نبذة حول محتوى أمان macOS High Sierra 10.13.6 وتحديث الأمان ‎2018-004 Sierra وتحديث الأمان ‎2018-004 El Capitan

يتناول هذا المستند محتوى أمان macOS High Sierra 10.13.6 وتحديث الأمان ‎2018-004 Sierra وتحديث الأمان ‎2018-004 El Capitan.

حول تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير الاتصالات مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.

macOS High Sierra 10.13.6 وتحديث الأمان ‎2018-004 Sierra وتحديث الأمان ‎2018-004 El Capitan

تاريخ الإصدار: 9 يوليو 2018

الحسابات

متوفر لما يلي: macOS High Sierra 10.13.5

التأثير: قد يتمكن تطبيق ضار من الوصول إلى معرّفات AppleID الخاصة بمستخدمين محليين

الوصف: تمت معالجة مشكلة تتعلق بالخصوصية أثناء معالجة سجلات Open Directory من خلال الفهرسة المحسّنة.

CVE-2018-4470:‏ Jacob Greenfield من Commonwealth School

تاريخ إضافة الإدخال: 10 ديسمبر 2018

AMD

متوفر لما يلي: macOS High Sierra 10.13.5

التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

الوصف: تمت معالجة مشكلة الكشف عن معلومات من خلال إزالة التعليمة البرمجية المعرضة لهذا الخطر.

CVE-2018-4289:‏ shrek_wzw من فريق Qihoo 360 Nirvan Team

APFS

متوفر لما يلي: macOS High Sierra 10.13.5

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4268:‏ Mac يعمل مع مبادرة Zero Day Initiative من Trend Micro

ATS

متوفر لما يلي: macOS High Sierra 10.13.5

التأثير: قد يتمكن أحد التطبيقات الضارة من التمتع بامتيازات الجذر

الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4285:‏ ‎Mohamed Ghannam (@_simo36)‎

Bluetooth

متوفر لما يلي: MacBook Pro ‏(15 بوصة، 2018) وMacBook Pro ‏(13 بوصة، 2018، أربعة منافذ Thunderbolt 3)

تم تناول طرازات Mac الأخرى مع macOS High Sierra 10.13.5.

التأثير: قد يتمكّن مخترق يمتلك موضع شبكة متميزًا من اعتراض حركة مرور Bluetooth

الوصف: وجدت مشكلة في التحقق من صحة الإدخال في Bluetooth. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-5383:‏ Lior Neumann وEli Biham

تاريخ إضافة الإدخال: 23 يوليو 2018

CFNetwork

متوفر لما يلي: macOS High Sierra 10.13.5

التأثير: قد تستمر ملفات تعريف الارتباط في Safari بشكل غير متوقع

الوصف: تمت معالجة مشكلة متعلقة بإدارة ملفات تعريف الارتباط من خلال عمليات تحقق محسّنة.

CVE-2018-4293: باحث غير معلوم الهوية

CoreCrypto

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6

التأثير: قد يتمكن تطبيق من اختراق وضع حمايته

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4269:‏ ‎Abraham Masri (@cheesecakeufo)‎

CUPS

متوفر لما يلي:OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.5

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من إجراء هجوم رفض الخدمة

الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الصحة.

CVE-2018-4276: Jakub Jirasek من Secunia Research في Flexera

تاريخ إضافة الإدخال: 25 سبتمبر 2018

DesktopServices

متوفر لما يلي: macOS Sierra 10.12.6

التأثير: قد يتمكن مستخدم محلي من عرض معلومات حساسة خاصة بالمستخدم

الوصف: وجدت مشكلة تتعلق بالأذونات، حيث كان يتم منح إذن تنفيذ بطريق الخطأ. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإذن.

CVE-2018-4178:‏ Arjen Hendrikse

برنامج تشغيل رسومات Intel

متوفر لما يلي: macOS High Sierra 10.13.5

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4456: Tyler Bohan من Cisco Talos

تاريخ تحديث الإدخال: 22 يناير 2019

IOGraphics

متوفر لما يلي: macOS High Sierra 10.13.5

التأثير: قد يتمكّن المستخدم المحلي من قراءة ذاكرة kernel

الوصف: وجدت مشكلة قراءة غير مسموح بها أدت إلى الكشف عن محتوى ذاكرة kernel. وقد تمت معالجتها من خلال التحقق المحسّن من الإدخال.

CVE-2018-4283:‏ ‎@panicaII‎ يعمل مع مبادرة Zero Day Initiative من Trend Micro

Kernel

متوفر لما يلي: OS X El Capitan 10.11.6،‏ macOS Sierra 10.12.6،‏ macOS High Sierra 10.13.5

التأثير: من المحتمل أن تسمح المعالجات الصغيرة التي تستند إلى Intel® Core بمعالجة محلية لاستنتاج بيانات عن طريق استخدام استعادة حالة Lazy FP من عملية أخرى من خلال هجوم قناة جانبية على محرك تنفيذ تخميني

الوصف: تتم استعادة حالة Lazy FP بدلاً من الحفظ النشط واستعادة الحالة بناءً على تغير السياق. من المحتمل استغلال الحالات الساكنة غير النشطة، حيث تقوم إحدى العمليات باستنتاج القيمة المسجلة في عمليات أخرى من خلال هجوم قناة جانبية على محرك تنفيذ تخميني لاستنتاج قيمتها.

تمت معالجة مشكلة الكشف عن معلومات من خلال تصحيح حالة سجل FP/SIMD.

CVE-2018-3665:‏ Julian Stecklina من Amazon Germany وThomas Prescher من ‎Cyberus Technology GmbH (cyberus-technology.de)‎ وZdenek Sojka من ‎SYSGO AG (sysgo.com)‎ وColin Percival

Kernel

متوفر لما يلي: macOS High Sierra 10.13.5

التأثير: قد يؤدي تركيب مجلد مشاركة شبكة NFS متطفّل إلى تنفيذ تعليمية برمجية عشوائية باستخدام صلاحيات النظام

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة بالمعالجة المحسّنة للذاكرة.

CVE-2018-4259:‏ Kevin Backhouse من Semmle وLGTM.com

CVE-2018-4286:‏ Kevin Backhouse من Semmle وLGTM.com

CVE-2018-4287:‏ Kevin Backhouse من Semmle وLGTM.com

CVE-2018-4288:‏ Kevin Backhouse من Semmle وLGTM.com

CVE-2018-4291:‏ Kevin Backhouse من Semmle وLGTM.com

تاريخ إضافة الإدخال: 30 أكتوبر 2018

libxpc

متوفر لما يلي: OS X El Capitan 10.11.6،‏ macOS Sierra 10.12.6،‏ macOS High Sierra 10.13.5

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4280:‏ Brandon Azad

libxpc

متوفر لما يلي: macOS High Sierra 10.13.5

التأثير: قد يتمكن تطبيق ضار من قراءة ذاكرة مقيدة

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2018-4248:‏ Brandon Azad

LinkPresentation

متوفر لما يلي: macOS High Sierra 10.13.5

التأثير: قد تؤدي زيارة موقع ويب ضار إلى التحايل على شريط العنوان

الوصف: مشكلة المحاكاة موجودة في معالجة عناوين URL. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4277:‏ xisigr من ‎Tencent's Xuanwu Lab (tencent.com)‎

Perl

متوفر لما يلي: macOS High Sierra 10.13.5

التأثير: ظهور عدة مشاكل متعلقة بتجاوز سعة المخزن المؤقت في Perl

الوصف: تمت معالجة عدة مشاكل في Perl من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-6797:‏ Brian Carpenter

CVE-2018-6913:‏ GwanYeong Kim

تاريخ إضافة الإدخال: 30 أكتوبر 2018

Ruby

متوفر لما يلي: macOS High Sierra 10.13.5

التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة عدة مشاكل في Ruby من خلال هذا التحديث.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

تاريخ إضافة الإدخال: 30 أكتوبر 2018

WebKit

متوفر لما يلي: macOS High Sierra 10.13.5

التأثير: قد تؤدي زيارة موقع ويب ضار إلى التحايل على شريط العنوان

الوصف: مشكلة المحاكاة موجودة في معالجة عناوين URL. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4274:‏ Tomasz Bojarski

تاريخ إضافة الإدخال: 28 يوليو 2020

تقدير آخر

App Store

يسعدنا أن نتوجّه بخالص الشكر إلى Jesse Endahl وStevie Hryciw من Fleetsmith وMax Bélanger من Dropbox على مساعدتهم لنا.

تاريخ إضافة الإدخال: 8 أغسطس 2018

عارض المساعدة

يسعدنا أن نتقدم بخالص الشكر إلى ‎Wojciech Reguła (@_r3ggi)‎ من SecuRing على مساعدته من خلال عمليات التخفيف الأربع.

Kernel

يسعدنا أن نتقدم بخالص الشكر إلى ‎juwei lin (@panicaII)‎ من Trend Micro الذي يعمل مع مبادرة Zero Day Initiative من Trend Micro على مساعدته لنا.

الأمان

يسعدنا أن نتقدم بخالص الشكر إلى Brad Dahlsten من Iowa State University على مساعدته لنا.

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: