关于 macOS High Sierra 10.13 的安全性内容

本文介绍了 macOS High Sierra 10.13 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户，在没有进行调查并推出修补程序或发行版本之前，Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

如果需要了解有关安全性的更多信息，请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。

如果可能，Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

macOS High Sierra 10.13

802.1X

适用于：OS X Mountain Lion 10.8 及更高版本

影响：攻击者或许能够利用 TLS 1.0 中的漏洞

描述：已通过启用 TLS 1.1 和 TLS 1.2 解决协议安全问题。

CVE-2017-13832: Doug Wussler of Florida State University

apache

适用于：OS X Mountain Lion 10.8 及更高版本

影响：Apache 中存在多个问题

描述：Apache 中存在多个问题。已通过将 Apache 更新至版本 2.4.25 解决这些问题。

CVE-2016-0736

CVE-2016-2161

CVE-2016-5387

CVE-2016-8740

CVE-2016-8743

Apple 帐户设置

适用于：OS X Mountain Lion 10.8 及更高版本

影响：本地攻击者或许能够获取对 iCloud 认证令牌的访问权限

描述：储存敏感令牌时存在问题。已通过将令牌置于钥匙串中解决这个问题。

CVE-2017-13909: Andreas Nilsson

AppleScript

适用于：OS X Mountain Lion 10.8 及更高版本

影响：使用 osadecompile 反编译 AppleScript 可能会导致任意代码执行

描述：已通过改进输入清理解决验证问题。

CVE-2017-13809: bat0s

应用程序防火墙

适用于：OS X Mountain Lion 10.8 及更高版本

影响：以前被拒绝的应用程序防火墙设置可能会在升级后生效。

描述：防火墙设置处理中存在升级问题。已通过改进升级期间防火墙设置的处理解决这个问题。

CVE-2017-7084: an anonymous researcher

AppSandbox

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够导致服务遭拒

描述：已通过改进内存处理解决多个服务遭拒问题。

CVE-2017-7074: Daniel Jalkut of Red Sweater Software

ATS

适用于：OS X Mountain Lion 10.8 及更高版本

影响：处理恶意制作的字体可能会导致进程内存泄露

描述：已通过改进输入验证解决内存损坏问题。

CVE-2017-13820: John Villamil, Doyensec

音频

适用于：OS X Mountain Lion 10.8 及更高版本

影响：解析恶意制作的 QuickTime 文件可能会导致应用程序意外终止或任意代码执行

描述：已通过改进内存处理解决内存消耗问题。

CVE-2017-13807: Yangkang (@dnpushme) of Qihoo 360 Qex Team

强制网络助理

适用于：OS X Mountain Lion 10.8 及更高版本

影响：本地用户可能会不知不觉地通过网络发送未加密的密码

描述：强制门户网站浏览器的安全性状态不明显。已通过改进强制门户网站浏览器的安全性状态的可见性解决这个问题。

CVE-2017-7143: Matthew Green of Johns Hopkins University

CFNetwork

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够以系统权限执行任意代码

描述：已通过改进内存处理解决内存损坏问题。

CVE-2017-13829: Niklas Baumstark and Samuel Gro working with Trend Micro's Zero Day Initiative

CVE-2017-13833: Niklas Baumstark and Samuel Gro working with Trend Micro's Zero Day Initiative

CFNetwork 代理

适用于：OS X Mountain Lion 10.8 及更高版本

影响：拥有特权网络地位的攻击者或许能够导致服务遭拒

描述：已通过改进内存处理解决多个服务遭拒问题。

CVE-2017-7083: Abhinav Bansal of Zscaler Inc.

CFString

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够读取受限内存

描述：已通过改进输入清理解决验证问题。

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

CoreAudio

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够读取受限内存

描述：已通过更新至 Opus 版本 1.1.4 解决越界读取问题。

CVE-2017-0381: V.E.O (@VYSEa) of Mobile Threat Research Team, Trend Micro

CoreText

适用于：OS X Mountain Lion 10.8 及更高版本

影响：处理恶意制作的字体文件可能会导致任意代码执行

描述：已通过改进内存处理解决内存消耗问题。

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

CoreTypes

适用于：OS X Mountain Lion 10.8 及更高版本

影响：处理恶意制作的网页可能会导致磁盘映像装载

描述：已通过改进访问限制解决逻辑问题。

CVE-2017-13890: Apple, Theodor Ragnar Gislason of Syndis

DesktopServices

适用于：OS X Mountain Lion 10.8 及更高版本

影响：本地攻击者或许能够观察未受保护的用户数据

描述：某些个人文件夹文件存在文件访问权限问题。已通过改进访问限制解决这个问题。

CVE-2017-13851: Henrique Correa de Amorim

目录实用工具

适用于：OS X Mountain Lion 10.8 及更高版本

影响：本地攻击者或许能够确定电脑所有者的 Apple ID

描述：处理 Apple ID 时存在权限问题。已通过改进访问控制解决这个问题。

CVE-2017-7138: Daniel Kvak of Masaryk University

file

适用于：OS X Mountain Lion 10.8 及更高版本

影响：file 中存在多个问题

说明：已通过更新至版本 5.30 解决多个问题。

CVE-2017-7121: found by OSS-Fuzz

CVE-2017-7122: found by OSS-Fuzz

CVE-2017-7123: found by OSS-Fuzz

CVE-2017-7124: found by OSS-Fuzz

CVE-2017-7125: found by OSS-Fuzz

CVE-2017-7126: found by OSS-Fuzz

file

适用于：OS X Mountain Lion 10.8 及更高版本

影响：file 中存在多个问题

说明：已通过更新至版本 5.31 解决多个问题。

CVE-2017-13815

字体

适用于：OS X Mountain Lion 10.8 及更高版本

影响：渲染不可信的文本可能会导致欺诈问题

描述：已通过改进状态管理解决用户界面不一致问题。

CVE-2017-13828: Leonard Grey and Robert Sesek of Google Chrome

fsck_msdos

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够以系统权限执行任意代码

描述：已通过改进内存处理解决内存损坏问题。

CVE-2017-13811: V.E.O. (@VYSEa) of Mobile Advanced Threat Team of Trend Micro

fsck_msdos

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够以提升的权限执行任意代码

描述：已通过改进内存处理解决内存损坏问题。

CVE-2017-13835: an anonymous researcher

Heimdal

适用于：OS X Mountain Lion 10.8 及更高版本

影响：拥有特权网络地位的攻击者或许能够假冒服务

描述：处理 KDC-REP 服务名称时存在验证问题。已通过改进验证解决这个问题。

CVE-2017-11103: Jeffrey Altman, Viktor Duchovni, and Nico Williams

HelpViewer

适用于：OS X Mountain Lion 10.8 及更高版本

影响：已隔离的 HTML 文件可能会跨源执行任意 JavaScript

说明：HelpViewer 中存在跨站点脚本处理问题。已通过移除受影响的文件解决这个问题。

CVE-2017-13819: Filippo Cavallarin of SecuriTeam Secure Disclosure

HFS

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够以系统权限执行任意代码

描述：已通过改进内存处理解决内存损坏问题。

CVE-2017-13830: Sergej Schumilo of Ruhr-University Bochum

ImageIO

适用于：OS X Mountain Lion 10.8 及更高版本

影响：处理恶意制作的图像可能会导致任意代码执行

描述：已通过改进输入验证解决内存损坏问题。

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

ImageIO

适用于：OS X Mountain Lion 10.8 及更高版本

影响：处理恶意制作的图像可能会导致服务遭拒

描述：已通过改进输入验证解决内存损坏问题。

CVE-2017-13831: Glen Carmichael

安装器

适用于：OS X Mountain Lion 10.8 及更高版本

影响：恶意应用程序或许能够访问文件保险箱解锁密钥

描述：已通过移除额外授权解决这个问题。

CVE-2017-13837: Patrick Wardle of Synack

IOAcceleratorFamily

适用于：OS X Mountain Lion 10.8 及更高版本

影响：恶意应用程序或许能够提升权限

描述：已通过改进内存处理解决内存损坏问题。

CVE-2017-13906

IOFireWireFamily

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够以系统权限执行任意代码

描述：已通过改进内存处理解决内存损坏问题。

CVE-2017-7077: Brandon Azad

IOFireWireFamily

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够读取受限内存

描述：已通过改进输入清理解决验证问题。

CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng of Alibaba Inc., Benjamin Gnahm (@mitp0sh) of PDX

内核

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够以内核权限执行任意代码

描述：已通过改进内存处理解决内存损坏问题。

CVE-2017-7114: Alex Plaskett of MWR InfoSecurity

内核

适用于：OS X Mountain Lion 10.8 及更高版本

影响：本地用户或许能够泄露敏感用户信息

描述：内核数据包计数器存在权限问题。已通过改进权限验证解决这个问题。

CVE-2017-13810: Zhiyun Qian of University of California, Riverside

内核

适用于：OS X Mountain Lion 10.8 及更高版本

影响：本地用户或许能够读取内核内存

描述：存在导致内核内存泄露的越界读取问题。已通过改进输入验证解决这个问题。

CVE-2017-13817: Maxime Villard (m00nbsd)

内核

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够读取受限内存

描述：已通过改进输入清理解决验证问题。

CVE-2017-13818: The UK's National Cyber Security Centre (NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Kevin Backhouse of Semmle Ltd.

内核

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够以内核权限执行任意代码

描述：已通过改进内存处理解决内存损坏问题。

CVE-2017-13843: an anonymous researcher, an anonymous researcher

内核

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够以系统权限执行任意代码

描述：已通过改进内存处理解决内存损坏问题。

CVE-2017-13854: shrek_wzw of Qihoo 360 Nirvan Team

内核

适用于：OS X Mountain Lion 10.8 及更高版本

影响：处理格式错误的 mach 二进制文件可能会导致任意代码执行

描述：已通过改进验证解决内存损坏问题。

CVE-2017-13834: Maxime Villard (m00nbsd)

内核

适用于：OS X Mountain Lion 10.8 及更高版本

影响：恶意应用程序或许能够获知设备上有哪些其他应用程序，以及这些应用程序的运行情况。

描述：应用程序能够在不受限制的情况下，访问由操作系统维护的网络活动信息。已通过减少第三方应用程序可获得的信息解决这个问题。

CVE-2017-13873: Xiaokuan Zhang and Yinqian Zhang of The Ohio State University, Xueqiang Wang and XiaoFeng Wang of Indiana University Bloomington, and Xiaolong Bai of Tsinghua University

kext 工具

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够以系统权限执行任意代码

描述：已通过改进状态处理解决 kext 载入中的逻辑错误。

CVE-2017-13827: an anonymous researcher

libarchive

适用于：OS X Mountain Lion 10.8 及更高版本

影响：解压恶意制作的归档文件可能会导致任意代码执行

描述：已通过改进内存处理解决缓冲区溢出问题。

CVE-2017-13813: found by OSS-Fuzz

CVE-2017-13816: found by OSS-Fuzz

libarchive

适用于：OS X Mountain Lion 10.8 及更高版本

影响：解压恶意制作的归档文件可能会导致任意代码执行

说明：libarchive 中存在多个内存损坏问题。已通过改进输入验证解决这些问题。

CVE-2017-13812: found by OSS-Fuzz

libarchive

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够读取受限内存

描述：已通过改进输入清理解决验证问题。

CVE-2016-4736: an anonymous researcher

libc

适用于：OS X Mountain Lion 10.8 及更高版本

影响：远程攻击者或许能够导致服务遭拒

描述：已通过改进算法解决 glob() 中的资源耗尽问题。

CVE-2017-7086: Russ Cox of Google

libc

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够导致服务遭拒

描述：已通过改进内存处理解决内存消耗问题。

CVE-2017-1000373

libexpat

适用于：OS X Mountain Lion 10.8 及更高版本

影响：expat 中存在多个问题

描述：已通过更新至版本 2.2.1 解决多个问题

CVE-2016-9063

CVE-2017-9233

libxml2

适用于：OS X Mountain Lion 10.8 及更高版本

影响：处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行

描述：已通过改进验证解决空指针取消引用问题。

CVE-2018-4302: Gustavo Grieco

libxml2

适用于：OS X Mountain Lion 10.8 及更高版本

影响：处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行

描述：已通过改进内存处理解决缓冲区溢出问题。

CVE-2017-5130: an anonymous researcher

CVE-2017-7376: an anonymous researcher

libxml2

适用于：OS X Mountain Lion 10.8 及更高版本

影响：处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行

描述：已通过改进输入验证解决内存损坏问题。

CVE-2017-9050: Mateusz Jurczyk (j00ru) of Google Project Zero

libxml2

适用于：OS X Mountain Lion 10.8 及更高版本

影响：处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行

描述：已通过改进内存管理解决“释放后使用”问题。

CVE-2017-9049: Wei Lei and Liu Yang - Nanyang Technological University in Singapore

邮件

适用于：OS X Mountain Lion 10.8 及更高版本

影响：电子邮件的发件人或许能够确定收件人的 IP 地址

描述：关闭“载入邮件中的远程内容”没有应用到全部邮箱。已通过改进设置传播解决这个问题。

CVE-2017-7141: John Whitehead of The New York Times

邮件草稿

适用于：OS X Mountain Lion 10.8 及更高版本

影响：拥有特权网络地位的攻击者或许能够拦截邮件内容

描述：处理邮件草稿时存在加密问题。已通过改进应加密发送的邮件草稿的处理解决这个问题。

CVE-2017-7078: Petter Flink, Pierre ALBARÈDE from Marseille (France), an anonymous researcher

ntp

适用于：OS X Mountain Lion 10.8 及更高版本

影响：ntp 中存在多个问题

描述：已通过更新至版本 4.2.8p10 解决多个问题

CVE-2017-6451: Cure53

CVE-2017-6452: Cure53

CVE-2017-6455: Cure53

CVE-2017-6458: Cure53

CVE-2017-6459: Cure53

CVE-2017-6460: Cure53

CVE-2017-6462: Cure53

CVE-2017-6463: Cure53

CVE-2017-6464: Cure53

CVE-2016-9042: Matthew Van Gundy of Cisco

开放式脚本编写结构

适用于：OS X Mountain Lion 10.8 及更高版本

影响：使用 osadecompile 反编译 AppleScript 可能会导致任意代码执行

描述：已通过改进内存处理解决内存损坏问题。

CVE-2017-13824: an anonymous researcher

PCRE

适用于：OS X Mountain Lion 10.8 及更高版本

影响：pcre 中存在多个问题

说明：已通过更新至版本 8.40 解决多个问题。

CVE-2017-13846

Postfix

适用于：OS X Mountain Lion 10.8 及更高版本

影响：Postfix 中存在多个问题

描述：已通过更新至版本 3.2.2 解决多个问题。

CVE-2017-10140: an anonymous researcher

快速查看

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够读取受限内存

描述：已通过改进输入清理解决验证问题。

CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate

快速查看

适用于：OS X Mountain Lion 10.8 及更高版本

影响：解析恶意制作的 Office 文稿可能会导致应用程序意外终止或任意代码执行

描述：已通过改进内存处理解决内存消耗问题。

CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate

QuickTime

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够读取受限内存

描述：已通过改进输入清理解决验证问题。

CVE-2017-13823: Xiangkun Jia of Institute of Software Chinese Academy of Sciences

远程管理

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够以系统权限执行任意代码

描述：已通过改进内存处理解决内存损坏问题。

CVE-2017-13808: an anonymous researcher

沙盒

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够以系统权限执行任意代码

描述：已通过改进内存处理解决内存损坏问题。

CVE-2017-13838: Alastair Houghton

屏幕锁定

适用于：OS X Mountain Lion 10.8 及更高版本

影响：登录窗口上可能会出现应用程序防火墙提示

描述：已通过改进状态管理解决窗口管理问题。

CVE-2017-7082: Tim Kingman

安全性

适用于：OS X Mountain Lion 10.8 及更高版本

影响：已撤销的证书仍可能获得信任

描述：处理撤销数据时存在证书验证问题。已通过改进验证解决这个问题。

CVE-2017-7080: Sven Driemecker of adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) of Bærum kommune, an anonymous researcher, an anonymous researcher

SMB

适用于：OS X Mountain Lion 10.8 及更高版本

影响：本地攻击者或许能够通过 SMB 共享来执行不可执行的文本文件

描述：已通过改进验证解决处理文件权限时出现的问题。

CVE-2017-13908: an anonymous researcher

聚焦

适用于：OS X Mountain Lion 10.8 及更高版本

影响：“聚焦”可能会显示不属于用户的文件结果

描述：“聚焦”中存在访问问题。已通过改进访问限制解决这个问题。

CVE-2017-13839: Ken Harris of the Free Robot Collective

聚焦

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够访问受限文件

描述：已通过增加对应用程序的沙盒限制解决访问问题。

CVE-2017-13910

SQLite

适用于：OS X Mountain Lion 10.8 及更高版本

影响：SQLite 中存在多个问题

描述：已通过更新至版本 3.19.3 解决多个问题。

CVE-2017-10989: found by OSS-Fuzz

CVE-2017-7128: found by OSS-Fuzz

CVE-2017-7129: found by OSS-Fuzz

CVE-2017-7130: found by OSS-Fuzz

SQLite

适用于：OS X Mountain Lion 10.8 及更高版本

影响：应用程序或许能够以系统权限执行任意代码

描述：已通过改进内存处理解决内存损坏问题。

CVE-2017-7127: an anonymous researcher

zlib

适用于：OS X Mountain Lion 10.8 及更高版本

影响：zlib 中存在多个问题

描述：已通过更新至版本 1.2.11 解决多个问题。

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

其他表彰

邮件

由衷感谢 HackerOne 的 Jon Bottarini 为我们提供的协助。

安全性

由衷感谢 Zscaler, Inc. 的 Abhinav Bansal 为我们提供的帮助。

NSWindow

由衷感谢 Google Chrome 团队的 Trent Apted 为我们提供的帮助。

WebKit 网页检查器

由衷感谢 Bloggify 的 Ioan Bizău 为我们提供的帮助。

macOS High Sierra 10.13 补充更新

下载新的 macOS High Sierra 10.13 后，即可获得 macOS High Sierra 10.13 补充更新的安全性内容。