Tietoja macOS High Sierra 10.13:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan macOS High Sierra 10.13:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
macOS High Sierra 10.13
802.1X
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Hyökkääjä saattoi hyödyntää TLS 1.0:n heikkouksia.
Kuvaus: Protokollan suojausongelma korjattiin sallimalla TLS 1.1 ja TLS 1.2.
CVE-2017-13832: Doug Wussler (Florida State University)
apache
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Apachessa esiintyi useita ongelmia.
Kuvaus: Apachessa oli useita ongelmia. Ne on ratkaistu päivittämällä Apache versioon 2.4.25.
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
Applen tiliasetukset
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Paikallinen hyökkääjä saattoi päästä käyttämään iCloudin todennustunnuksia.
Kuvaus: Arkaluonteisten tunnusten säilytyksessä esiintyi ongelma. Ongelma on ratkaistu siirtämällä tunnukset avainnippuun.
CVE-2017-13909: Andreas Nilsson
AppleScript
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: AppleScriptin purkaminen osadecompilen kanssa saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2017-13809: bat0s
Ohjelmapalomuuri
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Kuvaus: Aiemmin estetty palomuuriasetus saatettiin ottaa käyttöön päivityksen jälkeen.
Kuvaus: Palomuuriasetusten käsittelyssä oli päivitykseen liittyvä ongelma. Ongelma on ratkaistu parantamalla palomuuriasetusten käsittelyä päivitysten aikana.
CVE-2017-7084: nimetön tutkija
AppSandbox
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.
Kuvaus: Useita palvelunesto-ongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-7074: Daniel Jalkut (Red Sweater Software)
ATS
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-13820: John Villamil, Doyensec
Ääni
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallisen QuickTime-tiedoston jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13807: Yangkang (@dnpushme) (Qihoo 360 Qex Team)
Captive Network Assistant
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Paikallinen käyttäjä saattoi vahingossa lähettää salasanan salaamattomana verkon kautta.
Kuvaus: Suljetun portaalin selaimen suojaustila ei käynyt selkeästi ilmi. Ongelma on ratkaistu parantamalla suljetun portaalin selaimen suojaustilan näkyvyyttä.
CVE-2017-7143: Matthew Green (Johns Hopkins University)
CFNetwork
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13829: Trend Micron Zero Day Initiativen parissa työskentelevät Samuel Gro ja Niklas Baumstark
CVE-2017-13833: Trend Micron Zero Day Initiativen parissa työskentelevät Samuel Gro ja Niklas Baumstark
CFNetwork-välipalvelimet
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Useita palvelunesto-ongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)
CFString
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2017-13821: Australian Cyber Security Centre (Australian Signals Directorate)
CoreAudio
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä lukemaan rajattua muistia.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin päivittämällä Opus versioon 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) (Mobile Threat Research Team, Trend Micro)
CoreText
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13825: Australian Cyber Security Centre (Australian Signals Directorate)
CoreTypes
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallisen verkkosivun käsittely saattoi aiheuttaa levytiedoston käyttöönoton.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2017-13890: Apple, Theodor Ragnar Gislason (Syndis)
DesktopServices
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Paikallinen hyökkääjä saattoi tarkastella suojaamattomia käyttäjätietoja.
Kuvaus: Tietyissä kotikansion tiedostoissa esiintyi niiden käyttöön liittyvä ongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.
CVE-2017-13851: Henrique Correa de Amorim
Hakemistotyökalu
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Paikallinen hyökkääjä saattoi voida selvittää tietokoneen omistajan Apple ID:n.
Kuvaus: Apple ID:n käsittelyssä oli lupaongelma. Ongelma on ratkaistu parantamalla käytönvalvontaa.
CVE-2017-7138: Daniel Kvak (Masaryk University)
file
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: filessa esiintyi useita ongelmia.
Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 5.30.
CVE-2017-7121: ongelman havaitsi OSS-Fuzz
CVE-2017-7122: ongelman havaitsi OSS-Fuzz
CVE-2017-7123: ongelman havaitsi OSS-Fuzz
CVE-2017-7124: ongelman havaitsi OSS-Fuzz
CVE-2017-7125: ongelman havaitsi OSS-Fuzz
CVE-2017-7126: ongelman havaitsi OSS-Fuzz
file
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: filessa esiintyi useita ongelmia.
Kuvaus: Ongelmat ratkaistiin päivittämällä versioon 5.31.
CVE-2017-13815
Fontit
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ei-luotetun tekstin hahmontaminen saattoi johtaa väärentämiseen.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2017-13828: Leonard Grey ja Robert Sesek (Google Chrome)
fsck_msdos
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13811: V.E.O. (@VYSEa) (Trend Micron Mobile Advanced Threat Team)
fsck_msdos
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia laajennetuilla käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13835: nimetön tutkija
Heimdal
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä tekeytymään palveluksi.
Kuvaus: KDC-REP-palvelun nimen käsittelyssä oli validointiin liittyvä ongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni ja Nico Williams
Ohjeselain
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Karanteenitiedosto saattoi suorittaa mielivaltaista eri alkuperiä sisältävää JavaScriptiä.
Kuvaus: Ohjeselaimessa esiintyi verkostonlaajuinen komentosarjaongelma. Ongelma on ratkaistu poistamalla ongelmallinen tiedosto.
CVE-2017-13819: Filippo Cavallarin (SecuriTeam Secure Disclosure)
HFS
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13830: Sergej Schumilo (Ruhr-Universität Bochum)
ImageIO
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-13814: Australian Cyber Security Centre (Australian Signals Directorate)
ImageIO
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-13831: Glen Carmichael
Asentaja
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallinen ohjelma saattoi käyttää FileVaultin lukituksen avaamiseen käytettävää avainta.
Kuvaus: Ongelma on ratkaistu poistamalla lisäoikeudet.
CVE-2017-13837: Patrick Wardle (Synack)
IOAcceleratorFamily
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13906
IOFireWireFamily
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-7077: Brandon Azad
IOFireWireFamily
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng (Alibaba Inc.), Benjamin Gnahm (@mitp0sh) (PDX)
Kernel
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)
Kernel
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Paikallinen käyttäjä saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.
Kuvaus: kernelin pakettilaskureissa esiintyi käyttöoikeusongelma. Ongelma on ratkaistu parantamalla käyttöoikeuden tarkistamista.
CVE-2017-13810: Zhiyun Qian (University of California, Riverside)
Kernel
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-13817: Maxime Villard (m00nbsd)
Kernel
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2017-13818: Ison-Britannian National Cyber Security Centre (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Kevin Backhouse (Semmle Ltd.)
Kernel
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13843: nimetön tutkija, nimetön tutkija
Kernel
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13854: shrek_wzw (Qihoo 360 Nirvan Team)
Kernel
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Vääränmuotoisen mach-binäärin käsittely saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla vahvistamista.
CVE-2017-13834: Maxime Villard (m00nbsd)
Kernel
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haittaohjelma saattoi saada tietoja laitteen muiden ohjelmien olemassaolosta ja toiminnasta.
Kuvaus: Ohjelma pystyi käyttämään rajoituksetta käyttöjärjestelmän ylläpitämiä verkon aktiivisuustietoja. Ongelma on ratkaistu rajoittamalla muun valmistajan ohjelmien tietojen käyttöä.
CVE-2017-13873: Xiaokuan Zhang ja Yinqian Zhang (Ohio State University), Xueqiang Wang ja XiaoFeng Wang (Indiana University Bloomington) sekä Xiaolong Bai (Tsinghua University)
kext tools
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: kextin lataamisessa esiintynyt logiikkaongelma on ratkaistu parantamalla tilankäsittelyä.
CVE-2017-13827: nimetön tutkija
libarchive
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13813: ongelman havaitsi OSS-Fuzz
CVE-2017-13816: ongelman havaitsi OSS-Fuzz
libarchive
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: libarchivessa oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla annettujen tietojen tarkistamista.
CVE-2017-13812: ongelman havaitsi OSS-Fuzz
libarchive
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2016-4736: nimetön tutkija
libc
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Resurssien riittävyyteen liittyvä ongelma glob():ssa on ratkaistu parannetulla algoritmilla.
CVE-2017-7086: Russ Cox (Google)
libc
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-1000373
libexpat
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: expatissa esiintyi useita ongelmia.
Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 2.2.1.
CVE-2016-9063
CVE-2017-9233
libxml2
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallisen XML:n käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla tarkistusta.
CVE-2018-4302: Gustavo Grieco
libxml2
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallisen XML:n käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-5130: nimetön tutkija
CVE-2017-7376: nimetön tutkija
libxml2
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallisen XML:n käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-9050: Mateusz Jurczyk (j00ru) (Google Project Zero)
libxml2
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallisen XML:n käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-9049: Wei Lei ja Liu Yang (Nanyang Technological University, Singapore)
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Sähköpostin lähettäjä saattoi saada selville lähettäjän IP-osoitteen.
Kuvaus: ”Lataa viesteissä oleva etäsisältö” -toiminnon poistaminen käytöstä ei koskenut kaikkia postilaatikoita. Ongelma on ratkaistu parantamalla asetusten levittämistä.
CVE-2017-7141: John Whitehead (The New York Times)
Viestiluonnokset
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi saada haltuunsa viestisisältöä.
Kuvaus: Viestiluonnosten käsittelyssä oli salausongelma. Ongelma on ratkaistu parantamalla salattavaksi tarkoitettujen viestiluonnosten käsittelyä.
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE (Marseille, Ranska), nimetön tutkija
ntp
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: ntp:ssä esiintyi useita ongelmia.
Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 4.2.8p10.
CVE-2017-6451: Cure53
CVE-2017-6452: Cure53
CVE-2017-6455: Cure53
CVE-2017-6458: Cure53
CVE-2017-6459: Cure53
CVE-2017-6460: Cure53
CVE-2017-6462: Cure53
CVE-2017-6463: Cure53
CVE-2017-6464: Cure53
CVE-2016-9042: Matthew Van Gundy (Cisco)
Open Scripting Architecture
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: AppleScriptin purkaminen osadecompilen kanssa saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13824: nimetön tutkija
PCRE
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: pcre:ssä esiintyi useita ongelmia.
Kuvaus: Ongelmat ratkaistiin päivittämällä versioon 8.40.
CVE-2017-13846
Postfix
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Postfixissa esiintyi useita ongelmia.
Kuvaus: Ongelmat ratkaistiin päivittämällä versioon 3.2.2.
CVE-2017-10140: nimetön tutkija
Pikakatselu
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2017-13822: Australian Cyber Security Centre (Australian Signals Directorate)
Pikakatselu
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Haitallisen Office-dokumentin jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-7132: Australian Cyber Security Centre (Australian Signals Directorate)
QuickTime
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2017-13823: Xiangkun Jia (Institute of Software, Chinese Academy of Sciences)
Etähallinta
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13808: nimetön tutkija
Eristys
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13838: Alastair Houghton
Näytön lukitus
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Kirjautumisikkunassa saattoi näkyä ohjelmapalomuurin kehotteita.
Kuvaus: Ikkunoidenhallintaan liittyvä ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2017-7082: Tim Kingman
Suojaus
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Mitätöity varmenne saattoi olla luotettu.
Kuvaus: Mitätöintitietojen käsittelyssä oli varmenteen validointiongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2017-7080: Sven Driemecker (adesso mobile solutions gmbh), Rune Darrud (@theflyingcorpse) (Bærum kommune), nimetön tutkija, nimetön tutkija
SMB
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Paikallinen hyökkääjä saattoi pystyä suorittamaan ei-suoritettavia tekstitiedostoja jaetun SMB-resurssin kautta.
Kuvaus: Tiedostojen käyttöoikeuksiin liittyvä käsittelyongelma ratkaistiin parantamalla validointia.
CVE-2017-13908: nimetön tutkija
Spotlight
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Spotlight saattoi näyttää tuloksia tiedostoista, jotka eivät kuulu käyttäjälle.
Kuvaus: Spotlightissa esiintyi käyttöoikeusongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.
CVE-2017-13839: Ken Harris (Free Robot Collective)
Spotlight
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Appi saattoi käyttää rajoitettuja tiedostoja.
Kuvaus: Käyttöongelma on ratkaistu lisäämällä sovellusten eristysrajoituksia.
CVE-2017-13910
SQLite
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: SQLitessa esiintyi useita ongelmia.
Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 3.19.3.
CVE-2017-10989: ongelman havaitsi OSS-Fuzz
CVE-2017-7128: ongelman havaitsi OSS-Fuzz
CVE-2017-7129: ongelman havaitsi OSS-Fuzz
CVE-2017-7130: ongelman havaitsi OSS-Fuzz
SQLite
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-7127: nimetön tutkija
zlib
Saatavuus: OS X Mountain Lion 10.8 ja uudemmat versiot
Vaikutus: zlibissä esiintyi useita ongelmia.
Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Kiitokset
Haluamme kiittää Jon Bottarinia (HackerOne) hänen avustaan.
Suojaus
Haluamme kiittää Abhinav Bansalia (Zscaler, Inc.) hänen avustaan.
NSWindow
Haluamme kiittää Trent Aptedia (Google Chrome -tiimi) hänen avustaan.
WebKit-verkkoinspektori
Haluamme kiittää Ioan Bizăuta (Bloggify) hänen avustaan.
macOS High Sierra 10.13:n lisäpäivitys
macOS High Sierra 10.13:n uudet lataukset sisältävät macOS High Sierra 10.13:n lisäpäivityksen turvallisuussisällön.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.