نبذة حول محتوى الأمان في macOS Mojave 10.14.1 وتحديث الأمان 2018-002 High Sierra وتحديث الأمان 2018-005 Sierra

يستعرض هذا المستند محتوى الأمان في macOS Mojave 10.14.1 وتحديث الأمان 2018-002 High Sierra وتحديث الأمان 2018-005 Sierra.

حول تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير الاتصالات مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.

macOS Mojave 10.14.1 وتحديث الأمان 2018-002 High Sierra وتحديث الأمان 2018-005 Sierra

afpserver

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكّن مخترق بعيد من مهاجمة خوادم AFP عبر وكلاء HTTP

الوصف: تمت معالجة مشكلة متعلقة بالتحقق من صحة الإدخال من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4295:‏ ‎Jianjun Chen (@whucjj)‎ من Tsinghua University وUC Berkeley

AppleGraphicsControl

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4410: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro

AppleGraphicsControl

متوفر لما يلي: macOS High Sierra 10.13.6

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2018-4417:‏ Lee من Information Security Lab Yonsei University بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

APR

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: ظهور عدة مشاكل متعلقة بتجاوز سعة المخزن المؤقت في Perl

الوصف: تمت معالجة عدة مشاكل في Perl من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-12613:‏ Craig Young من Tripwire VERT

CVE-2017-12618:‏ Craig Young من Tripwire VERT

ATS

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكن أحد التطبيقات الضارة من رفع الامتيازات

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4411:‏ lilang wu moony Li من Trend Micro بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

ATS

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2018-4308:‏ ‎Mohamed Ghannam (@_simo36)‎

Automator‏

متوفّر لما يلي: macOS Mojave 10.14

التأثير: قد يتمكن أحد التطبيقات الضارة من الوصول إلى الملفات المقيدة

الوصف: تمت معالجة هذه المشكلة من خلال إزالة الاستحقاقات الإضافية.

Jeff Johnson :CVE-2018-4468 من underpassapp.com

CFNetwork

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4126:‏ ‎Bruno Keith (@bkth_)‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

CoreAnimation

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4415:‏ Liang Zhuo في إطار العمل مع SecuriTeam Secure Disclosure من Beyond Security

CoreCrypto

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: قد يتمكّن مخترق من استغلال ثغرة في اختبار ميلر-رابن لأولية عدد ما بهدف الإشارة إلى عدد صحيح على نحو خاطئ

الوصف: كانت توجد مشكلة في طريقة تحديد الأعداد الصحيحة. تمت معالجة هذه المشكلة باستخدام قواعد توليد أعداد شبه عشوائية لاختبار الأعداد الصحيحة.

CVE-2018-4398:‏ Martin Albrecht وJake Massimo وKenny Paterson من كلية رويال هولواي بجامعة لندن، وJuraj Somorovsky من جامعة الرور في بوخوم

CoreFoundation

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكن أحد التطبيقات الضارة من رفع الامتيازات

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4412:‏ ‎The UK's National Cyber Security Centre (NCSC)‎

CUPS

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: في بعض عمليات التكوين، قد يتمكّن مخترق بعيد من استبدال محتوى الرسالة من خادم الطباعة بمحتوى عشوائي

الوصف: تمت معالجة مشكلة متعلقة بالتضمين من خلال التحقق المحسّن من الصحة.

CVE-2018-4153:‏ Michael Hanselmann من hansmi.ch

CUPS

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من إجراء هجوم رفض الخدمة

الوصف: تمت معالجة مشكلة متعلقة برفض الخدمة من خلال التحقق من الصحة المحسّن.

CVE-2018-4406:‏ Michael Hanselmann من hansmi.ch

القاموس

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يؤدي تحليل ملف قاموس متطفّل إلى الكشف عن معلومات مستخدم

الوصف: توجد مشكلة متعلقة بالتحقق من الصحة تتيح الوصول إلى ملف محلي. وقد تمت معالجة هذه المشكلة من خلال الإبراء الخاص بالإدخال.

CVE-2018-4346:‏ ‎Wojciech Reguła (@_r3ggi)‎ من SecuRing

Dock

متوفّر لما يلي: macOS Mojave 10.14

التأثير: قد يتمكن أحد التطبيقات الضارة من الوصول إلى الملفات المقيدة

الوصف: تمت معالجة هذه المشكلة من خلال إزالة الاستحقاقات الإضافية.

CVE-2018-4403:‏ Patrick Wardle من Digita Security

dyld

متوفر لما يلي: macOS High Sierra 10.13.6، وmacOS Mojave 10.14، وmacOS Sierra 10.12.6

التأثير: قد يتمكن أحد التطبيقات الضارة من رفع الامتيازات

الوصف: تمت معالجة مشكلة منطقية من خلال التحقق المحسّن من الصحة.

CVE-2018-4423:‏ Youfu Zhang من Chaitin Security Research Lab (@ChaitinTech)

EFI

متوفر لما يلي: macOS High Sierra 10.13.6

التأثير: قد تسمح الأنظمة ذات المعالجات الدقيقة، التي تستخدم التنفيذ عبر التخمين والتنفيذ عبر التخمين لقراءة الذاكرة قبل جميع عمليات كتابة الذاكرة السابقة، بالكشف عن المعلومات بدون تصريح لأحد المخترقين الذين لديهم إمكانية وصول مستخدم محلي من خلال تحليل قناة جانبية

الوصف: تمت معالجة مشكلة الكشف عن معلومات من خلال تحديث تعليمة برمجية مصغّرة. وهذا يضمن عدم قراءة البيانات القديمة التي تتم قراءتها من عناوين تمت الكتابة إليها مؤخرًا من خلال تحليل قناة جانبية عبر التخمين.

CVE-2018-3639:‏ ‎Jann Horn (@tehjh)‎ من ‎Google Project Zero (GPZ)‎،‏ Ken Johnson من ‎Microsoft Security Response Center (MSRC)‎

EFI

متوفر لما يلي: وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: قد يتمكن مستخدم محلي من تعديل أجزاء محمية من نظام الملفات

الوصف: تمت معالجة مشكلة تتعلق بالتكوين من خلال فرض قيود إضافية.

CVE-2018-4342: Timothy Perfitt من Twocanoes Software

أساسيات

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد تؤدي معالجة ملف نصي متطفل إلى رفض الخدمة

الوصف: تمت معالجة مشكلة متعلقة برفض الخدمة من خلال التحقق من الصحة المحسّن.

CVE-2018-4304:‏ ‎jianan.huang (@Sevck)‎

Grand Central Dispatch

متوفر لما يلي: macOS High Sierra 10.13.6

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4426:‏ Brandon Azad

Heimdal

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4331:‏ Brandon Azad

Hypervisor

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد تسمح الأنظمة ذات المعالجات الدقيقة التي تستخدم التنفيذ عبر التخمين وترجمات العناوين بالكشف عن المعلومات الموجودة في ذاكرة التخزين المؤقت لبيانات L1 بدون تصريح لأحد المخترقين الذين لديهم إمكانية وصول مستخدم محلي بصلاحيات ضيف نظام تشغيل عبر خطأ في صفحة طرفية وتحليل قناة جانبية

الوصف: تمت معالجة مشكلة الكشف عن معلومات من خلال تفريغ ذاكرة التخزين المؤقت لبيانات L1 في الإدخال الآلي الافتراضي.

CVE-2018-3646:‏ Baris Kasikci وDaniel Genkin وOfir Weisse وThomas F. Wenisch من University of Michigan،‏ Mark Silberstein وMarina Minkin من Technion،‏ Raoul Strackx وJo Van Bulck وFrank Piessens من KU Leuven،‏ Rodrigo Branco وHenrique Kawakami وKe Sun وKekai Hu من Intel Corporation،‏ Yuval Yarom من The University of Adelaide

Hypervisor

متوفر لما يلي: macOS Sierra 10.12.6

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة ثغرة أمنية لتلف الذاكرة من خلال القفل المحسَّن.

CVE-2018-4242:‏ Zhuo Liang من فريق Qihoo 360 Nirvan Team

ICU

متوفر لما يلي: macOS High Sierra 10.13.6، وmacOS Mojave 10.14، وmacOS Sierra 10.12.6

التأثير: تؤدي معالجة سلسلة متطفلة إلى تلف كومة ذاكرة تخزين البيانات

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4394: Erik Verbruggen من The Qt Company

برنامج تشغيل رسومات Intel

متوفر لما يلي: macOS Sierra 10.12.6

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4334:‏ Ian Beer من Google Project Zero

برنامج تشغيل رسومات Intel

متوفر لما يلي: macOS High Sierra 10.13.6

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2018-4396:‏ Yu Wang من Didi Research America

CVE-2018-4418:‏ Yu Wang من Didi Research America

برنامج تشغيل رسومات Intel

متوفر لما يلي: macOS High Sierra 10.13.6

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4350:‏ Yu Wang من Didi Research America

برنامج تشغيل رسومات Intel

متوفّر لما يلي: macOS Mojave 10.14

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تشغيل للذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4421: Tyler Bohan من Cisco Talos

IOGraphics

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4422: باحث غير معلوم الهوية يعمل مع مبادرة Zero Day Initiative من Trend Micro

IOHIDFamily

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4408:‏ Ian Beer من Google Project Zero

IOKit

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4402:‏ Proteas من فريق Qihoo 360 Nirvan Team

IOKit

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكن تطبيق ضار من اختراق وضع حمايته

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4341:‏ Ian Beer من Google Project Zero

CVE-2018-4354:‏ Ian Beer من Google Project Zero

IOUserEthernet

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4401:‏ Apple

IPSec

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2018-4371:‏ ‎Tim Michaud (@TimGMichaud)‎ من Leviathan Security Group

Kernel

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف في الذاكرة من خلال إزالة التعليمة البرمجية المعرّضة للهجوم.

CVE-2018-4420:‏ ‎Mohamed Ghannam (@_simo36)‎

Kernel

متوفر لما يلي: macOS High Sierra 10.13.6

التأثير: قد يتمكّن تطبيق ضار من تسريب معلومات المستخدم الحساسة

الوصف: وجود مشكلة في الوصول لدى استدعاءات واجهة برمجة التطبيقات API المميزة. وقد تمت معالجة هذه المشكلة من خلال فرض قيود إضافية.

CVE-2018-4399:‏ ‎Fabiano Anemone (@anoane)‎

Kernel

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4340:‏ ‎Mohamed Ghannam (@_simo36)‎

CVE-2018-4419:‏ ‎Mohamed Ghannam (@_simo36)‎

CVE-2018-4425:‏ cc بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro،‏ ‎Juwei Lin (@panicaII)‎ من Trend Micro بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

Kernel

متوفر لما يلي: macOS Sierra 10.12.6

التأثير: قد يؤدي تركيب مجلد مشاركة شبكة NFS متطفّل إلى تنفيذ تعليمية برمجية عشوائية باستخدام صلاحيات النظام

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة بالمعالجة المحسّنة للذاكرة.

CVE-2018-4259:‏ Kevin Backhouse من Semmle وLGTM.com

CVE-2018-4286:‏ Kevin Backhouse من Semmle وLGTM.com

CVE-2018-4287:‏ Kevin Backhouse من Semmle وLGTM.com

CVE-2018-4288:‏ Kevin Backhouse من Semmle وLGTM.com

CVE-2018-4291:‏ Kevin Backhouse من Semmle وLGTM.com

Kernel

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة مشكلة تشغيل للذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4413:‏ Juwei Lin (@panicaII) من TrendMicro Mobile Security Team

Kernel

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة متعلقة بتلف الذاكرة من خلال التحقق المحسّن.

CVE-2018-4407:‏ Kevin Backhouse من Semmle Ltd.

Kernel

متوفّر لما يلي: macOS Mojave 10.14

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تجاوز سعة المخزن المؤقت من خلال التحقق المُحسّن من الحجم.

CVE-2018-4424:‏ Dr. Silvio Cesare من InfoSect

LinkPresentation

متوفر لما يلي: macOS Sierra 10.12.6

التأثير: قد تؤدي معالجة رسالة نصية متطفّلة إلى انتحال واجهة المستخدم

الوصف: مشكلة المحاكاة موجودة في معالجة عناوين URL. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4187:‏ ‎Roman Mueller (@faker_)‎ و‎Zhiyang Zeng (@Wester)‎ من Tencent Security Platform Department

نافذة تسجيل الدخول

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكن مستخدم محلي من التسبب في رفض الخدمة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة باستخدام منطق محسّن.

CVE-2018-4348:‏ Ken Gannon من MWR InfoSecurity وChristian Demko من MWR InfoSecurity

البريد

متوفّر لما يلي: macOS Mojave 10.14

التأثير: قد تؤدي معالجة رسالة بريد متطفّلة إلى انتحال واجهة المستخدم

الوصف: تمت معالجة مشكلة تتعلق بواجهة مستخدم غير متناسقة من خلال الإدارة المحسّنة للحالة.

CVE-2018-4389:‏ Dropbox Offensive Security Team وTheodor Ragnar Gislason من Syndis

mDNSOffloadUserClient

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4326: باحث غير معلوم الهوية بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro،‏ Zhuo Liang من فريق Qihoo 360 Nirvan Team

MediaRemote

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد تتمكّن إحدى عمليات وضع الحماية من التحايل على قيود وضع الحماية

الوصف: تمت معالجة مشكلة في الوصول من خلال قيود وضع الحماية الإضافية.

CVE-2018-4310:‏ CodeColorist من Ant-Financial LightYear Labs

التعليمية البرمجية المصغّرة

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: الأنظمة ذات المعالجات الدقيقة التي تستخدم التنفيذ التخميني وتقوم بقراءة حدسية لسجلات النظام قد تسمح بالكشف غير المُصرّح به عن معلمات النظام لمهاجم يتمتع بحق وصول مستخدم محلي من خلال تحليل قناة جانبية

الوصف: تمت معالجة مشكلة الكشف عن معلومات من خلال تحديث تعليمة برمجية مصغّرة. ويضمن هذا عدم إمكانية تسريب سجلات النظام الخاصة بالتنفيذ من خلال تنفيذ حدسي من قناة جانبية.

CVE-2018-3640:‏ Innokentiy Sennovskiy من BiZone LLC (bi.zone) وZdenek Sojka وRudolf Marek وAlex Zuepke من SYSGO AG (sysgo.com)

NetworkExtension

متوفر لما يلي: وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: قد يؤدي الربط بخادم VPN إلى تسريب استعلامات DNS إلى وكيل DNS

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2018-4369: باحث غير معلوم الهوية

Perl

متوفر لما يلي: macOS Sierra 10.12.6

التأثير: ظهور عدة مشاكل متعلقة بتجاوز سعة المخزن المؤقت في Perl

الوصف: تمت معالجة عدة مشاكل في Perl من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-6797:‏ Brian Carpenter

Ruby

متوفر لما يلي: macOS Sierra 10.12.6

التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة عدة مشاكل في Ruby من خلال هذا التحديث.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

الأمان

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: قد تؤدي معالجة رسالة متطفلة تم توقيعها باستخدام S/MIME إلى رفض الخدمة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة باستخدام منطق محسّن.

CVE-2018-4400:‏ Yukinobu Nagayasu من LAC Co., Ltd.

الأمان

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكن مستخدم محلي من التسبب في رفض الخدمة

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2018-4395:‏ Patrick Wardle من Digita Security

Spotlight

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4393:‏ Lufeng Li

إطار عمل الأعراض

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2018-4203:‏ ‎Bruno Keith (@bkth_)‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

Wi-Fi

متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.6 وmacOS Mojave 10.14

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من إجراء هجوم رفض الخدمة

الوصف: تمت معالجة مشكلة متعلقة برفض الخدمة من خلال التحقق من الصحة المحسّن.

CVE-2018-4368: Milan Stute وAlex Mariotto من Secure Mobile Networking Lab في Technische Universität Darmstadt

تقدير آخر

تقويم

يسعدنا أن نتقدم بخالص الشكر إلى Matthew Thomas من Verisign على المساعدة.

coreTLS

يسعدنا أن نتوجّه بخالص الشكر إلى ‎Eyal Ronen (Weizmann Institute)‎ و‎Robert Gillham (University of Adelaide)‎ و‎Daniel Genkin (University of Michigan)‎ و‎Adi Shamir (Weizmann Institute)‎ و‎David Wong (NCC Group)‎ و‎Yuval Yarom (University of Adelaide and Data61)‎ على تقديم المساعدة لنا.

iBooks

يسعدنا أن نتوجّه بخالص الشكر إلى Sem Voigtländer من Fontys Hogeschool ICT نظير مساعدته لنا.

Kernel

يسعدنا أن نتقدم بخالص الشكر إلى Brandon Azad على مساعدته لنا.

LaunchServices

يسعدنا أن نتوجّه بخالص الشكر إلى Alok Menghrajani من Square على مساعدته لنا.

معاينة سريعة

يسعدنا أن نتوجّه بخالص الشكر إلى lokihardt من Google Project Zero على مساعدته لنا.

الأمان

يسعدنا أن نتوجّه بخالص الشكر إلى Marinos Bernitsas من Parachute على مساعدته لنا.

محطة طرفية

يسعدنا أن نتوجّه بخالص الشكر إلى Federico Bento على تقديم المساعدة لنا.

Time Machine

يسعدنا أن نتقدم بخالص الشكر إلى Matthew Thomas من Verisign على المساعدة.