نبذة حول محتوى أمان macOS High Sierra 10.13.4 وتحديث الأمان ‎ 2018-002 Sierraوتحديث الأمان ‎2018-002 El Capitan

يتناول هذا المستند محتوى أمان macOS High Sierra 10.13.4 تحديث الأمان ‎ 2018-002 Sierra‎وتحديث الأمان ‎ 2018-002 El Capitan.

حول تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير الاتصالات مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.

macOS High Sierra 10.13.4 وتحديث الأمان ‎ 2018-002 Sierra وتحديث الأمان ‎ 2018-002 El Capitan

تاريخ الإصدار: 29 مارس 2018

إطار عمل المسؤول

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد تكون كلمات السر المقدّمة لـ sysadminctl عُرضة للظهور لدى مستخدمين محليين آخرين

الوصف: استلزمت أداة سطر الأوامر sysadminctl تمرير كلمات السر إليها في وسيطاتها، ما يؤدي إلى أن تكون كلمات السر عُرضة للظهور لدى مستخدمين محليين آخرين. يؤدي هذا التحديث إلى أن تصبح معلمة كلمة السر اختيارية، وسيطلب sysadminctl إدخال كلمة السر عند اللزوم.

CVE-2018-4170: باحث غير معلوم الهوية

APFS

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قم يتم اقتطاع كلمة سر وحدة تخزين APFS بشكل غير متوقّع

الوصف: تمت معالجة مشكلة متعلقة بالتضمين من خلال التحقق المحسّن من الإدخال.

CVE-2018-4105:‏ David J Beitey (@davidjb_)، Geoffrey Bugniot

ATS

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3

التأثير: قد تؤدي معالجة ملف متطفل إلى الإفصاح عن معلومات المستخدم

الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة الارتباطات الرمزية. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الارتباطات الرمزية.

CVE-2018-4112:‏ Haik Aftandilian من Mozilla

CFNetwork Session

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.

CVE-2018-4166:‏ ‎Samuel Groß (@5aelo)‎

CoreFoundation

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.

CVE-2018-4155:‏ ‎Samuel Groß (@5aelo)‎

CVE-2018-4158:‏ ‎Samuel Groß (@5aelo)‎

CoreText

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد تؤدي معالجة سلسلة متطفّلة إلى رفض الخدمة

الوصف: تمت معالجة مشكلة رفض الخدمة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4142:‏ Robin Leroy من Google Switzerland GmbH

CoreTypes

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6

التأثير: قد تؤدي معالجة صفحة ويب متطفلة إلى تحميل صورة قرص

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2017-13890:‏ Apple، Theodor Ragnar Gislason من Syndis

curl

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6

التأثير: وجدت عدة مشاكل في curl

الوصف: وجود تجاوز عدد صحيح في curl. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

CVE-2017-8816:‏ Alex Nichols

تاريخ تحديث الإدخال: 30 مارس 2018

صور القرص

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3

التأثير: قد يؤدي تحميل صورة قرص ضارة إلى تشغيل تطبيق

الوصف: تمت معالجة مشكلة منطقية من خلال التحقق المحسّن.

CVE-2018-4176:‏ Theodor Ragnar Gislason من Syndis

إدارة القرص

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قم يتم اقتطاع كلمة سر وحدة تخزين APFS بشكل غير متوقّع

الوصف: تمت معالجة مشكلة متعلقة بالتضمين من خلال التحقق المحسّن من الإدخال.

CVE-2018-4108:‏ Kamatham Chaitanya من ShiftLeft Inc.‎، باحث غير معلوم الهوية

أحداث نظام الملفات

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.

CVE-2018-4167:‏ ‎Samuel Groß (@5aelo)‎

iCloud Drive

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.

CVE-2018-4151:‏ ‎Samuel Groß (@5aelo)‎

برنامج تشغيل رسومات Intel

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4132:‏ Axis وpjf من IceSword Lab ضمن Qihoo 360

IOFireWireFamily

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4135:‏ Xiaolong Bai وMin (Spark) Zheng من Alibaba Inc.‎.

Kernel

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة بالمعالجة المحسّنة للذاكرة.

CVE-2018-4150: باحث غير معلوم الهوية

Kernel

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2018-4104:‏ ‎The UK's National Cyber Security Centre (NCSC)‎

Kernel

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2018-4143:‏ ‎derrek (@derrekr6)‎

Kernel

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2018-4136:‏ Jonas Jensen من lgtm.com وSemmle

Kernel

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2018-4160:‏ Jonas Jensen من lgtm.com وSemmle

Kernel

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

الوصف: وجدت مشكلة كشف عن معلومات أثناء نقل حالة برمجة. وتمت معالجة هذه المشكلة من خلال تحسين التعامل مع الحالة.

CVE-2018-4185:‏ Brandon Azad

تاريخ إضافة الإدخال: 19 يوليو 2018

أدوات kext

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تم اكتشاف مشكلة منطقية تؤدي إلى تلف الذاكرة. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.

CVE-2018-4139:‏ Ian Beer من Google Project Zero

LaunchServices

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3

التأثير: قد يتمكن تطبيق متطفل من تجاوز فرض توقيع التعليمات البرمجية

الوصف: تمت معالجة مشكلة منطقية من خلال التحقق المحسّن.

CVE-2018-4175:‏ Theodor Ragnar Gislason من Syndis

المصادقة المحلية

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكن مستخدم محلي من عرض معلومات حساسة خاصة بالمستخدم

الوصف: وجدت مشكلة متعلقة بمعالجة رموز PIN الخاصة بالبطاقات الذكية. وقد تمت معالجة هذه المشكلة من خلال استخدام منطق إضافي.

CVE-2018-4179:‏ David Fuhrmann

تاريخ إضافة الإدخال: 13 أبريل 2018

البريد

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكن مخترق يحتل منصب شبكة ذي امتيازات من تصفية محتويات بريد إلكتروني مشفّر بنظام S/MIME

الوصف: وُجدت مشكلة في التعامل مع البريد الإلكتروني بتشفير S/MIME HTML. تمت معالجة هذه المشكلة من خلال عدم تحميل موارد عن بُعد على رسائل بتشفير S/MIME افتراضيًا إذا كانت الرسالة تحتوي على توقيع S/MIME مفقود أو غير صالح.

CVE-2018-4111:‏ Damian Poddebniak من Münster University of Applied Sciences،‏ Christian Dresen من Münster University of Applied Sciences،‏ Jens Müller من Ruhr University Bochum،‏ Fabian Ising من Münster University of Applied Sciences،‏ Sebastian Schinzel من Münster University of Applied Sciences،‏ Simon Friedberger من KU Leuven،‏ Juraj Somorovsky من Ruhr University Bochum،‏ Jörg Schwenk من Ruhr University Bochum

تاريخ تحديث الإدخال: 13 أبريل 2018

البريد

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكن مخترق يحتل منصب شبكة ذي امتيازات من اعتراض محتويات بريد إلكتروني بتشفير S/MIME

الوصف: تمت معالجة مشكلة تتعلق بواجهة مستخدم غير متناسقة من خلال الإدارة المحسّنة للحالة.

CVE-2018-4174:‏ John McCombs من Integrated Mapping Ltd،‏ McClain Looney من LoonSoft Inc.‎.

تاريخ تحديث الإدخال: 13 أبريل 2018

ملاحظات

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.

CVE-2018-4152:‏ Samuel Groß (@5aelo)

NSURLSession

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.

CVE-2018-4166:‏ ‎Samuel Groß (@5aelo)‎

برامج تشغيل الرسومات NVIDIA

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2018-4138:‏ Axis وpjf من IceSword Lab ضمن Qihoo 360

PDFKit

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يؤدي النقر على عنوان URL في ملف PDF إلى زيارة موقع ويب ضار

الوصف: وُجدت مشكلة في تحليل عناوين URL بملفات PDF. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-4107:‏ Nick Safford من Innovia Technology

تاريخ تحديث الإدخال: 9 أبريل 2018

PluginKit

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.

CVE-2018-4156:‏ ‎Samuel Groß (@5aelo)‎

معاينة سريعة

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.

CVE-2018-4157:‏ ‎Samuel Groß (@5aelo)‎

الإدارة عن بُعد

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكن مستخدم بعيد من الحصول على امتيازات الجذر

الوصف: توجد مشكلة تتعلق بالأذونات في "الإدارة عن بُعد". تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإذن.

CVE-2018-4298:‏ Tim van der Werff من SupCloud

تاريخ إضافة الإدخال: 19 يوليو 2018

الأمان

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3

التأثير: يمكن أن يؤدي أحد التطبيقات الضارة إلى رفع الامتيازات

الوصف: تمت معالجة مشكلة تجاوز سعة المخزن المؤقت من خلال التحقق المُحسّن من الحجم.

CVE-2018-4144:‏ ‎Abraham Masri (@cheesecakeufo)‎

SIP

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تهيئة من خلال فرض قيود إضافية.

CVE-2017-13911: باحث غير معلوم الهوية

تاريخ إضافة الإدخال: 8 أغسطس 2018

شريط الحالة

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكن تطبيق ضار من الوصول إلى الميكروفون دون علم المستخدم

الوصف: وُجدت مشكلة تناسق فيما يتعلق بتحديد وقت إظهار مؤشر استخدام الميكروفون. وقد تم حل هذه المشكلة من خلال التحقق المحسّن من الإمكانات.

CVE-2018-4173:‏ Joshua Pokotilow من pingmd

تاريخ إضافة الإدخال: 9 أبريل 2018

التخزين

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3

التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية

الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.

CVE-2018-4154:‏ ‎Samuel Groß (@5aelo)‎

تفضيلات النظام

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يظل ملف تعريف التكوين فعّالاً على نحو غير سليم بعد الإزالة

الوصف: وُجدت مشكلة في CFPreferences. وقد تمت معالجة هذه المشكلة من خلال التنظيف المحسّن للتفضيلات.

CVE-2018-4115:‏ Johann Thalakada وVladimir Zubkov وMatt Vlasach من Wandera

محطة طرفية

متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3

التأثير: قد يؤدي لصق محتوى ضار إلى تحايل عشوائي في تنفيذ الأوامر

الوصف: وُجدت مشكلة تضمين أوامر في التعامل مع وضع اللصق بأقواس. وتمت معالجة هذه المشكلة من خلال التحقّق المحسّن من الأحرف الخاصة.

CVE-2018-4106:‏ Simon Hosie

WindowServer

متوفر لما يلي: macOS High Sierra 10.13.3

التأثير: قد يتمكّن تطبيق بدون صلاحيات من تسجيل الضغطات التي يتم إدخالها في تطبيقات أخرى حتى أثناء تمكين وضع الإدخال الآمن

الوصف: عند إجراء مسح لإحصاءات المفاتيح، تمكّن تطبيق بدون صلاحيات من تسجيل الضغطات التي يتم إدخالها في تطبيقات أخرى حتى عند تمكين وضع الإدخال الآمن. تمت معالجة هذه المشكلة عن طريق الإدارة المحسّنة للحالة.

CVE-2018-4131:‏ Andreas Hegenberg من folivora.AI GmbH

تقدير آخر

البريد

يسعدنا أن نتقدم بخالص الشكر إلى Sabri Haddouche (@pwnsdx) من Wire Swiss GmbH على مساعدته لنا.

تاريخ إضافة الإدخال: 21 يونيو 2018

الأمان

يسعدنا أن نتقدم بخالص الشكر إلى ‎Abraham Masri (@cheesecakeufo)‎ على مساعدته لنا.

تاريخ إضافة الإدخال: 13 أبريل 2018

يتمّ تقديم المعلومات حول المنتجات التي لم تُصنّعها شركة Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم شركة Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. المخاطر ملازمة لاستخدام الإنترنت. للحصول على مزيد من المعلومات، يُمكنك الاتصال بالبائع. قد تكون أسماء الشركات والمنتجات الأخرى علامات تجارية لمالكيها المعنيين.

تاريخ النشر: