نبذة حول محتوى أمان macOS High Sierra 10.13.6 وتحديث الأمان 2018-004 Sierra وتحديث الأمان 2018-004 El Capitan
يتناول هذا المستند محتوى أمان macOS High Sierra 10.13.6 وتحديث الأمان 2018-004 Sierra وتحديث الأمان 2018-004 El Capitan.
حول تحديثات أمان Apple
لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.
للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير الاتصالات مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.
تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.
macOS High Sierra 10.13.6 وتحديث الأمان 2018-004 Sierra وتحديث الأمان 2018-004 El Capitan
الحسابات
متوفر لما يلي: macOS High Sierra 10.13.5
التأثير: قد يتمكن تطبيق ضار من الوصول إلى معرّفات AppleID الخاصة بمستخدمين محليين
الوصف: تمت معالجة مشكلة تتعلق بالخصوصية أثناء معالجة سجلات Open Directory من خلال الفهرسة المحسّنة.
CVE-2018-4470: Jacob Greenfield من Commonwealth School
AMD
متوفر لما يلي: macOS High Sierra 10.13.5
التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel
الوصف: تمت معالجة مشكلة الكشف عن معلومات من خلال إزالة التعليمة البرمجية المعرضة لهذا الخطر.
CVE-2018-4289: shrek_wzw من فريق Qihoo 360 Nirvan Team
APFS
متوفر لما يلي: macOS High Sierra 10.13.5
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2018-4268: Mac يعمل مع مبادرة Zero Day Initiative من Trend Micro
ATS
متوفر لما يلي: macOS High Sierra 10.13.5
التأثير: قد يتمكن أحد التطبيقات الضارة من التمتع بامتيازات الجذر
الوصف: تمت معالجة مشكلة تتعلق بخلط الأنواع من خلال المعالجة المحسّنة للذاكرة.
CVE-2018-4285: Mohamed Ghannam (@_simo36)
Bluetooth
متوفر لما يلي: MacBook Pro (15 بوصة، 2018) وMacBook Pro (13 بوصة، 2018، أربعة منافذ Thunderbolt 3)
التأثير: قد يتمكّن مخترق يمتلك موضع شبكة متميزًا من اعتراض حركة مرور Bluetooth
الوصف: وجدت مشكلة في التحقق من صحة الإدخال في Bluetooth. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2018-5383: Lior Neumann وEli Biham
CFNetwork
متوفر لما يلي: macOS High Sierra 10.13.5
التأثير: قد تستمر ملفات تعريف الارتباط في Safari بشكل غير متوقع
الوصف: تمت معالجة مشكلة متعلقة بإدارة ملفات تعريف الارتباط من خلال عمليات تحقق محسّنة.
CVE-2018-4293: باحث غير معلوم الهوية
CoreCrypto
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6
التأثير: قد يتمكن تطبيق من اختراق وضع حمايته
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2018-4269: Abraham Masri (@cheesecakeufo)
CUPS
متوفر لما يلي:OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.5
التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من إجراء هجوم رفض الخدمة
الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الصحة.
CVE-2018-4276: Jakub Jirasek من Secunia Research في Flexera
DesktopServices
متوفر لما يلي: macOS Sierra 10.12.6
التأثير: قد يتمكن مستخدم محلي من عرض معلومات حساسة خاصة بالمستخدم
الوصف: وجدت مشكلة تتعلق بالأذونات، حيث كان يتم منح إذن تنفيذ بطريق الخطأ. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإذن.
CVE-2018-4178: Arjen Hendrikse
برنامج تشغيل رسومات Intel
متوفر لما يلي: macOS High Sierra 10.13.5
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2018-4456: Tyler Bohan من Cisco Talos
IOGraphics
متوفر لما يلي: macOS High Sierra 10.13.5
التأثير: قد يتمكّن المستخدم المحلي من قراءة ذاكرة kernel
الوصف: وجدت مشكلة قراءة غير مسموح بها أدت إلى الكشف عن محتوى ذاكرة kernel. وقد تمت معالجتها من خلال التحقق المحسّن من الإدخال.
CVE-2018-4283: @panicaII يعمل مع مبادرة Zero Day Initiative من Trend Micro
Kernel
متوفر لما يلي: OS X El Capitan 10.11.6، macOS Sierra 10.12.6، macOS High Sierra 10.13.5
التأثير: من المحتمل أن تسمح المعالجات الصغيرة التي تستند إلى Intel® Core بمعالجة محلية لاستنتاج بيانات عن طريق استخدام استعادة حالة Lazy FP من عملية أخرى من خلال هجوم قناة جانبية على محرك تنفيذ تخميني
الوصف: تتم استعادة حالة Lazy FP بدلاً من الحفظ النشط واستعادة الحالة بناءً على تغير السياق. من المحتمل استغلال الحالات الساكنة غير النشطة، حيث تقوم إحدى العمليات باستنتاج القيمة المسجلة في عمليات أخرى من خلال هجوم قناة جانبية على محرك تنفيذ تخميني لاستنتاج قيمتها.
تمت معالجة مشكلة الكشف عن معلومات من خلال تصحيح حالة سجل FP/SIMD.
CVE-2018-3665: Julian Stecklina من Amazon Germany وThomas Prescher من Cyberus Technology GmbH (cyberus-technology.de) وZdenek Sojka من SYSGO AG (sysgo.com) وColin Percival
Kernel
متوفر لما يلي: macOS High Sierra 10.13.5
التأثير: قد يؤدي تركيب مجلد مشاركة شبكة NFS متطفّل إلى تنفيذ تعليمية برمجية عشوائية باستخدام صلاحيات النظام
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة بالمعالجة المحسّنة للذاكرة.
CVE-2018-4259: Kevin Backhouse من Semmle وLGTM.com
CVE-2018-4286: Kevin Backhouse من Semmle وLGTM.com
CVE-2018-4287: Kevin Backhouse من Semmle وLGTM.com
CVE-2018-4288: Kevin Backhouse من Semmle وLGTM.com
CVE-2018-4291: Kevin Backhouse من Semmle وLGTM.com
libxpc
متوفر لما يلي: OS X El Capitan 10.11.6، macOS Sierra 10.12.6، macOS High Sierra 10.13.5
التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2018-4280: Brandon Azad
libxpc
متوفر لما يلي: macOS High Sierra 10.13.5
التأثير: قد يتمكن تطبيق ضار من قراءة ذاكرة مقيدة
الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.
CVE-2018-4248: Brandon Azad
LinkPresentation
متوفر لما يلي: macOS High Sierra 10.13.5
التأثير: قد تؤدي زيارة موقع ويب ضار إلى التحايل على شريط العنوان
الوصف: مشكلة المحاكاة موجودة في معالجة عناوين URL. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2018-4277: xisigr من Tencent's Xuanwu Lab (tencent.com)
Perl
متوفر لما يلي: macOS High Sierra 10.13.5
التأثير: ظهور عدة مشاكل متعلقة بتجاوز سعة المخزن المؤقت في Perl
الوصف: تمت معالجة عدة مشاكل في Perl من خلال المعالجة المحسّنة للذاكرة.
CVE-2018-6797: Brian Carpenter
CVE-2018-6913: GwanYeong Kim
Ruby
متوفر لما يلي: macOS High Sierra 10.13.5
التأثير: يمكن أن يتسبب مخترق عن بُعد في إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية
الوصف: تمت معالجة عدة مشاكل في Ruby من خلال هذا التحديث.
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
WebKit
متوفر لما يلي: macOS High Sierra 10.13.5
التأثير: قد تؤدي زيارة موقع ويب ضار إلى التحايل على شريط العنوان
الوصف: مشكلة المحاكاة موجودة في معالجة عناوين URL. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2018-4274: Tomasz Bojarski
تقدير آخر
App Store
يسعدنا أن نتوجّه بخالص الشكر إلى Jesse Endahl وStevie Hryciw من Fleetsmith وMax Bélanger من Dropbox على مساعدتهم لنا.
عارض المساعدة
يسعدنا أن نتقدم بخالص الشكر إلى Wojciech Reguła (@_r3ggi) من SecuRing على مساعدته من خلال عمليات التخفيف الأربع.
Kernel
يسعدنا أن نتقدم بخالص الشكر إلى juwei lin (@panicaII) من Trend Micro الذي يعمل مع مبادرة Zero Day Initiative من Trend Micro على مساعدته لنا.
الأمان
يسعدنا أن نتقدم بخالص الشكر إلى Brad Dahlsten من Iowa State University على مساعدته لنا.
يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.