Вчера появилась долгожданная macOS Sierra; в ее комплект Apple включила патчи для десятков уязвимостей, все еще присутствующих в OS X El Capitan и Yosemite. Разработчик также пропатчил Safari и macOS Server, посвятив этим продуктам отдельные бюллетени.

Релиз macOS Sierra 10.12 совокупно закрывает 68 брешей, от критической уязвимости в аудиокомпоненте (CVE-2016-4702), чреватой исполнением произвольного кода, до бага в ядре (CVE-2016-4778), позволявшего с помощью приложения исполнить код с высокими привилегиями. Согласно бюллетеню Apple, 17 из этих уязвимостей присутствуют в реализации Apache и модуле apache_mod_php, отвечающем за интерпретацию PHP-кода. Наиболее серьезная из них грозит неожиданным завершением программы или исполнением произвольного кода.

Возможность выполнить код предоставляют около 20 ныне закрываемых уязвимостей. Еще 5 влекут отказ в обслуживании, 11 позволяют приложению исполнить произвольный код с привилегиями ядра.

Safari 10 разработчик выпустил в качестве апгрейда для Yosemite и El Capitan. Эта версия устраняет 21 уязвимость в браузере, в том числе множество багов порчи памяти, которые присутствовали в движке WebKit и открывали возможность для исполнения произвольного кода с помощью вредоносного контента.

Исправлены также процедура проверки SSL-сертификатов при использовании WKWebView и парсинг образцов ошибок, обрабатываемых движком. Во вкладках Safari закрыта уязвимость CVE-2016-4751, позволявшая подменять адресную строку при заходе пользователя на вредоносный сайт. Множественные баги, обнаруженные в ридере браузера (CVE-2016-4618), грозили XSS-атакой при загрузке вредоносной страницы.

Релиз macOS Server 5.2 содержит лишь два патча: для бреши CVE-2016-4694, позволявшей удаленно проксировать трафик через произвольный сервер, и для CVE-2016-4754, облегчающей использование слабостей криптоалгоритма RC4.

Категории: Главное, Уязвимости