Informace o bezpečnostním obsahu macOS Mojave 10.14.2, bezpečnostní aktualizace 2018-003 pro macOS High Sierra a bezpečnostní aktualizace 2018-006 pro macOS Sierra

Tento dokument popisuje bezpečnostní obsah macOS Mojave 10.14.2, bezpečnostní aktualizace 2018-003 pro macOS High Sierra a bezpečnostní aktualizace 2018-006 pro macOS Sierra.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

macOS Mojave 10.14.2, bezpečnostní aktualizace 2018-003 pro macOS High Sierra a bezpečnostní aktualizace 2018-006 pro macOS Sierra

Vydáno 5. prosince 2018

AirPort

K dispozici pro: macOS Mojave 10.14.1

Dopad: Škodlivá aplikace si může navýšit oprávnění.

Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.

CVE-2018-4303: Mohamed Ghannam (@_simo36)

Záznam aktualizován 21. prosince 2018

AMD

K dispozici pro: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Dopad: Aplikaci se může podařit číst vyhrazenou paměť.

Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.

CVE-2018-4462: cocoahuke, Lilang Wu a Moony Li z týmu TrendMicro Mobile Security Research ve spolupráci s iniciativou Zero Day společnosti Trend Micro

Záznam aktualizován 21. prosince 2018

Jádro Carbon

K dispozici pro: macOS Mojave 10.14.1

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)

Obrazy disků

K dispozici pro: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2018-4465: Tým Pangu

Hypervisor

K dispozici pro: macOS Mojave 10.14.1

Dopad: Škodlivá aplikace si může navýšit oprávnění.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise a Fred Jacobs z Virtual Machine Monitor Group společnosti VMware, Inc.

Záznam přidán 22. ledna 2019

Ovladač grafiky Intel

K dispozici pro: macOS Mojave 10.14.1

Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.

Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.

CVE-2018-4452: Liu Long z týmu Qihoo 360 Vulcan

Záznam přidán 22. ledna 2019

Ovladač grafiky Intel

K dispozici pro: macOS Mojave 10.14.1

Dopad: Místnímu uživateli se může podařit způsobit neočekávané ukončení systému nebo číst paměť jádra.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2018-4434: Zhuo Liang z týmu Qihoo 360 Nirvan

Ovladač grafiky Intel

K dispozici pro: macOS Sierra 10.12.6

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2018-4456: Tyler Bohan ze společnosti Cisco Talos

Záznam přidán 21. prosince 2018, aktualizován 22. ledna 2019

Ovladač grafiky Intel

K dispozici pro: macOS Sierra 10.12.6 a macOS High Sierra 10.13.6

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s inicializací paměti byl vyřešen vylepšením správy paměti.

CVE-2018-4421: Tyler Bohan ze společnosti Cisco Talos

Záznam přidán 21. prosince 2018

IOHIDFamily

K dispozici pro: macOS Sierra 10.12.6 a macOS High Sierra 10.13.6

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2018-4427: Pangu Team

Jádro

K dispozici pro: macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Dopad: Místnímu uživateli se může podařit číst paměť jádra.

Popis: Problém s inicializací paměti byl vyřešen vylepšením správy paměti.

CVE-2018-4431: Tuto bezpečnostní slabinu nahlásil programu SecuriTeam Secure Disclosure společnosti Beyond Security nezávislý bezpečnostní výzkumník.

CVE-2018-4448: Brandon Azad

Záznam přidán 24. června 2019

Jádro

K dispozici pro: macOS Mojave 10.14.1

Dopad: Útočníkovi s vysokými oprávněními se může podařit způsobit útok odmítnutím služby.

Popis: Problém s odmítnutím služby byl vyřešen odstraněním zranitelného kódu.

CVE-2018-4460: Kevin Backhouse z týmu Semmle Security Research

Jádro

K dispozici pro: macOS High Sierra 10.13.6, macOS Mojave 10.14.1

Dopad: Místnímu uživateli se může podařit číst paměť jádra.

Popis: Problém s inicializací paměti byl vyřešen vylepšením správy paměti.

CVE-2018-4431: Tuto bezpečnostní slabinu nahlásil programu SecuriTeam Secure Disclosure společnosti Beyond Security nezávislý bezpečnostní výzkumník.

Jádro

K dispozici pro: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2018-4447: Juwei Lin(@panicaII) a Zhengyu Dong z týmu TrendMicro Mobile Security ve spolupráci s iniciativou Zero Day společnosti Trend Micro

Záznam aktualizován 18. prosince 2018

Jádro

K dispozici pro: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Dopad: Škodlivá aplikace si může navýšit oprávnění.

Popis: Problém v logice byl vyřešen vylepšením omezení.

CVE-2018-4435: Jann Horn z týmu Google Project Zero, Juwei Lin(@panicaII) a Junzhi Lu z týmu TrendMicro Mobile Security ve spolupráci s iniciativou Zero Day společnosti Trend Micro

Záznam aktualizován 18. prosince 2018

Jádro

K dispozici pro: macOS Mojave 10.14.1

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2018-4461: Ian Beer z týmu Google Project Zero

WindowServer

K dispozici pro: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2018-4449: Hanqing Zhao, Yufeng Ruan a Kun Yang ze společnosti Chaitin Security Research Lab

CVE-2018-4450: Hanqing Zhao, Yufeng Ruan a Kun Yang ze společnosti Chaitin Security Research Lab

Další poděkování

LibreSSL

Poděkování za pomoc zaslouží Keegan Ryan ze společnosti NCC Group.

NetAuth

Poděkování za pomoc zaslouží Vladimir Ivanov ze společnosti Digital Security.

Protokol SCEP (Simple Certificate Enrollment Protocol)

Poděkování za pomoc zaslouží Tim Cappalli ze společnosti Aruba společnost Hewlett Packard Enterprise.

Time Machine

Poděkování za pomoc zaslouží Matthew Thomas ze společnosti Verisign.

Záznam přidán 22. ledna 2019

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: