件。已通过输入清理解决这个问题。

CVE-2017-13801: xisigr of Tencent's Xuanwu Lab (tencent.com)

file

适用于:macOS Sierra 10.12.6

影响:file 中存在多个问题

描述:已通过更新至版本 5.31 解决多个问题。

CVE-2017-13815: found by OSS-Fuzz

条目更新于 2018 年 10 月 18 日

字体

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:渲染不可信的文本可能会导致欺诈问题

描述:已通过改进状态管理解决用户界面不一致问题。

CVE-2017-13828: Leonard Grey and Robert Sesek of Google Chrome

条目更新于 2017 年 11 月 10 日

fsck_msdos

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13811: V.E.O. (@VYSEa) of Mobile Advanced Threat Team of Trend Micro

条目更新于 2017 年 11 月 2 日

HFS

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13830: Sergej Schumilo of Ruhr-University Bochum

Heimdal

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:拥有特权网络地位的攻击者或许能够假冒服务

描述:处理 KDC-REP 服务名称时存在验证问题。已通过改进验证解决这个问题。

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni, and Nico Williams

HelpViewer

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:已隔离的 HTML 文件可能会跨源执行任意 JavaScript

描述:HelpViewer 中存在跨站点脚本处理问题。已通过移除受影响的文件解决这个问题。

CVE-2017-13819: Filippo Cavallarin of SecuriTeam Secure Disclosure

条目更新于 2017 年 11 月 10 日

ImageIO

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:处理恶意制作的图像可能会导致任意代码执行

描述:已通过改进输入验证解决内存损坏问题。

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

ImageIO

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:处理恶意制作的图像可能会导致服务遭拒

描述:处理磁盘映像时存在信息泄漏问题。已通过改进内存管理解决这个问题。

CVE-2017-13831: Glen Carmichael

条目更新于 2017 年 11 月 10 日

IOAcceleratorFamily

适用于:macOS Sierra 10.12.6

影响:恶意应用程序或许能够提升权限

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13906

条目添加于 2018 年 10 月 18 日

内核

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:本地用户或许能够泄露敏感用户信息

描述:内核数据包计数器存在权限问题。已通过改进权限验证解决这个问题。

CVE-2017-13810: Zhiyun Qian of University of California, Riverside

条目更新于 2017 年 11 月 10 日

内核

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:本地用户或许能够读取内核内存

描述:存在导致内核内存泄露的越界读取问题。已通过改进输入验证解决这个问题。

CVE-2017-13817: Maxime Villard (m00nbsd)

内核

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-13818: The UK's National Cyber Security Centre (NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse of Semmle Ltd.

条目更新于 2018 年 6 月 18 日

内核

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13843: an anonymous researcher, an anonymous researcher

内核

适用于:macOS Sierra 10.12.6

影响:处理格式错误的 mach 二进制文件可能会导致任意代码执行

描述:已通过改进验证解决内存损坏问题。

CVE-2017-13834: Maxime Villard (m00nbsd)

内核

适用于:macOS High Sierra 10.13、macOS Sierra 10.12.6

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13799: Lufeng Li of Qihoo 360 Vulcan Team

条目更新于 2017 年 11 月 10 日

内核

适用于:macOS High Sierra 10.13

影响:恶意应用程序或许能够获知设备上有哪些其他应用程序,以及这些应用程序的运行情况。

描述:应用程序能够在没有限制的情况下访问由操作系统维护的进程信息。已通过设置速率限制解决这个问题。

CVE-2017-13852: Xiaokuan Zhang and Yinqian Zhang of The Ohio State University, Xueqiang Wang and XiaoFeng Wang of Indiana University Bloomington, and Xiaolong Bai of Tsinghua University

条目添加于 2017 年 11 月 10 日

libarchive

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:解压恶意制作的归档文件可能会导致任意代码执行

描述:已通过改进内存处理解决缓冲区溢出问题。

CVE-2017-13813: found by OSS-Fuzz

CVE-2017-13816: found by OSS-Fuzz

libarchive

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:解压恶意制作的归档文件可能会导致任意代码执行

描述:libarchive 中存在多个内存损坏问题。已通过改进输入验证解决这些问题。

CVE-2017-13812: found by OSS-Fuzz

libarchive

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2016-4736: Proteas of Qihoo 360 Nirvan Team

条目更新于 2017 年 12 月 21 日

libxml2

适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6

影响:处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行

描述:已通过改进验证解决空指针取消引用问题。

CVE-2017-5969: Gustavo Grieco

条目添加于 2018 年 10 月 18 日

libxml2

适用于:OS X El Capitan 10.11.6

影响:处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行

描述:已通过改进内存处理解决缓冲区溢出问题。

CVE-2017-5130: an anonymous researcher

CVE-2017-7376: an anonymous researcher

条目添加于 2018 年 10 月 18 日

libxml2

适用于:macOS Sierra 10.12.6

影响:处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行

描述:已通过改进输入验证解决内存损坏问题。

CVE-2017-9050: Mateusz Jurczyk (j00ru) of Google Project Zero

条目添加于 2018 年 10 月 18 日

libxml2

适用于:macOS Sierra 10.12.6

影响:处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行

描述:已通过改进内存管理解决“释放后使用”问题。

CVE-2017-9049: Wei Lei and Liu Yang - Nanyang Technological University in Singapore

条目添加于 2018 年 10 月 18 日

登录窗口

适用于:macOS High Sierra 10.13

影响:屏幕锁定可能会意外地保持解锁状态

描述:已通过改进状态验证解决状态管理问题。

CVE-2017-13907: an anonymous researcher

条目添加于 2018 年 10 月 18 日

开放式脚本编写结构

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:使用 osadecompile 反编译 AppleScript 可能会导致任意代码执行

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13824: an anonymous researcher

PCRE

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:pcre 中存在多个问题

描述:已通过更新至版本 8.40 解决多个问题。

CVE-2017-13846

Postfix

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:Postfix 中存在多个问题

描述:已通过更新至版本 3.2.2 解决多个问题。

CVE-2017-10140: an anonymous researcher

条目更新于 2017 年 11 月 17 日

快速查看

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

快速查看

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:解析恶意制作的 Office 文稿可能会导致应用程序意外终止或任意代码执行

描述:已通过改进内存处理解决内存消耗问题。

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

QuickTime

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-13823: Xiangkun Jia of Institute of Software Chinese Academy of Sciences

条目更新于 2017 年 11 月 10 日

远程管理

适用于:macOS Sierra 10.12.6

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13808: an anonymous researcher

沙盒

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13838: Alastair Houghton

条目更新于 2017 年 11 月 10 日

安全性

适用于:macOS High Sierra 10.13、macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进状态管理解决授权问题。

CVE-2017-7170: Patrick Wardle of Synack

条目添加于 2018 年 1 月 11 日

安全性

适用于:macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:恶意应用程序可以提取钥匙串密码

描述:存在可让应用程序通过合成点按绕过钥匙串访问提示的方法。已通过在系统提示访问钥匙串时要求输入用户密码来解决这个问题。

CVE-2017-7150: Patrick Wardle of Synack

条目添加于 2017 年 11 月 17 日

SMB

适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6

影响:本地攻击者或许能够通过 SMB 共享来执行不可执行的文本文件

描述:已通过改进验证解决处理文件权限时出现的问题。

CVE-2017-13908: an anonymous researcher

条目添加于 2018 年 10 月 18 日

StreamingZip

适用于:macOS High Sierra 10.13、macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:恶意 zip 文件或许能够修改文件系统的受限区域

描述:已通过改进验证解决路径处理问题。

CVE-2017-13804: @qwertyoruiopz at KJC Research Intl. S.R.L.

tcpdump

适用于:macOS High Sierra 10.13、macOS Sierra 10.12.6

影响:tcpdump 中存在多个问题

描述:已通过更新至版本 4.9.2 解决多个问题。

CVE-2017-11108

CVE-2017-11541

CVE-2017-11542

CVE-2017-11543

CVE-2017-12893

CVE-2017-12894

CVE-2017-12895

CVE-2017-12896

CVE-2017-12897

CVE-2017-12898

CVE-2017-12899

CVE-2017-12900

CVE-2017-12901

CVE-2017-12902

CVE-2017-12985

CVE-2017-12986

CVE-2017-12987

CVE-2017-12988

CVE-2017-12989

CVE-2017-12990

CVE-2017-12991

CVE-2017-12992

CVE-2017-12993

CVE-2017-12994

CVE-2017-12995

CVE-2017-12996

CVE-2017-12997

CVE-2017-12998

CVE-2017-12999

CVE-2017-13000

CVE-2017-13001

CVE-2017-13002

CVE-2017-13003

CVE-2017-13004

CVE-2017-13005

CVE-2017-13006

CVE-2017-13007

CVE-2017-13008

CVE-2017-13009

CVE-2017-13010

CVE-2017-13011

CVE-2017-13012

CVE-2017-13013

CVE-2017-13014

CVE-2017-13015

CVE-2017-13016

CVE-2017-13017

CVE-2017-13018

CVE-2017-13019

CVE-2017-13020

CVE-2017-13021

CVE-2017-13022

CVE-2017-13023

CVE-2017-13024

CVE-2017-13025

CVE-2017-13026

CVE-2017-13027

CVE-2017-13028

CVE-2017-13029

CVE-2017-13030

CVE-2017-13031

CVE-2017-13032

CVE-2017-13033

CVE-2017-13034

CVE-2017-13035

CVE-2017-13036

CVE-2017-13037

CVE-2017-13038

CVE-2017-13039

CVE-2017-13040

CVE-2017-13041

CVE-2017-13042

CVE-2017-13043

CVE-2017-13044

CVE-2017-13045

CVE-2017-13046

CVE-2017-13047

CVE-2017-13048

CVE-2017-13049

CVE-2017-13050

CVE-2017-13051

CVE-2017-13052

CVE-2017-13053

CVE-2017-13054

CVE-2017-13055

CVE-2017-13687

CVE-2017-13688

CVE-2017-13689

CVE-2017-13690

CVE-2017-13725

Wi-Fi

适用于:macOS High Sierra 10.13、macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:Wi-Fi 覆盖范围内的攻击者可能会在 WPA 单播/PTK 客户端强制重复使用 nonce(密钥重新安装攻击 - KRACK)

描述:处理状态过渡时存在逻辑问题。已通过改进状态管理解决这个问题。

CVE-2017-13077: Mathy Vanhoef of the imec-DistriNet group at KU Leuven

CVE-2017-13078: Mathy Vanhoef of the imec-DistriNet group at KU Leuven

条目更新于 2017 年 11 月 3 日

Wi-Fi

适用于:macOS High Sierra 10.13、macOS Sierra 10.12.6、OS X El Capitan 10.11.6

影响:Wi-Fi 覆盖范围内的攻击者可能会在 WPA 多播/GTK 客户端强制重复使用 nonce(密钥重新安装攻击 - KRACK)

描述:处理状态过渡时存在逻辑问题。已通过改进状态管理解决这个问题。

CVE-2017-13080: Mathy Vanhoef of the imec-DistriNet group at KU Leuven

条目更新于 2017 年 11 月 3 日

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: