เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS High Sierra 10.13
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
macOS High Sierra 10.13
802.1X
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ผู้โจมตีอาจสามารถใช้จุดอ่อนใน TLS 1.0 ได้
คำอธิบาย: ปัญหาความปลอดภัยของโปรโตคอลได้รับการแก้ไขแล้วโดยการเปิดใช้งาน TLS 1.1 และ TLS 1.2
CVE-2017-13832: Doug Wussler จาก Florida State University
apache
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: มีปัญหาจำนวนมากใน Apache
คำอธิบาย: มีปัญหาจำนวนมากใน Apache ปัญหาเหล่านี้ได้รับการแก้ไขแล้วโดยการอัพเดท Apache ให้เป็นเวอร์ชั่น 2.4.25
CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
การตั้งค่าบัญชี Apple
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ผู้โจมตีในระบบอาจได้รับสิทธิ์การเข้าถึงโทเค็นการรับรองความถูกต้องของ iCloud
คำอธิบาย: มีปัญหาในการจัดเก็บโทเค็นสำคัญ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการวางโทเค็นในพวงกุญแจ
CVE-2017-13909: Andreas Nilsson
AppleScript
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การแยก AppleScript ที่มี Osadecompile อาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-13809: bat0s
แอพพลิเคชั่นไฟร์วอลล์
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การตั้งค่าไฟร์วอลล์แอพพลิเคชั่นที่ถูกปฏิเสธไปก่อนหน้านี้อาจมีผลหลังจากการอัพเกรด
คำอธิบาย: มีปัญหาการอัพเกรดในการจัดการการตั้งค่าไฟร์วอลล์ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการการตั้งค่าไฟร์วอลล์ให้ดียิ่งขึ้นในระหว่างการอัพเกรด
CVE-2017-7084: นักวิจัยนิรนาม
AppSandbox
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหาการปฏิเสธการให้บริการหลายปัญหาได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7074: Daniel Jalkut จาก Red Sweater Software
ATS
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-13820: John Villamil, Doyensec
เสียง
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การแยกวิเคราะห์ไฟล์ QuickTime ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13807: Yangkang (@dnpushme) จาก Qihoo 360 Qex Team
ผู้ช่วยเครือข่ายแบบ Captive
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจส่งรหัสผ่านที่ไม่ได้เข้ารหัสไว้ผ่านเครือข่ายโดยไม่ทราบ
คำอธิบาย: สถานะความปลอดภัยของเบราเซอร์แบบ Captive Portal ไม่ชัดเจน ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการแสดงสถานะความปลอดภัยของเบราเซอร์แบบ Captive Portal ให้ดียิ่งขึ้น
CVE-2017-7143: Matthew Green จาก Johns Hopkins University
CFNetwork
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13829: Niklas Baumstark และ Samuel Gro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2017-13833: Niklas Baumstark และ Samuel Gro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CFNetwork Proxies
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหาการปฏิเสธการให้บริการหลายปัญหาได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7083: Abhinav Bansal จาก Zscaler Inc.
CFString
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
CoreAudio
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วโดยการอัพเดทเป็น Opus เวอร์ชั่น 1.1.4
CVE-2017-0381: V.E.O (@VYSEa) จาก Mobile Threat Research Team, Trend Micro
CoreText
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
CoreTypes
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การประมวลผลหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการต่อเชื่อมดิสก์อิมเมจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2017-13890: Apple, Theodor Ragnar Gislason จาก Syndis
DesktopServices
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ผู้โจมตีเฉพาะอาจสามารถดูข้อมูลผู้ใช้ที่ไม่มีการป้องกันได้
คำอธิบาย: มีปัญหาการเข้าถึงไฟล์ในไฟล์โฟลเดอร์เริ่มต้นบางไฟล์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น
CVE-2017-13851: Henrique Correa de Amorim
ยูทิลิตี้ไดเรกทอรี
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ผู้โจมตีเฉพาะอาจสามารถระบุ Apple ID ของเจ้าของคอมพิวเตอร์ได้
คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการ Apple ID ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการควบคุมการเข้าถึงให้ดียิ่งขึ้น
CVE-2017-7138: Daniel Kvak จาก Masaryk University
ไฟล์
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: มีปัญหาจำนวนมากใน file
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 5.30
CVE-2017-7121: พบโดย OSS-Fuzz
CVE-2017-7122: พบโดย OSS-Fuzz
CVE-2017-7123: พบโดย OSS-Fuzz
CVE-2017-7124: พบโดย OSS-Fuzz
CVE-2017-7125: พบโดย OSS-Fuzz
CVE-2017-7126: พบโดย OSS-Fuzz
ไฟล์
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: มีปัญหาจำนวนมากใน file
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 5.31
CVE-2017-13815
แบบอักษร
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การแสดงข้อความที่ไม่น่าเชื่อถืออาจทำให้เกิดการปลอมแปลง
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-13828: Leonard Grey และ Robert Sesek จาก Google Chrome
fsck_msdos
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13811: V.E.O. (@VYSEa) จาก Mobile Advanced Threat Team ของ Trend Micro
fsck_msdos
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับที่สูงขึ้นได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13835: นักวิจัยนิรนาม
Heimdal
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถปลอมบริการได้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการชื่อบริการ KDC-REP ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2017-11103: Jeffrey Altman, Viktor Duchovni และ Nico Williams
ตัวแสดงวิธีใช้
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ไฟล์ HTML ที่ถูกกักกันอาจใช้ JavaScript ข้ามต้นทางตามอำเภอใจ
คำอธิบาย: มีปัญหา Cross-site Scripting ในตัวแสดงวิธีใช้ ปัญหานี้ได้รับการแก้ไขแล้วโดยนำไฟล์ที่ได้รับผลกระทบออก
CVE-2017-13819: Filippo Cavallarin จาก SecuriTeam Secure Disclosure
HFS
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13830: Sergej Schumilo จาก Ruhr-University Bochum
ImageIO
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
ImageIO
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การประมวลผลภาพที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-13831: Glen Carmichael
ตัวติดตั้ง
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถเข้าถึงรหัสปลดล็อค FileVault ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำสิทธิ์เพิ่มเติมออก
CVE-2017-13837: Patrick Wardle จาก Synack
IOAcceleratorFamily
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13906
IOFireWireFamily
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7077: Brandon Azad
IOFireWireFamily
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-7119: Xiaolong Bai, Min (Spark) Zheng จาก Alibaba Inc., Benjamin Gnahm (@mitp0sh) จาก PDX
เคอร์เนล
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7114: Alex Plaskett จาก MWR InfoSecurity
เคอร์เนล
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ผู้ใช้เฉพาะที่อาจสามารถทำให้ข้อมูลที่ละเอียดอ่อนของผู้ใช้รั่วไหลได้
คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในตัวนับแพคเก็ตเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น
CVE-2017-13810: Zhiyun Qian จาก University of California, Riverside
เคอร์เนล
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-13817: Maxime Villard (m00nbsd)
เคอร์เนล
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-13818: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Kevin Backhouse จาก Semmle Ltd.
เคอร์เนล
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13843: นักวิจัยนิรนามและนักวิจัยนิรนาม
เคอร์เนล
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13854: shrek_wzw จาก Qihoo 360 Nirvan Team
เคอร์เนล
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การประมวลผลไบนารี่ mach ที่ผิดรูปอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2017-13834: Maxime Villard (m00nbsd)
เคอร์เนล
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถดูข้อมูลเกี่ยวกับการมีอยู่และการทำงานของแอพพลิเคชั่นอื่นบนอุปกรณ์ได้
คำอธิบาย: แอพพลิเคชั่นสามารถเข้าถึงข้อมูลกิจกรรมเครือข่ายที่เก็บรักษาโดยระบบปฏิบัติการที่ไม่จำกัดไว้ได้ ปัญหานี้ได้รับการแก้ไขแล้วโดยการลดข้อมูลที่สามารถใช้ได้กับแอพพลิเคชั่นของบริษัทอื่น
CVE-2017-13873: Xiaokuan Zhang และ Yinqian Zhang จาก The Ohio State University, Xueqiang Wang และ XiaoFeng Wang จาก Indiana University Bloomington และ Xiaolong Bai จาก Tsinghua University
เครื่องมือ kexts
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ข้อผิดพลาดตรรกะในการโหลด Kext ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-13827: นักวิจัยนิรนาม
libarchive
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13813: พบโดย OSS-Fuzz
CVE-2017-13816: พบโดย OSS-Fuzz
libarchive
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การเปิดข้อมูลเก็บถาวรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำใน libarchive ปัญหาเหล่านี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-13812: พบโดย OSS-Fuzz
libarchive
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2016-4736: นักวิจัยนิรนาม
libc
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหาทรัพยากรลดลงใน glob() ได้รับการแก้ไขแล้วผ่านการปรับปรุงอัลกอริทึมให้ดียิ่งขึ้น
CVE-2017-7086: Russ Cox จาก Google
libc
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถทำให้เกิดการปฏิเสธบริการได้
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-1000373
libexpat
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: มีปัญหาจำนวนมากใน Expat
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 2.2.1
CVE-2016-9063
CVE-2017-9233
libxml2
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ช่องโหว่แบบ Null Pointer Dereference ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4302: Gustavo Grieco
libxml2
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-5130: นักวิจัยนิรนาม
CVE-2017-7376: นักวิจัยนิรนาม
libxml2
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2017-9050: Mateusz Jurczyk (j00ru) จาก Google Project Zero
libxml2
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การประมวลผล XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-9049: Wei Lei และ Liu Yang - Nanyang Technological University ในสิงคโปร์
เมล
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ผู้ส่งอีเมลอาจสามารถระบุที่อยู่ IP ของผู้รับได้
คำอธิบาย: การปิด "โหลดเนื้อหาระยะไกลในข้อความ" ไม่ได้ปรับใช้กับกล่องเมลทุกกล่อง ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการกระจายการตั้งค่าให้ดียิ่งขึ้น
CVE-2017-7141: John Whitehead จาก The New York Times
เมลฉบับร่าง
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับคอนเทนต์เมลได้
คำอธิบาย: มีปัญหาการเข้ารหัสในการจัดการเมลฉบับร่าง ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการเมลฉบับร่างให้ดียิ่งขึ้น ซึ่งจะถูกส่งแบบเข้ารหัส
CVE-2017-7078: Petter Flink, Pierre ALBARÈDE จาก Marseille (France), นักวิจัยนิรนาม
ntp
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: มีปัญหาจำนวนมากใน ntp
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 4.2.8p10
CVE-2017-6451: Cure53
CVE-2017-6452: Cure53
CVE-2017-6455: Cure53
CVE-2017-6458: Cure53
CVE-2017-6459: Cure53
CVE-2017-6460: Cure53
CVE-2017-6462: Cure53
CVE-2017-6463: Cure53
CVE-2017-6464: Cure53
CVE-2016-9042: Matthew Van Gundy จาก Cisco
สถาปัตยกรรมการเขียนสคริปต์แบบเปิด
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การแยก AppleScript ที่มี Osadecompile อาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13824: นักวิจัยนิรนาม
PCRE
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: มีปัญหาจำนวนมากใน Pcre
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 8.40
CVE-2017-13846
Postfix
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: มีปัญหาจำนวนมากใน Postfix
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 3.2.2
CVE-2017-10140: นักวิจัยนิรนาม
Quick Look
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-13822: Australian Cyber Security Centre – Australian Signals Directorate
Quick Look
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: การแยกวิเคราะห์เอกสาร Office ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7132: Australian Cyber Security Centre – Australian Signals Directorate
QuickTime
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2017-13823: Xiangkun Jia จาก Institute of Software Chinese Academy of Sciences
การจัดการระยะไกล
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13808: นักวิจัยนิรนาม
Sandbox
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-13838: Alastair Houghton
ล็อคหน้าจอ
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ข้อความแจ้งไฟร์วอลล์แอพพลิเคชั่นอาจปรากฏทับหน้าต่างเข้าสู่ระบบ
คำอธิบาย: ปัญหาการจัดการหน้าต่างได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-7082: Tim Kingman
ความปลอดภัย
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ใบรับรองที่ถูกเพิกถอนแล้วอาจได้รับการเชื่อถือ
คำอธิบาย: มีปัญหาการตรวจสอบใบรับรองในการจัดการข้อมูลการเพิกถอน ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2017-7080: Sven Driemecker จาก adesso mobile solutions gmbh, Rune Darrud (@theflyingcorpse) จาก Bærum kommune, นักวิจัยนิรนาม
SMB
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: ผู้โจมตีในระบบอาจสามารถไฟล์ข้อมูลที่ใช้ไม่ได้ผ่าน SMB share
คำอธิบาย: ปัญหาในการจัดการสิทธิ์อนุญาตของไฟล์ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบ
CVE-2017-13908: นักวิจัยนิรนาม
Spotlight
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: Spotlight อาจแสดงผลลัพธ์สำหรับไฟล์ที่ไม่ได้เป็นของผู้ใช้
คำอธิบาย: มีปัญหาการเข้าถึงใน Spotlight ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น
CVE-2017-13839: Ken Harris จาก Free Robot Collective
Spotlight
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้
คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัดของ Sandbox เพิ่มเติมบนแอพพลิเคชั่น
CVE-2017-13910
SQLite
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: มีปัญหาจำนวนมากใน SQLite
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 3.19.3
CVE-2017-10989: พบโดย OSS-Fuzz
CVE-2017-7128: พบโดย OSS-Fuzz
CVE-2017-7129: พบโดย OSS-Fuzz
CVE-2017-7130: พบโดย OSS-Fuzz
SQLite
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-7127: นักวิจัยนิรนาม
zlib
มีให้สำหรับ: OS X Mountain Lion 10.8 ขึ้นไป
ผลกระทบ: มีปัญหาจำนวนมากใน zlib
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็นเวอร์ชั่น 1.2.11
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
คำขอบคุณพิเศษ
เมล
เราขอขอบคุณสำหรับความช่วยเหลือจาก Jon Bottarini จาก HackerOne
ความปลอดภัย
เราขอขอบคุณสำหรับความช่วยเหลือจาก Abhinav Bansal จาก Zscaler, Inc.
NSWindow
เราขอขอบคุณสำหรับความช่วยเหลือจาก Trent Apted จากทีม Google Chrome
WebKit Web Inspector
เราขอขอบคุณสำหรับความช่วยเหลือจาก Ioan Bizău จาก Bloggify
การอัพเดทเสริมสำหรับ macOS High Sierra 10.13
รายการดาวน์โหลดรายการใหม่ของ macOS High Sierra 10.13 ประกอบด้วยเนื้อหาความปลอดภัยของการอัพเดทเสริมสำหรับ macOS High Sierra 10.13
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม