關於 macOS High Sierra 10.13 的安全性內容

本文說明 macOS High Sierra 10.13 的安全性內容。

關於 Apple 安全性更新

為保障客戶的安全,Apple 在進行調查並提供修補程式或版本之前,不會揭露、討論或確認安全性問題。最新版本列於「Apple 安全性更新」頁面上。

如需安全性的詳細資訊,請參閱 Apple 產品安全性頁面。您可以使用 Apple 產品安全性 PGP 金鑰來加密與 Apple 的通訊。

Apple 安全性文件會盡可能以 CVE-ID 參照安全漏洞。

macOS High Sierra 10.13

2017 年 9 月 25 日發行

802.1X

適用於:OS X Mountain Lion 10.8 和以上版本

影響:攻擊者可能得以利用 TLS 1.0 的弱點

說明:啟用 TLS 1.1 和 TLS 1.2 之後,已解決通訊協定安全性問題。

CVE-2017-13832:佛羅里達州立大學的 Doug Wussler

2017 年 10 月 31 日新增、2017 年 11 月 10 日更新項目

Apache

適用於:OS X Mountain Lion 10.8 和以上版本

影響:Apache 存在多個問題

說明:更新至 2.4.27 版後,已解決多個問題。

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

CVE-2017-3167

CVE-2017-3169

CVE-2017-7659

CVE-2017-7668

CVE-2017-7679

CVE-2017-9788

CVE-2017-9789

2017 年 14 月 31 日新增、2017 年 11 月 14 日更新項目

AppleScript

適用於:OS X Mountain Lion 10.8 和以上版本

影響:使用 osadecompile 反編譯 AppleScript 可能導致執行任意程式碼

說明:改進輸入清理機制後,已解決驗證問題。

CVE-2017-13809:bat0s

2017 年 10 月 31 日新增、2017 年 11 月 10 日更新項目

應用程式防火牆

適用於:OS X Mountain Lion 10.8 和以上版本

影響:先前拒絕的應用程式防火牆設定可能會在升級後生效

說明:處理防火牆設定時,出現升級問題。改進升級時防火牆設定的處理機制後,已解決此問題。

CVE-2017-7084:匿名研究員

AppSandbox

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能得以導致阻斷服務

說明:改進記憶體處理機制後,已解決多個阻斷服務的問題。

CVE-2017-7074:Red Sweater Software 的 Daniel Jalkut

ATS

適用於:OS X Mountain Lion 10.8 和以上版本

影響:處理惡意製作的字體可能導致程序記憶體內容洩漏

說明:改進輸入驗證機制後,已解決記憶體損毀問題。

CVE-2017-13820:John Villamil、Doyensec

2017 年 10 月 31 日新增項目

音訊

適用於:OS X Mountain Lion 10.8 和以上版本

影響:剖析惡意製作的 QuickTime 檔案可能導致應用程式意外終止或執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體耗用問題。

CVE-2017-13807:奇虎 360 Qex Team 的 Yangkang(@dnpushme)

2017 年 10 月 31 日新增項目

Captive Network 輔助程式

適用於:OS X Mountain Lion 10.8 和以上版本

影響:本機使用者可能會在不知情的情況下透過網路傳送未加密的密碼

說明:強制網路門戶網頁瀏覽器的安全狀態不明顯。改進強制網路門戶網頁瀏覽器之安全狀態的能見度後,已解決此問題。

CVE-2017-7143:約翰霍普金斯大學的 Matthew Green

2017 年 10 月 3 日更新項目

CFNetwork

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能以系統權限執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體損毀問題。

CVE-2017-13829:與趨勢科技的 Zero Day Initiative 計劃合作的 Niklas Baumstark 和 Samuel Gro

CVE-2017-13833:與趨勢科技的 Zero Day Initiative 計劃合作的 Niklas Baumstark 和 Samuel Gro

2017 年 11 月 10 日新增項目

CFNetwork 代理伺服器

適用於:OS X Mountain Lion 10.8 和以上版本

影響:具有網路特殊權限的攻擊者可能得以導致阻斷服務

說明:改進記憶體處理機制後,已解決多個阻斷服務的問題。

CVE-2017-7083:Zscaler Inc. 的 Abhinav Bansal

CFString

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能得以讀取受限制的記憶體

說明:改進輸入清理機制後,已解決驗證問題。

CVE-2017-13821:澳洲網路安全中心 – 澳洲國防情報局

2017 年 10 月 31 日新增項目

CoreAudio

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能得以讀取受限制的記憶體

說明:更新至 Opus 1.1.4 版後,已解決超出界限的讀取問題。

CVE-2017-0381:趨勢科技行動威脅研究團隊的 V.E.O(@VYSEa)

CoreText

適用於:OS X Mountain Lion 10.8 和以上版本

影響:處理惡意製作的字體檔案可能導致執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體耗用問題。

CVE-2017-13825:澳洲網路安全中心 – 澳洲國防情報局

2017 年 10 月 31 日新增項目

DesktopServices

適用於:OS X Mountain Lion 10.8 和以上版本

影響:本機攻擊者可能得以觀察未受保護的使用者資料

說明:個人專屬檔案夾的特定檔案出現檔案存取問題。改進存取限制機制後,已解決此問題。

CVE-2017-13851:匿名研究員

2017 年 11 月 2 日新增項目

目錄工具程式

適用於:OS X Mountain Lion 10.8 和以上版本

影響:本機攻擊者可能得以判斷電腦持有人的 Apple ID

說明:處理 Apple ID 時,出現權限問題。改進存取控制機制後,已解決此問題。

CVE-2017-7138:馬薩里克大學的 Daniel Kvak

2017 年 10 月 3 日更新項目

file

適用於:OS X Mountain Lion 10.8 和以上版本

影響:file 存在多個問題

說明:更新至 5.30 版後,已解決多個問題。

CVE-2017-7121:OSS-Fuzz 發現

CVE-2017-7122:OSS-Fuzz 發現

CVE-2017-7123:OSS-Fuzz 發現

CVE-2017-7124:OSS-Fuzz 發現

CVE-2017-7125:OSS-Fuzz 發現

CVE-2017-7126:OSS-Fuzz 發現

file

適用於:OS X Mountain Lion 10.8 和以上版本

影響:file 存在多個問題

說明:更新至 5.31 版後,已解決多個問題。

CVE-2017-13815

2017 年 10 月 31 日新增項目

字體

適用於:OS X Mountain Lion 10.8 和以上版本

影響:轉譯未受信任的文字可能導致詐騙攻擊

說明:改進狀態管理機制後,已解決不一致使用者介面問題。

CVE-2017-13828:Google Chrome 的 Leonard Grey 和 Robert Sesek

2017 年 10 月 31 日新增、2017 年 11 月 10 日更新項目

fsck_msdos

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能以系統權限執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體損毀問題。

CVE-2017-13811:趨勢科技行動進階威脅團隊的 V.E.O.(@VYSEa)

2017 年 11 月 2 日更新項目

Heimdal

適用於:OS X Mountain Lion 10.8 和以上版本

影響:具有網路特殊權限的攻擊者可能得以仿冒服務

說明:處理 KDC-REP 服務名稱時,出現驗證問題。改進驗證機制後,已解決此問題。

CVE-2017-11103:Jeffrey Altman、Viktor Duchovni 和 Nico Williams

輔助說明檢視程式

適用於:OS X Mountain Lion 10.8 和以上版本

影響:隔離的 HTML 檔案可能會跨來源執行任意 JavaScript

說明:「輔助說明檢視程式」出現跨網站指令碼攻擊問題。移除受影響的檔案後,已解決此問題。

CVE-2017-13819:SecuriTeam Secure Disclosure 的 Filippo Cavallarin

2017 年 10 月 31 日新增、2017 年 11 月 10 日更新項目

HFS

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能以系統權限執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體損毀問題。

CVE-2017-13830:Ruhr-University Bochum 的 Sergej Schumilo

2017 年 10 月 31 日新增項目

ImageIO

適用於:OS X Mountain Lion 10.8 和以上版本

影響:處理惡意製作的影像可能導致執行任意程式碼

說明:改進輸入驗證機制後,已解決記憶體損毀問題。

CVE-2017-13814:澳洲網路安全中心 – 澳洲國防情報局

2017 年 10 月 31 日新增項目

ImageIO

適用於:OS X Mountain Lion 10.8 和以上版本

影響:處理惡意製作的影像可能導致阻斷服務

說明:處理磁碟映像檔時,出現資訊外洩問題。改進記憶體管理機制後,已解決此問題。

CVE-2017-13831:Glen Carmichael

2017 年 10 月 31 日新增、2017 年 11 月 10 日更新項目

安裝程式

適用於:OS X Mountain Lion 10.8 和以上版本

影響:惡意應用程式可能得以存取 FileVault 解鎖碼

說明:移除額外的授權後,已解決此問題。

CVE-2017-13837:Synack 的 Patrick Wardle

2017 年 10 月 31 日新增、2017 年 11 月 10 日更新項目

IOFireWireFamily

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能以系統權限執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體損毀問題。

CVE-2017-7077:Brandon Azad

IOFireWireFamily

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能得以讀取受限制的記憶體

說明:改進輸入清理機制後,已解決驗證問題。

CVE-2017-7119:Xiaolong Bai、阿里巴巴集團的 Min(Spark)Zheng、PDX 的 Benjamin Gnahm(@mitp0sh)

核心

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能以核心權限執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體損毀問題。

CVE-2017-7114:MWR InfoSecurity 的 Alex Plaskett

核心

適用於:OS X Mountain Lion 10.8 和以上版本

影響:本機使用者可能得以洩漏敏感的使用者資訊

說明:核心封包計數器出現權限問題。改進權限驗證機制後,已解決此問題。

CVE-2017-13810:加州大學河濱分校的 Zhiyun Qian

2017 年 10 月 31 日新增、2017 年 11 月 10 日更新項目

核心

適用於:OS X Mountain Lion 10.8 和以上版本

影響:本機使用者可能得以讀取核心記憶體

說明:出現超出界限的讀取問題,導致核心記憶體內容洩漏。改進輸入驗證機制後,已解決此問題。

CVE-2017-13817:Maxime Villard(m00nbsd)

2017 年 10 月 31 日新增項目

核心

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能得以讀取受限制的記憶體

說明:改進輸入清理機制後,已解決驗證問題。

CVE-2017-13818:英國國家網路安全中心(NCSC)

CVE-2017-13836:匿名研究員、匿名研究員

CVE-2017-13841:匿名研究員

CVE-2017-13840:匿名研究員

CVE-2017-13842:匿名研究員

CVE-2017-13782:Semmle Ltd. 的 Kevin Backhouse

2017 年 14 月 31 日新增、2017 年 11 月 14 日更新項目

核心

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能以核心權限執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體損毀問題。

CVE-2017-13843:匿名研究員、匿名研究員

2017 年 10 月 31 日新增項目

核心

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能以系統權限執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體損毀問題。

CVE-2017-13854:奇虎 360 Nirvan Team 的 shrek_wzw

2017 年 11 月 2 日新增項目

核心

適用於:OS X Mountain Lion 10.8 和以上版本

影響:處理惡意更改形式的 Mach 二進位檔可能導致執行任意程式碼

說明:改進驗證機制後,已解決記憶體損毀問題。

CVE-2017-13834:Maxime Villard(m00nbsd)

2017 年 11 月 10 日新增項目

kext 工具

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能以系統權限執行任意程式碼

說明:改進狀態處理機制後,已解決邏輯 kext 載入問題。

CVE-2017-13827:匿名研究員

2017 年 10 月 31 日新增項目

libarchive

適用於:OS X Mountain Lion 10.8 和以上版本

影響:解開惡意製作的封存檔可能導致執行任意程式碼

說明:改進記憶體處理機制後,已解決緩衝區溢位問題。

CVE-2017-13813:OSS-Fuzz 發現

CVE-2017-13816:OSS-Fuzz 發現

2017 年 10 月 31 日新增項目

libarchive

適用於:OS X Mountain Lion 10.8 和以上版本

影響:解開惡意製作的封存檔可能導致執行任意程式碼

說明:在 libarchive 中出現多個記憶體損毀問題。改進輸入驗證機制後,已解決這些問題。

CVE-2017-13812:OSS-Fuzz 發現

2017 年 10 月 31 日新增項目

libarchive

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能得以讀取受限制的記憶體

說明:改進輸入清理機制後,已解決驗證問題。

CVE-2016-4736:匿名研究員

2017 年 10 月 31 日新增項目

libc

適用於:OS X Mountain Lion 10.8 和以上版本

影響:遠端攻擊者可能得以導致阻斷服務

說明:改進演算法後,已解決 glob() 中的資源耗盡問題。

CVE-2017-7086:Google 的 Russ Cox

libc

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能得以導致阻斷服務

說明:改進記憶體處理機制後,已解決記憶體耗用問題。

CVE-2017-1000373

libexpat

適用於:OS X Mountain Lion 10.8 和以上版本

影響:expat 存在多個問題

說明:更新至 2.2.1 版後,已解決多個問題

CVE-2016-9063

CVE-2017-9233

郵件

適用於:OS X Mountain Lion 10.8 和以上版本

影響:電子郵件的寄件者可能得以判斷收件者的 IP 位址

說明:關閉「在郵件中載入遠端內容」不會套用至所有信箱。改進設定傳佈機制後,已解決此問題。

CVE-2017-7141:紐約時報的 John Whitehead

2017 年 10 月 3 日更新項目

郵件草稿

適用於:OS X Mountain Lion 10.8 和以上版本

影響:具有網路特殊權限的攻擊者可能得以攔截郵件內容

說明:處理郵件草稿時,出現加密問題。改進要加密傳送之郵件草稿的處理機制後,已解決此問題。

CVE-2017-7078:Petter Flink、來自馬賽(法國)的 Pierre ALBARÈDE、匿名研究員

2017 年 10 月 3 日更新項目

ntp

適用於:OS X Mountain Lion 10.8 和以上版本

影響:ntp 存在多個問題

說明:更新至 4.2.8p10 版後,已解決多個問題

CVE-2017-6451:Cure53

CVE-2017-6452:Cure53

CVE-2017-6455:Cure53

CVE-2017-6458:Cure53

CVE-2017-6459:Cure53

CVE-2017-6460:Cure53

CVE-2017-6462:Cure53

CVE-2017-6463:Cure53

CVE-2017-6464:Cure53

CVE-2016-9042:Cisco 的 Matthew Van Gundy

開放式工序指令架構

適用於:OS X Mountain Lion 10.8 和以上版本

影響:使用 osadecompile 反編譯 AppleScript 可能導致執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體損毀問題。

CVE-2017-13824:匿名研究員

2017 年 10 月 31 日新增項目

PCRE

適用於:OS X Mountain Lion 10.8 和以上版本

影響:pcre 存在多個問題

說明:更新至 8.40 版後,已解決多個問題。

CVE-2017-13846

2017 年 10 月 31 日新增項目

Postfix

適用於:OS X Mountain Lion 10.8 和以上版本

影響:Postfix 存在多個問題

說明:更新至 3.2.2 版後,已解決多個問題。

CVE-2017-13826:匿名研究員

2017 年 10 月 31 日新增項目

快速查看

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能得以讀取受限制的記憶體

說明:改進輸入清理機制後,已解決驗證問題。

CVE-2017-13822:澳洲網路安全中心 – 澳洲國防情報局

2017 年 10 月 31 日新增項目

快速查看

適用於:OS X Mountain Lion 10.8 和以上版本

影響:剖析惡意製作的 Office 文件可能導致應用程式意外終止或執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體耗用問題。

CVE-2017-7132:澳洲網路安全中心 – 澳洲國防情報局

2017 年 10 月 31 日新增項目

QuickTime

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能得以讀取受限制的記憶體

說明:改進輸入清理機制後,已解決驗證問題。

CVE-2017-13823:中國科學院軟件研究所的 Xiangkun Jia

2017 年 10 月 31 日新增、2017 年 11 月 10 日更新項目

遠端管理

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能以系統權限執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體損毀問題。

CVE-2017-13808:匿名研究員

2017 年 10 月 31 日新增項目

沙箱

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能以系統權限執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體損毀問題。

CVE-2017-13838:Alastair Houghton

2017 年 10 月 31 日新增、2017 年 11 月 10 日更新項目

鎖定螢幕

適用於:OS X Mountain Lion 10.8 和以上版本

影響:「應用程式防火牆」提示出現時可能會覆蓋「登入視窗」

說明:改進狀態管理機制後,已解決視窗管理問題。

CVE-2017-7082:Tim Kingman

安全性

適用於:OS X Mountain Lion 10.8 和以上版本

影響:撤銷的憑證可能會受信任

說明:處理撤銷資料時,出現憑證驗證問題。改進驗證機制後,已解決此問題。

CVE-2017-7080:adesso mobile solutions gmbh 的 Sven Driemecker、Bærum kommune 的 Rune Darrud(@theflyingcorpse)、匿名研究員、匿名研究員

Spotlight

適用於:OS X Mountain Lion 10.8 和以上版本

影響:Spotlight 可能會顯示不屬於使用者的檔案結果

說明:Spotlight 出現存取問題。改進存取限制機制後,已解決此問題。

CVE-2017-13839:Free Robot Collective 的 Ken Harris

2017 年 10 月 31 日新增、2017 年 11 月 10 日更新項目

SQLite

適用於:OS X Mountain Lion 10.8 和以上版本

影響:SQLite 存在多個問題

說明:更新至 3.19.3 版後,已解決多個問題。

CVE-2017-10989:OSS-Fuzz 發現

CVE-2017-7128:OSS-Fuzz 發現

CVE-2017-7129:OSS-Fuzz 發現

CVE-2017-7130:OSS-Fuzz 發現

SQLite

適用於:OS X Mountain Lion 10.8 和以上版本

影響:應用程式可能以系統權限執行任意程式碼

說明:改進記憶體處理機制後,已解決記憶體損毀問題。

CVE-2017-7127:匿名研究員

zlib

適用於:OS X Mountain Lion 10.8 和以上版本

影響:zlib 存在多個問題

說明:更新至 1.2.11 版後,已解決多個問題。

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

特別鳴謝

安全性

我們要感謝 Zscaler, Inc. 的 Abhinav Bansal 提供協助。

NSWindow

我們要感謝 Google Chrome 團隊的 Trent Apted 提供協助。

WebKit 網頁檢閱器

我們要感謝 Bloggify 的 Ioan Bizău 提供協助。

macOS High Sierra 10.13 補充更新

新下載的 macOS High Sierra 10.13 包含 macOS High Sierra 10.13 補充更新的安全性內容。

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於協力廠商網站或產品的選擇、效能或使用,概不負責。Apple 對於協力廠商網站的準確性或可靠性不具有任何立場。使用 Internet 本具風險。如需更多資訊,請聯絡廠商。其他公司及產品名稱可能是其各自擁有者的商標。

發佈日期: