Informace o bezpečnostním obsahu macOS High Sierra 10.13
Tento dokument popisuje bezpečnostní obsah macOS High Sierra 10.13.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
macOS High Sierra 10.13
802.1X
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Útočníkovi se může podařit zneužít slabiny v TLS 1.0.
Popis: Problém se zabezpečením protokolu byl vyřešen zapnutím TLS 1.1 a TLS 1.2.
CVE-2017-13832: Doug Wussler z Floridské státní univerzity
apache
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Několik problémů v softwaru Apache.
Popis: V softwaru Apache existovalo několik problémů. Ty byly vyřešeny aktualizací softwaru Apache na verzi 2.4.25.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
Nastavení účtu Apple
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Místní útočník může získat přístup k autorizačním tokenům iCloudu
Popis: Existoval problém v ukládání citlivých tokenů. Tento problém byl vyřešen umístěním tokenů do Klíčenky.
CVE-2017-13909: Andreas Nilsson
AppleScript
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Dekompilace AppleScriptu příkazem osadecompile může vést ke spuštění libovolného kódu.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2017-13809: bat0s
Aplikační firewall
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Dříve vypnuté pravidlo aplikačního firewallu se po upgradu může znova zapnout.
Popis: Při upgradu docházelo k problému se zpracováváním nastavení firewallu. Problém byl vyřešen lepším zpracováváním nastavení firewallu během upgradu.
CVE-2017-7084: anonymní výzkumník
Aplikační sandbox
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit způsobit odmítnutí služby.
Popis: Několik problémů s odmítnutím služeb bylo vyřešeno vylepšením správy paměti.
CVE-2017-7074: Daniel Jalkut ze společnosti Red Sweater Software
ATS
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-13820: John Villamil, Doyensec
Zvuk
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Parsování škodlivého souboru QuickTime může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.
CVE-2017-13807: Yangkang (@dnpushme) z týmu Qihoo 360 Qex
Asistent pro kaptivní sítě
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Místní uživatel může přes síť nevědomky posílat nezašifrované heslo.
Popis: V prohlížeči kaptivních portálů nebylo jasné, jaký je stav zabezpečení. Problém byl vyřešen jasnějším označením stavu zabezpečení v prohlížeči kaptivních portálů.
CVE-2017-7143: Matthew Green z Univerzity Johnse Hopkinse
CFNetwork
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-13829: Niklas Baumstark a Samuel Gro ve spolupráci se Zero Day Initiative společnosti Trend Micro
CVE-2017-13833: Niklas Baumstark a Samuel Gro ve spolupráci se Zero Day Initiative společnosti Trend Micro
Proxy servery frameworku CFNetwork
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit způsobit odmítnutí služby.
Popis: Několik problémů s odmítnutím služeb bylo vyřešeno vylepšením správy paměti.
CVE-2017-7083: Abhinav Bansal ze společnosti Zscaler Inc.
CFString
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
CoreAudio
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém se čtením mimo rozsah byl vyřešen aktualizováním Opusu na verzi 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) z týmu Mobile Threat Research společnosti Trend Micro
CoreText
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.
Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
CoreTypes
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Zpracování škodlivé webové stránky může vést k připojení obrazu disku.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2017-13890: Apple, Theodor Ragnar Gislason ze společnosti Syndis
DesktopServices
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Místnímu útočníkovi se může podařit pozorovat nechráněná uživatelská data.
Popis: U některých souborů v domovské složce existoval problém s přístupem k souborům. Problém byl vyřešen vylepšením přístupových omezení.
CVE-2017-13851: Henrique Correa de Amorim
Adresářová utilita
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Místnímu útočníkovi se může podařit zjistit Apple ID majitele počítače.
Popis: Ve zpracovávání Apple ID existoval problém s oprávněními. Problém byl vyřešen vylepšením kontroly přístupu.
CVE-2017-7138: Daniel Kvak z Masarykovy univerzity
file
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Několik problémů v součásti file.
Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 5.30.
CVE-2017-7121: nalezeno programem OSS-Fuzz
CVE-2017-7122: nalezeno programem OSS-Fuzz
CVE-2017-7123: nalezeno programem OSS-Fuzz
CVE-2017-7124: nalezeno programem OSS-Fuzz
CVE-2017-7125: nalezeno programem OSS-Fuzz
CVE-2017-7126: nalezeno programem OSS-Fuzz
file
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Několik problémů v součásti file.
Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 5.31.
CVE-2017-13815
Písma
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Vykreslení nedůvěryhodného textu může vést k falšování.
Popis: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu.
CVE-2017-13828: Leonard Grey a Robert Sesek z týmu Google Chrome
fsck_msdos
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-13811: V.E.O. (@VYSEa) z týmu Mobile Advanced Threat společnosti Trend Micro
fsck_msdos
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s navýšenými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-13835: anonymní výzkumník
Heimdal
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit vydávat se za službu.
Popis: Ve zpracovávání názvů služby KDC-REP existoval problém s ověřováním. Problém byl vyřešen vylepšením ověřování.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni a Nico Williams
Průvodce
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: HTML soubor v karanténě může spouštět libovolný JavaScript napříč původy.
Popis: V Průvodci existoval problém se skriptováním napříč weby. Problém byl vyřešen odebráním problémového souboru.
CVE-2017-13819: Filippo Cavallarin z týmu SecuriTeam Secure Disclosure
HFS
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-13830: Sergej Schumilo z Ruhr-Universität Bochum
ImageIO
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
ImageIO
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služeb.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-13831: Glen Carmichael
Instalátor
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Škodlivá aplikace může získat přístup ke klíči pro odemčení FileVaultu.
Popis: Problém byl vyřešen odebráním dodatečných oprávnění.
CVE-2017-13837: Patrick Wardle ze společnosti Synack
IOAcceleratorFamily
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Škodlivá aplikace si může navýšit oprávnění.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-13906
IOFireWireFamily
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7077: Brandon Azad
IOFireWireFamily
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng ze společnosti Alibaba Inc., Benjamin Gnahm (@mitp0sh) z týmu PDX
Jádro
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7114: Alex Plaskett ze společnosti MWR InfoSecurity
Jádro
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Místnímu uživateli se může podařit odhalit citlivá uživatelská data.
Popis: V počítadlech paketů jádra existoval problém s oprávněními. Problém byl vyřešen lepším ověřováním oprávnění.
CVE-2017-13810: Zhiyun Qian z Kalifornské univerzity, Riverside
Jádro
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Místnímu uživateli se může podařit číst paměť jádra.
Popis: Existoval problém se čtením mimo rozsah, který vedl k odhalení paměti jádra. Problém byl vyřešen vylepšením ověřování vstupů.
CVE-2017-13817: Maxime Villard (m00nbsd)
Jádro
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2017-13818: Národní centrum Spojeného království pro kyberbezpečnost (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Kevin Backhouse ze společnosti Semmle Ltd.
Jádro
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-13843: anonymní výzkumník a anonymní výzkumník
Jádro
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-13854: shrek_wzw z týmu Qihoo 360 Nirvan
Jádro
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Zpracování škodlivého binárního souboru mach může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.
CVE-2017-13834: Maxime Villard (m00nbsd)
Jádro
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Škodlivé aplikaci se může podařit zjistit informace o přítomnosti a fungování ostatních aplikací v zařízení.
Popis: Aplikace mohla neomezeně přistupovat k informacím o síťových aktivitách spravovaných operačním systémem. Problém byl vyřešen omezením informací, které jsou dostupné aplikacím jiných vývojářů.
CVE-2017-13873: Xiaokuan Zhang a Yinqian Zhang z Ohijské státní univerzity, Xueqiang Wang a XiaoFeng Wang z Bloomingtonské univerzity v Indianě a Xiaolong Bai z univerzity Tsinghua
Nástroje kext
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s logickou chybou při načítání nástrojů kext byl vyřešen lepším zpracováváním stavů.
CVE-2017-13827: anonymní výzkumník
libarchive
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Rozbalení škodlivého archivu může vést ke spuštění libovolného kódu.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.
CVE-2017-13813: nalezeno programem OSS-Fuzz
CVE-2017-13816: nalezeno programem OSS-Fuzz
libarchive
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Rozbalení škodlivého archivu může vést ke spuštění libovolného kódu.
Popis: V knihovně libarchive existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny vylepšením ověřování vstupů.
CVE-2017-13812: nalezeno programem OSS-Fuzz
libarchive
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2016-4736: anonymní výzkumník
libc
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.
Popis: Problém s vyčerpáním zdrojů v součásti glob() byl vyřešen vylepšením algoritmu.
CVE-2017-7086: Russ Cox ze společnosti Google
libc
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit způsobit odmítnutí služby.
Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.
CVE-2017-1000373
libexpat
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Několik problémů v součásti expat.
Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 2.2.1.
CVE-2016-9063
CVE-2017-9233
libxml2
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Zpracování škodlivého souboru XML může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Přístup přes nulový ukazatel byl vyřešen vylepšením ověřování.
CVE-2018-4302: Gustavo Grieco
libxml2
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Zpracování škodlivého souboru XML může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.
CVE-2017-5130: anonymní výzkumník
CVE-2017-7376: anonymní výzkumník
libxml2
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Zpracování škodlivého souboru XML může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2017-9050: Mateusz Jurczyk (j00ru) z týmu Google Project Zero
libxml2
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Zpracování škodlivého souboru XML může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2017-9049: Wei Lei a Liu Yang z Technologické univerzity Nanyang v Singapuru
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Odesílateli e-mailu se může podařit zjistit IP adresu příjemce.
Popis: Vypnutí volby „Načítat vzdálený obsah zpráv“ se neprojevovalo ve všech schránkách. Problém byl vyřešen důslednějším uplatňováním nastavení.
CVE-2017-7141: John Whitehead z The New York Times
Koncepty v Mailu
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit zachytit obsah e-mailů.
Popis: Ve zpracovávání konceptů e-mailů existoval problém se šifrováním. Problém byl vyřešen lepším zpracováváním konceptů e-mailů, které se mají posílat zašifrované.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE z Marseille (Francie), anonymní výzkumník
ntp
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Několik problémů v součásti ntp.
Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 4.2.8p10.
CVE-2017-6451: Cure53
CVE-2017-6452: Cure53
CVE-2017-6455: Cure53
CVE-2017-6458: Cure53
CVE-2017-6459: Cure53
CVE-2017-6460: Cure53
CVE-2017-6462: Cure53
CVE-2017-6463: Cure53
CVE-2017-6464: Cure53
CVE-2016-9042: Matthew Van Gundy ze společnosti Cisco
Open Scripting Architecture
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Dekompilace AppleScriptu příkazem osadecompile může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-13824: anonymní výzkumník
PCRE
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Několik problémů v knihovně PCRE.
Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 8.40.
CVE-2017-13846
Postfix
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Několik problémů v součásti Postfix.
Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 3.2.2.
CVE-2017-10140: anonymní výzkumník
Rychlý náhled
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
Rychlý náhled
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Parsování škodlivého dokumentu Office může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
QuickTime
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2017-13823: Xiangkun Jia ze Softwarového institutu Čínské akademie věd
Vzdálená správa
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-13808: anonymní výzkumník
Sandbox
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-13838: Alastair Houghton
Zámek obrazovky
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Výzvy aplikačního firewallu se můžou zobrazovat přes přihlašovací okno.
Popis: Problém se správou oken byl vyřešen vylepšením správy stavu.
CVE-2017-7082: Tim Kingman
Zabezpečení
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Může se stát, že systém bude důvěřovat odvolanému certifikátu.
Popis: Ve zpracovávání dat o odvolaných certifikátech existoval problém s ověřováním certifikátů. Problém byl vyřešen vylepšením ověřování.
CVE-2017-7080: Sven Driemecker ze společnosti adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) z obce Bærum, anonymní výzkumník, anonymní výzkumník
SMB
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Místní útočník může být schopen spustit nespustitelné textové soubory přes sdílenou složku SMB
Popis: Problém ve zpracování oprávnění k souborům byl vyřešen zlepšením ověřování.
CVE-2017-13908: anonymní výzkumník
Spotlight
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Spotlight může ve výsledcích zobrazovat soubory patřící jiným uživatelům.
Popis: Ve Spotlightu existoval problém s přístupem. Problém byl vyřešen vylepšením přístupových omezení.
CVE-2017-13839: Ken Harris ze společnosti Free Robot Collective
Spotlight
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit získat přístup k omezeným souborům.
Popis: Problém s přístupem byl vyřešen přidáním dalších sandboxových omezení aplikací.
CVE-2017-13910
SQLite
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Několik problémů v SQLite.
Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 3.19.3.
CVE-2017-10989: nalezeno programem OSS-Fuzz
CVE-2017-7128: nalezeno programem OSS-Fuzz
CVE-2017-7129: nalezeno programem OSS-Fuzz
CVE-2017-7130: nalezeno programem OSS-Fuzz
SQLite
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2017-7127: anonymní výzkumník
zlib
K dispozici pro: OS X Mountain Lion 10.8 a novější
Dopad: Několik problémů v součásti zlib.
Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Další poděkování
Poděkování za pomoc zaslouží Jon Bottarini z týmu HackerOne.
Zabezpečení
Poděkování za pomoc zaslouží Abhinav Bansal ze společnosti Zscaler.
NSWindow
Poděkování za pomoc si zaslouží Trent Apted z týmu Google Chrome.
WebKit Web Inspector
Poděkování za pomoc zaslouží Ioan Bizău z Bloggify.
Doplňková aktualizace macOS High Sierra 10.13
Nová stahování macOS High Sierra 10.13 obsahují bezpečnostní obsah Doplňkové aktualizace macOS High Sierra 10.13.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.