UPDATE: DFN-CERT-2017-1692 macOS High Sierra: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes mit Kernelrechten [Apple]

UPDATE: DFN-CERT-2017-1692 macOS High Sierra: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes mit Kernelrechten [Apple]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (06.10.2017):
Apple veröffentlicht eine gesonderte Sicherheitsmeldung und informiert
darin über ein ergänzendes Sicherheitsupdate für macOS High Sierra 10.13.
Zwei weitere Schwachstellen in den Komponenten ‘StorageKit’ und ‘Security’
von macOS ermöglichen es einem lokalen, nicht authentisierten Angreifer
die APFS-Datenträgerverschlüsselung zu umgehen sowie einem entfernten,
nicht authentisierten Angreifer mit Hilfe einer bösartig präparierten
Anwendung Passwörter aus dem Passwortverwaltungsprogramm ‘Keychain’ zu
extrahieren. Apple gibt an, dass in neuen Downloads von macOS High Sierra
10.13 die ergänzenden Sicherheitsupdates enthalten sind.
Version 1 (26.09.2017):
Neues Advisory

Betroffene Software:

macOS High Sierra < 10.13 Betroffene Plattformen: Apple Mac OS X macOS Sierra Apple schließt mit der neuen Version des Betriebssystems macOS Sierra 10.13 mehrere kritische Schwachstellen. Es handelt sich um Schwachstellen, die unter anderem das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen, die Durchführung von Denial-of-Service (DoS)-Angriffen und das Ausführen beliebigen Programmcodes erlauben. Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes mit Kernel- oder Systemprivilegien und dadurch die komplette Kompromittierung betroffener Systeme. Die meisten dieser Schwachstellen können von entfernten, nicht authentisierten Angreifern mit Hilfe speziell präparierter Dateien oder Anwendungen ausgenutzt werden, indem ein Benutzer zu einer Interaktion (Installation einer schädlichen Anwendung) verleitet wird. Patch: Apple Sicherheitshinweis APPLE-SA-2017-09-25-1 / Apple-ADV-HT208144 (macOS 10.13) https://support.apple.com/kb/HT208144

Patch:

Apple Sicherheitshinweis APPLE-SA-2017-10-05-1 / Apple-ADV-HT208165 (macOS
10.13 Supplemental Update)

https://support.apple.com/kb/HT208165

CVE-2017-7150: Schwachstelle in Security ermöglicht Ausspähen von
Informationen

In der Komponente Security von macOS High Sierra besteht eine Schwachstelle,
weil eine Methode existiert, die es einer Anwendung ermöglicht mit einem
synthetischen Klick (synthetic click, durch ein Programm erzeugten Klick)
die Eingabeaufforderung für den Zugriff auf das Passwortverwaltungsprogramm
‘Keychain’ zu umgehen und Passwörter zu extrahieren. Ein entfernter, nicht
authentisierter Angreifer kann mit Hilfe einer bösartig präparierten
Anwendung sensitive Informationen ausspähen.

CVE-2017-7149: Schwachstelle in StorageKit ermöglicht Umgehen von
Sicherheitsvorkehrungen und Ausspähen von Informationen

Wird beim Erstellen eines verschlüsselten APFS-Datenträgers mit StorageKit
eine Merkhilfe für das Passwort im Festplatten-Dienstprogramm (Disk Utility)
festgelegt, führt dies dazu, dass das Passwort als Merkhilfe gespeichert
wird. Ein lokaler, nicht authentisierter Angreifer kann dies ausnutzen und
sich das Passwort über die Merkhilfe anzeigen lassen, wodurch dieser sich
unberechtigten Zugriff auf einen verschlüsselten APFS-Datenträger
verschaffen kann.

CVE-2017-7143: Schwachstelle in Captive Network Assistant ermöglicht
Ausspähen von Informationen

Eine Schwachstelle im Captive Network Assistant von Mac OS X und macOS
basiert auf einem dem Benutzer gegenüber nicht offensichtlichen
Sicherheitsstatus des Captive Portal Browser, wodurch der Benutzer ein
Passwort unwissentlich unverschlüsselt über das Netzwerk überträgt. Ein
entfernter, nicht authentisierter Angreifer kann Informationen ausspähen.

CVE-2017-7141: Schwachstelle in Mail ermöglicht Ausspähen von Informationen

Eine Schwachstelle in Mail von Mac OS X und macOS basiert darauf, dass das
Ausschalten von “Load remote content in messages” nicht auf alle Postfächer
angewendet wird und der Sender einer Email folglich die IP-Adresse eines
Empfängers herausfinden kann. Ein entfernter, nicht authentisierter
Angreifer kann Informationen ausspähen.

CVE-2017-7138: Schwachstelle in Directory Utility ermöglicht Ausspähen von
Informationen

Eine Schwachstelle im Directory Utility von Mac OS X und macOS basiert auf
einem Fehler in der Zugriffskontrolle während der Verarbeitung der Apple-ID,
wodurch ein lokaler, einfach authentisierter Angreifer die Apple-ID des
Besitzers des Systems herausfinden kann.

CVE-2017-7128 CVE-2017-7129 CVE-2017-7130: Schwachstellen in SQLite
ermöglichen nicht spezifizierte Angriffe

Mehrere nicht näher beschriebene Schwachstellen in SQLite ermöglichen einem
Angreifer nicht spezifizierte Angriffe über unbekannte Vektoren.

CVE-2017-7121 CVE-2017-7122 CVE-2017-7123 CVE-2017-7124 CVE-2017-7125
CVE-2017-7126: Schwachstellen in file ermöglichen nicht spezifizierte
Angriffe

Mehrere nicht näher beschriebene Schwachstellen in file ermöglichen einem
Angreifer nicht spezifizierte Angriffe über unbekannte Vektoren.

CVE-2017-7119: Schwachstelle in IOFireWireFamily ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in IOFireWireFamily von Mac OS X und macOS basiert auf
einer fehlerhaften Filterung bzw. Säuberung von Benutzereingaben, wodurch
eine Anwendung lesenden Zugriff auf beschränkte Speicherbereiche erhalten
kann. Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer
bösartig präparierten Anwendung Informationen ausspähen.

CVE-2017-7114: Schwachstelle in Kernel ermöglicht Ausführen beliebigen
Programmcodes mit Kernelrechten

Eine Schwachstelle im Kernel von Apple Mac OS X beziehungsweise macOS sowie
Apple iOS basiert auf einer fehlerhaften Verarbeitung von Objekten im
Speicher, wodurch es zu einer Speicherkorruption kommt. Ein entfernter,
nicht authentisierter Angreifer kann mit Hilfe einer schädlichen Anwendung
beliebigen Programmcode mit den Rechten des Kernels ausführen.

CVE-2017-7086: Schwachstelle in libc ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in libc von Apple Mac OS X, macOS und iOS basiert auf
einer fehlerhaften Verarbeitung in der Funktion ‘glob()’, wodurch
Systemressourcen aufgebraucht werden. Ein entfernter, nicht authentisierter
Angreifer kann einen Denial-of-Service-Angriff durchführen.

CVE-2017-7084: Schwachstelle in Application Firewall ermöglicht Umgehen voin
Sicherheitsvorkehrungen

Eine Schwachstelle in Application Firewall von Mac OS X und macOS basiert
auf einem fehlerhaften Mechanismus beim Einspielen neuerer Versionen,
wodurch abgelehnte Firewall-Einstellungen nicht korrekt umgesetzt werden
können. Ein entfernter, nicht authentisierter Angreifer kann
Sicherheitsvorkehrungen umgehen.

CVE-2017-7083: Schwachstelle in CFNetwork Proxies ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle in CFNetwork Proxies von Apple Mac OS X, macOS und iOS
basiert auf einer fehlerhaften Verarbeitung von Objekten im Speicher,
wodurch ein Angreifer als Mittelsmann in einer privilegierten Position im
Netzwerk einen Denial-of-Service-Angriff durchführen kann.

CVE-2017-7082: Schwachstelle in Screen Lock ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in Screen Lock von Mac OS X und macOS basiert auf einem
Fehler in der Fensterverwaltung, wodurch Hinweise der Firewall der
Anwendungsebene über dem Anmeldefenster erscheinen können. Ein lokaler,
nicht authentisierter Angreifer kann Informationen ausspähen.

CVE-2017-7080: Schwachstelle in Security ermöglicht Umgehen voin
Sicherheitsvorkehrungen

Eine Schwachstelle in Security von Apple Mac OS X, macOS und iOS basiert auf
einer fehlerhaften Überprüfung von zurückgezogenen Zertifikaten, so dass
diese weiterhin als vertrauenswürdig gelten. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen.

CVE-2017-7078: Schwachstelle in Mail Drafts ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in Mail Drafts von Apple Mac OS X, macOS und iOS basiert
auf einer fehlerhaften Verschlüsselung von Mail Drafts, wodurch ein
Angreifer als Mittelsmann in einer privilegierten Position im Netzwerk den
Inhalt von Emails lesen kann. Ein entfernter, nicht authentisierter
Angreifer kann Informationen ausspähen.

CVE-2017-7077: Schwachstelle in IOFireWireFamily ermöglicht Ausführen
beliebigen Programmcodes mit Systemrechten

Eine Schwachstelle in IOFireWireFamily von Mac OS X beziehungsweise macOS
basiert auf einer fehlerhaften Verarbeitung von Objekten im Speicher,
wodurch es zu einer Speicherkorruption kommt. Ein entfernter, nicht
authentisierter Angreifer kann mit Hilfe einer schädlichen Anwendung
beliebigen Programmcode mit den Rechten des Systems ausführen.

CVE-2017-7074: Schwachstelle in AppSandbox ermöglicht
Denial-of-Service-Angriff

Eine Schwachstelle in AppSandbox von Mac OS X beziehungsweise macOS basiert
auf einer fehlerhaften Verarbeitung von Objekten im Speicher. Ein
entfernter, nicht authentisierter Angreifer kann mit Hilfe einer schädlichen
Anwendung einen Denial-of-Service-Angriff durchführen.

CVE-2017-7127: Schwachstelle in SQLite ermöglicht die Ausführung beliebigen
Programmcodes mit den Rechten des Dienstes

SQLite enthält aufgrund einer fehlerhaften Speichernutzung eine
Speicherkorruptions-Schwachstelle (Memory Corruption). Ein lokaler, einfach
authentisierter Angreifer kann die Schwachstelle ausnutzen und unter
Verwendung einer speziell angefertigten Anwendung beliebigen Programmcode
mit den Rechten des Dienstes zur Ausführung bringen.

CVE-2017-11103: Schwachstelle in Heimdal ermöglicht vollständige
Kompromittierung des Dienstes

In der Heimdal-Implementierung des Kerberos 5 Network Authentication
Protocols, welches zur Authentisierung eines Clients gegenüber einem Dienst
dient, existiert eine kritische Schwachstelle. Aufgrund eines
Programmierfehlers wird eine nicht authentisierte Klartextversion des Namens
eines Key Distribution Center (KDC)-REP Dienstes aus einem Ticket
akzeptiert. Ein entfernter, nicht authentisierter Angreifer kann in einem
Man-in-the-Middle (MitM)-Angriff den betroffenen Dienst vollständig
kompromittieren.

CVE-2017-10989: Schwachstelle in SQLite ermöglicht u.a. Ausspähen von
Informationen

In der Funktion ‘getNodeSize’ in ‘ext/rtree/rtree.c’ in SQLite bis
einschließlich Version 3.19.3 werden unterdimensionierte ‘RTree Blobs’ in
präparierten Datenbanken fehlerhaft behandelt. Dies kann dazu führen, dass
auf dem Heap-basierten Pufferspeicher über Speichergrenzen hinweg gelesen
werden kann (Heap-based Buffer Over-Read), wodurch entweder Informationen
ausgespäht werden können oder ein Denial-of-Service (DoS)-Zustand in Folge
einer Speicherschutzverletzung auftritt. Außerdem sind weitere nicht näher
spezifizierte Auswirkungen denkbar.

CVE-2017-9233: Schwachstelle in Expat ermöglicht Denial-of-Service-Angriff

In der Funktion ‘entityValueInitProcessor’ in Expat bis einschließlich
Version 2.2.0 existiert eine Schwachstelle, die mit Hilfe von bösartigen
XMLs in externen Entitäten ausgenutzt werden kann, um eine Endlosschleife
auszulösen. Ein entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2017-1000373: Schwachstelle in OpenBSD ermöglicht Ausführung beliebigen
Programmcodes

In OpenBSD existiert eine Schwachstelle, da die Funktion ‘qsort()’ rekursiv
und nicht zufällig ist. Ein Angreifer kann dies ausnutzen, indem er ein
pathologisches Input Array aus N Elementen konstruiert, welches ‘qsort()’ zu
einer determinierten N/4-fachen Rekursion veranlasst. Dadurch kann der
Angreifer beliebigen Stack-Speicher verbrauchen und den Stack-Speicher
manipulieren, wodurch die Ausführung beliebigen Programmcodes unterstützt
wird. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle in Kombination mit CVE-2017-1000372 ausnutzen, um beliebigen
Programmcode auszuführen.

CVE-2017-6464: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Eine nicht näher beschriebene Schwachstelle NTP ermöglicht es einem
entfernten, mehrfach authentifizierten Angreifer ntpd über eine fehlerhafte
‘mode’-Konfigurationsrichtlinie abstürzen zu lassen (Denial-of-Service,
DoS).

CVE-2017-6463: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Aufgrund unzureichender Validierung von Eingaben, die für Einstellungen über
die ‘:config’-Richtlinie vorgenommen werden, besteht eine Schwachstelle in
NTP. Sendet ein Angreifer für die ‘unpeer’-Option als Argument eine ‘0’
anstelle einer Zahl beziehungsweise Adresse, tritt eine
Speicherschutzverletzung auf und die Anwendung stürzt ab. Ein entfernter,
mehrfach authentisierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

CVE-2017-6462: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Im veralteten (legacy) ‘Datum Programmable Time Server Refclock’-Treiber in
NTP besteht eine potentielle Pufferspeicher-Überlauf-Schwachstelle. Ein
lokaler, einfach authentisierter Angreifer kann die Schwachstelle über ein
von ihm kontrolliertes ‘/dev/datum’-Gerät ausnutzen und einen
Denial-of-Service-Angriff durchführen.

CVE-2017-6460: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

In der ‘reslist’-Funktion in ntpq besteht eine Schwachstelle aufgrund einer
fehlenden Längenprüfung. Diese ermöglicht es einem entfernten, einfach
authentisierten Angreifer über einen bösartig präparierten ntpq-Server eine
Beschränkungslisten (Restriction List)-Anfrage mit einer präparierten
Nachricht zu beantworten, die einen Überlauf des Stack-basierten
Pufferspeichers verursacht und die Anwendung zum Absturz bringt
(Denial-of-Service).

CVE-2017-6459: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Der Windows Installer für NTP ruft die Funktion ‘strcpy()’ mit einem
Argument auf, in dem mehrere spezifische NULL-Bytes enthalten sind. Da die
Funktion ‘strcpy()’ bei Auftreten des ersten NULL-Byte das Ende der
Zeichenkette erwartet, wird die Verarbeitung des Argumentes an dieser Stelle
beendet und nur ein Teil in den Ziel-Pufferspeicher kopiert. Infolgedessen
wird die weitere Verarbeitung fehlerhaft fortgeführt, was einen Absturz der
Anwendung zur Folge haben kann. Ein lokaler, einfach authentisierter
Angreifer kann einen Denial-of-Service-Angriff durchführen.

CVE-2017-6458: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Aufgrund der unzureichenden Längenprüfung erstellter
‘name/value’-Zeichenketten für ‘ntpq’-Antworten besteht eine Schwachstelle
in NTP, die es ermöglicht einen Pufferspeicher-Überlauf zu provozieren und
die Anwendung zum Absturz zu bringen. Ein entfernter, mehrfach
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

CVE-2017-6455: Schwachstelle in NTP ermöglicht Ausführung beliebigen
Programmcodes mit Rechten des Dienstes

Der Windows NT Port in NTP hat zusätzlich die Fähigkeit die in der global
vererbten lokalen Umgebungsvariable ‘PPSAPI_DLLS’ definierten Dynamic Link
Libraries (DLL) zu laden. Der darin befindliche Programmcode wird durch den
NTPD-Dienst aufgerufen und mit privilegierten Berechtigungen ausgeführt. Ein
lokaler, einfach authentifizierter Angreifer kann diese Schwachstelle
ausnutzen und durch die Bereitstellung einer präparierten DLL-Datei
beliebigen Programmcode injizieren und zur Ausführung bringen.

CVE-2017-6452: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Der Windows Installer für NTP ruft in der Funktion ‘addSourceToRegistry()’,
ohne jegliche Überprüfung der Parameter, die Funktion ‘strcat()’ zum
Verbinden von Zeichenketten auf und speichert die daraus resultierende
Zeichenkette auf dem Stack ab. Da der Stack-basierte Pufferspeicher
allerdings 70 Byte weniger Speicher zur Verfügung hat, als der
Pufferspeicher der Hauptroutine (‘main()’), besteht die Möglichkeit den
Stack-basierten Pufferspeicher zum Überlauf zu bringen. Der weitergereichte
Anwendungspfad ist zwar auf 256 Byte begrenzt, jedoch ist dies nicht
ausreichend, um den Stack konsequent gegen Speicherüberläufe zu schützen.
Ein lokaler, einfach authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2017-6451: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

Aufgrund des falschen Umgangs mit Rückgabewerten der Funktionen ‘snprintf()’
und ‘vsnprintf()’ besteht eine Schwachstelle in der ‘Legacy MX4200
Refclock’-Implementierung in NTP. Diese ermöglicht es, da der Rückgabewert
auch als Iterator für Speicherzugriffe verwendet wird, schreibend auf
Speicherbereiche außerhalb des allozierten Pufferspeichers zuzugreifen,
wodurch gespeicherte Instruktionszeiger überschrieben werden können. Dies
ermöglicht es einem lokalen, mehrfach authentifizierten Angreifer die
Ausführungsreihenfolge zu kontrollieren oder die Programmausführung zu
unterbrechen (Denial-of-Service, DoS). Der ‘Legacy MX4200 Refclock’-Treiber
ist standardmäßig deaktiviert und kann auch nur mit zusätzlichen
Programmcodeanpassungen kompiliert und verwendet werden.

CVE-2016-9042: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff

In der Funktion zur Überprüfung des Ursprungs-Zeitstempels (Origin
Timestamp) in NTP Version 4.2.8p9 besteht eine nicht näher beschriebene
Schwachstelle. Diese ermöglicht es einem entfernten, nicht authentisierten
Angreifer mit Hilfe eines präparierten Datenpaketes die Überprüfung für
Ziel-Knoten (Peers) fehlschlagen zu lassen, worauf die Kommunikation
abgebrochen wird und ein Denial-of-Service (DoS)-Zustand eintritt. Die
Schwachstelle kann nur dann ausgenutzt werden, wenn ein Angreifer in der
Lage ist sämtliche Server vorzutäuschen (Spoofing).

CVE-2017-0381: Schwachstelle in libopus/Mediaserver ermöglicht Ausspähen von
Informationen

Bei der Verarbeitung speziell präparierter Dateien in silk/NLSF_stabilize.c
in libopus, welches u.a. vom Android Mediaserver verwendet wird, kann es zur
Speicherkorruption kommen.

Im Kontext der Apple Sicherheitshinweise Apple-ADV-HT208112 (iOS 11) und
Apple-ADV-HT208144 (macOS 10.13) betrifft die Schwachstelle die CoreAudio
Komponente von macOS und iOS und ermöglicht es einem entfernten, nicht
authentifizierten Angreifer über eine bösartig präparierte Anwendung
beschränkte Speicherbereiche zu lesen und so Informationen auszuspähen.

CVE-2016-9843: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff

Durch eine vom C-Standard abweichende Zeigerarithmetik auf Power-PC
Plattformen besteht eine Schwachstelle in zlib, die es ermöglicht, auf
Speicherbereiche außerhalb zulässiger Grenzen zuzugreifen (Out-of-Bounds
Access) und dadurch eine Speicherschutzverletzung auszulösen. Ein
entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2016-9842: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff

Durch das Verschieben von negativen Ganzzahlen in der Funktion ‘inflateMark’
besteht eine Schwachstelle in zlib. Dabei können nicht vorhersehbare
Ergebnisse entstehen, welche im folgenden Programmablauf einen Absturz
verursachen können. Ein entfernter, nicht authentisierter Angreifer kann
einen Denial-of-Service-Angriff durchführen.

CVE-2016-9841: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff

Durch die Verwendung einer nicht mehr zeitgemäßen Zeigerarithmetik in
‘inffast.c’ besteht eine Schwachstelle in zlib, die es ermöglicht, auf
Speicherbereiche außerhalb zulässiger Grenzen zuzugreifen (Out-of-Bounds
Access) und dadurch eine Speicherschutzverletzung auszulösen. Ein
entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

CVE-2016-9840: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff

Durch eine fehlerhaft umgesetzte Zeigerarithmetik in ‘inftrees.c’ besteht
eine Schwachstelle in zlib, die es ermöglicht, auf Speicherbereiche
außerhalb zulässiger Grenzen zuzugreifen (Out-of-Bounds Access) und dadurch
eine Speicherschutzverletzung auszulösen. Ein entfernter, nicht
authentisierter Angreifer kann einen Denial-of-Service-Angriff durchführen.

CVE-2016-9063: Schwachstelle in Expat ermöglicht Ausführung beliebigen
Programmcodes

Durch eine Schwachstelle in der Bibliothek Expat von Mozilla Firefox kann es
beim Parsen von .XML-Dateien zu Ganzzahlüberläufen kommen. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
Denial-of-Service (DoS)-Angriffe durchzuführen oder eventuell sogar
beliebigen Programmcode auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1692/

Schwachstelle CVE-2016-9063 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9063

Schwachstelle CVE-2016-9840 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9840

Schwachstelle CVE-2016-9841 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9841

Schwachstelle CVE-2016-9842 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9842

Schwachstelle CVE-2016-9843 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9843

Schwachstelle CVE-2017-0381 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0381

Schwachstelle CVE-2016-9042 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9042

Schwachstelle CVE-2017-6451 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6451

Schwachstelle CVE-2017-6452 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6452

Schwachstelle CVE-2017-6455 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6455

Schwachstelle CVE-2017-6458 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6458

Schwachstelle CVE-2017-6459 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6459

Schwachstelle CVE-2017-6460 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6460

Schwachstelle CVE-2017-6462 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6462

Schwachstelle CVE-2017-6463 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6463

Schwachstelle CVE-2017-6464 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6464

Schwachstelle CVE-2017-9233 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9233

Schwachstelle CVE-2017-1000373 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000373

Schwachstelle CVE-2017-10989 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10989

Schwachstelle CVE-2017-11103 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-11103

Apple Sicherheitshinweis APPLE-SA-2017-09-25-1 / Apple-ADV-HT208144 (macOS
10.13):
https://support.apple.com/kb/HT208144

Schwachstelle CVE-2017-7074 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7074

Schwachstelle CVE-2017-7077 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7077

Schwachstelle CVE-2017-7078 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7078

Schwachstelle CVE-2017-7080 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7080

Schwachstelle CVE-2017-7082 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7082

Schwachstelle CVE-2017-7083 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7083

Schwachstelle CVE-2017-7084 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7084

Schwachstelle CVE-2017-7086 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7086

Schwachstelle CVE-2017-7114 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7114

Schwachstelle CVE-2017-7119 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7119

Schwachstelle CVE-2017-7121 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7121

Schwachstelle CVE-2017-7122 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7122

Schwachstelle CVE-2017-7123 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7123

Schwachstelle CVE-2017-7124 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7124

Schwachstelle CVE-2017-7125 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7125

Schwachstelle CVE-2017-7126 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7126

Schwachstelle CVE-2017-7127 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7127

Schwachstelle CVE-2017-7128 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7128

Schwachstelle CVE-2017-7129 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7129

Schwachstelle CVE-2017-7130 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7130

Schwachstelle CVE-2017-7138 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7138

Schwachstelle CVE-2017-7141 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7141

Schwachstelle CVE-2017-7143 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7143

Apple Sicherheitshinweis APPLE-SA-2017-10-05-1 / Apple-ADV-HT208165 (macOS
10.13 Supplemental Update):
https://support.apple.com/kb/HT208165

Schwachstelle CVE-2017-7149 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7149

Schwachstelle CVE-2017-7150 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7150

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben