Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Mojave 10.14.1, της Ενημέρωσης ασφάλειας 2018-002 High Sierra, της Ενημέρωσης ασφάλειας 2018-005 Sierra

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Mojave 10.14.1, της Ενημέρωσης ασφάλειας 2018-002 High Sierra και της Ενημέρωσης ασφάλειας 2018-005 Sierra.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

macOS Mojave 10.14.1, Ενημέρωση ασφάλειας 2018-002 High Sierra, Ενημέρωση ασφάλειας 2018-005 Sierra

afpserver

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορέσει να εισβάλει σε διακομιστές AFP μέσω πελατών HTTP

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4295: Jianjun Chen (@whucjj) από το Tsinghua University και το UC Berkeley

AppleGraphicsControl

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4410: ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

AppleGraphicsControl

Διατίθεται για: macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2018-4417: Lee του Information Security Lab του Yonsei University σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

APR

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Υπήρχαν πολλά προβλήματα υπερχείλισης buffer στην Perl

Περιγραφή: Τα πολλά προβλήματα στην Perl αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2017-12613: Craig Young της Tripwire VERT

CVE-2017-12618: Craig Young της Tripwire VERT

ATS

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4411: lilang wu moony Li της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

ATS

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Automator

Διατίθεται για: macOS Mojave 10.14

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με κατάργηση των πρόσθετων δικαιωμάτων.

CVE-2018-4468: Jeff Johnson του underpassapp.com

CFNetwork

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4126: Bruno Keith (@bkth_) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CoreAnimation

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4415: Liang Zhuo σε συνεργασία με το πρόγραμμα SecuriTeam Secure Disclosure της Beyond Security

CoreCrypto

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί μια αδυναμία στον έλεγχο Miller-Rabin για να προσδιορίσει λανθασμένα πρώτους αριθμούς

Περιγραφή: Υπήρχε πρόβλημα στη μέθοδο προσδιορισμού πρώτων αριθμών. Αυτό το πρόβλημα αντιμετωπίστηκε με τη χρήση ψευδοτυχαίων βάσεων για τον έλεγχο πρώτων αριθμών.

CVE-2018-4398: Martin Albrecht, Jake Massimo και Kenny Paterson του Royal Holloway, University of London και Juraj Somorovsky του Ruhr University, Bochum

CoreFoundation

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4412: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

CUPS

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Σε συγκεκριμένες διαμορφώσεις, ένας απομακρυσμένος εισβολέας ενδέχεται να είναι σε θέση να αντικαθιστά το περιεχόμενο του μηνύματος από τον διακομιστή εκτυπώσεων με αυθαίρετο περιεχόμενο

Περιγραφή: Ένα πρόβλημα εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4153: Michael Hanselmann του hansmi.ch

CUPS

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση μπορεί να έχει τη δυνατότητα να εκτελέσει μια επίθεση άρνησης υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4406: Michael Hanselmann του hansmi.ch

Λεξικό

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου λεξικού ενδέχεται να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης το οποίο επέτρεπε την πρόσβαση σε τοπικά αρχεία. Αντιμετωπίστηκε με εξυγίανση εισαγωγής.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) του SecuRing

Dock

Διατίθεται για: macOS Mojave 10.14

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με κατάργηση των πρόσθετων δικαιωμάτων.

CVE-2018-4403: Patrick Wardle της Digita Security

dyld

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14 και macOS Sierra 10.12.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4423: Youfu Zhang του Chaitin Security Research Lab (@ChaitinTech)

EFI

Διατίθεται για: macOS High Sierra 10.13.6

Αποτέλεσμα: Τα συστήματα με μικροεπεξεργαστές που χρησιμοποιούν υποθετική εκτέλεση και υποθετική εκτέλεση αναγνώσεων μνήμης πριν καταστούν γνωστές οι διευθύνσεις όλων των προηγούμενων εγγραφών μνήμης ενδέχεται να επιτρέψουν τη μη εξουσιοδοτημένη αποκάλυψη πληροφοριών σε έναν εισβολέα με τοπική πρόσβαση χρήστη μέσω ανάλυσης πλευρικού καναλιού

Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με ενημέρωση μικροκώδικα. Αυτό διασφαλίζει ότι παλαιότερα δεδομένα που διαβάζονται από διευθύνσεις στις οποίες έγινε πρόσφατα εγγραφή δεν μπορούν να διαβαστούν μέσω υποθετικού πλευρικού καναλιού.

CVE-2018-3639: Jann Horn (@tehjh) του Google Project Zero (GPZ), Ken Johnson του Microsoft Security Response Center (MSRC)

EFI

Διατίθεται για: macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα διαμόρφωσης αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2018-4342: Timothy Perfitt της Twocanoes Software

Υποδομή

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4304: jianan.huang (@Sevck)

Grand Central Dispatch

Διατίθεται για: macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4426: Brandon Azad

Heimdal

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4331: Brandon Azad

Hypervisor

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Τα συστήματα με μικροεπεξεργαστές που χρησιμοποιούν υποθετική εκτέλεση και μεταφράσεις διευθύνσεων ενδέχεται να επιτρέπουν τη μη εξουσιοδοτημένη αποκάλυψη πληροφοριών που βρίσκονται στη μνήμη cache δεδομένων L1 σε έναν εισβολέα με τοπική πρόσβαση χρήστη και προνόμιο OS επισκέπτη μέσω σφάλματος στη σελίδα τερματικού και ανάλυσης πλευρικού καναλιού

Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με καθαρισμό της μνήμης cache δεδομένων L1 στην είσοδο εικονικής μηχανής.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse και Thomas F. Wenisch του University of Michigan, Mark Silberstein και Marina Minkin της Technion, Raoul Strackx, Jo Van Bulck και Frank Piessens του KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun και Kekai Hu της Intel Corporation, Yuval Yarom του University of Adelaide

Hypervisor

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2018-4242: Zhuo Liang από την ομάδα Qihoo 360 Nirvan

ICU

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14 και macOS Sierra 10.12.6

Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4394: Erik Verbruggen από την The Qt Company

Πρόγραμμα οδήγησης γραφικών Intel

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4334: Ian Beer του Google Project Zero

Πρόγραμμα οδήγησης γραφικών Intel

Διατίθεται για: macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2018-4396: Yu Wang της Didi Research America

CVE-2018-4418: Yu Wang της Didi Research America

Πρόγραμμα οδήγησης γραφικών Intel

Διατίθεται για: macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4350: Yu Wang της Didi Research America

Πρόγραμμα οδήγησης γραφικών Intel

Διατίθεται για: macOS Mojave 10.14

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4421: Tyler Bohan της Cisco Talos

IOGraphics

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4422: ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

IOHIDFamily

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4408: Ian Beer του Google Project Zero

IOKit

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4402: Proteas από την ομάδα Qihoo 360 Nirvan

IOKit

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4341: Ian Beer του Google Project Zero

CVE-2018-4354: Ian Beer του Google Project Zero

IOUserEthernet

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4401: Apple

IPSec

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2018-4371: Tim Michaud (@TimGMichaud) της Leviathan Security Group

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Πυρήνας

Διατίθεται για: macOS High Sierra 10.13.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης με προνομιακές κλήσεις API. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2018-4399: Fabiano Anemone (@anoane)

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4419: Mohamed Ghannam (@_simo36)

CVE-2018-4425: cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Juwei Lin (@panicaII) της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Η προσάρτηση ενός κακόβουλου κοινόχρηστου στοιχείου δικτύου NFS ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα με προνόμια συστήματος

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4259: Kevin Backhouse της Semmle και του LGTM.com

CVE-2018-4286: Kevin Backhouse της Semmle και του LGTM.com

CVE-2018-4287: Kevin Backhouse της Semmle και του LGTM.com

CVE-2018-4288: Kevin Backhouse της Semmle και του LGTM.com

CVE-2018-4291: Kevin Backhouse της Semmle και του LGTM.com

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4413: Juwei Lin (@panicaII) της TrendMicro Mobile Security Team

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4407: Kevin Backhouse της Semmle Ltd.

Πυρήνας

Διατίθεται για: macOS Mojave 10.14

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.

CVE-2018-4424: Dr. Silvio Cesare της InfoSect

LinkPresentation

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος κειμένου μπορεί να προκαλέσει πλαστογράφηση του περιβάλλοντος χρήστη

Περιγραφή: Υπήρχε πρόβλημα πλαστογράφησης στον χειρισμό των διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) του Tencent Security Platform Department

Παράθυρο σύνδεσης

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2018-4348: Ken Gannon της MWR InfoSecurity και Christian Demko της MWR InfoSecurity

Mail

Διατίθεται για: macOS Mojave 10.14

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος email μπορεί να προκαλέσει πλαστογράφηση του περιβάλλοντος εργασίας χρήστη

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason της Syndis

mDNSOffloadUserClient

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4326: ανώνυμος ερευνητής σε συνεργασία με το Zero Day Initiative της Trend Micro, Zhuo Liang από την ομάδα Qihoo 360 Nirvan

MediaRemote

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.

CVE-2018-4310: CodeColorist του Ant-Financial LightYear Labs

Μικροκώδικας

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Τα συστήματα με μικροεπεξεργαστές που χρησιμοποιούν υποθετική εκτέλεση και τα οποία εκτελούν υποθετικές αναγνώσεις των μητρώων συστήματος ενδέχεται να επιτρέπουν τη μη εξουσιοδοτημένη αποκάλυψη παραμέτρων συστήματος σε έναν εισβολέα με τοπική πρόσβαση χρήστη μέσω ανάλυσης πλευρικού καναλιού

Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με ενημέρωση μικροκώδικα. Έτσι διασφαλίζεται ότι η εφαρμογή ειδικών μητρώων συστήματος δεν μπορεί να διαρρεύσει μέσω υποθετικής εκτέλεσης πλευρικού καναλιού.

CVE-2018-3640: Innokentiy Sennovskiy της BiZone LLC (bi.zone), Zdenek Sojka, Rudolf Marek και Alex Zuepke της SYSGO AG (sysgo.com)

NetworkExtension

Διατίθεται για: macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Η σύνδεση σε έναν διακομιστή VPN μπορεί να διαρρεύσει ερωτήματα DNS σε έναν διακομιστή μεσολάβησης DNS

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2018-4369: ανώνυμος ερευνητής

Perl

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Υπήρχαν πολλά προβλήματα υπερχείλισης buffer στην Perl

Περιγραφή: Τα πολλά προβλήματα στην Perl αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-6797: Brian Carpenter

Ruby

Διατίθεται για: macOS Sierra 10.12.6

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα στη Ruby αντιμετωπίστηκαν σε αυτήν την ενημέρωση.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

Ασφάλεια

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου υπογεγραμμένου μηνύματος S/MIME μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2018-4400: Yukinobu Nagayasu της LAC Co., Ltd.

Ασφάλεια

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4395: Patrick Wardle της Digita Security

Spotlight

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4393: Lufeng Li

Πλαίσιο συμπτώματος

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2018-4203: Bruno Keith (@bkth_) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Wi-Fi

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση μπορεί να έχει τη δυνατότητα να εκτελέσει μια επίθεση άρνησης υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4368: Milan Stute και Alex Mariotto του Secure Mobile Networking Lab στο Technische Universität Darmstadt

Επιπλέον αναγνώριση

Ημερολόγιο

Θα θέλαμε να ευχαριστήσουμε τον Matthew Thomas της Verisign για τη βοήθειά του.

coreTLS

Θα θέλαμε να ευχαριστήσουμε τον Eyal Ronen (Weizmann Institute), τον Robert Gillham (University of Adelaide), τον Daniel Genkin (University of Michigan), τον Adi Shamir (Weizmann Institute), τον David Wong (NCC Group) και τον Yuval Yarom (University of Adelaide και Data61) για τη βοήθειά τους.

iBooks

Θα θέλαμε να ευχαριστήσουμε τον Sem Voigtländer του Fontys Hogeschool ICT για τη βοήθειά του.

Πυρήνας

Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad για τη βοήθειά του.

LaunchServices

Θα θέλαμε να ευχαριστήσουμε τον Alok Menghrajani της Square για τη βοήθειά του.

Άμεση προβολή

Θα θέλαμε να ευχαριστήσουμε τον lokihardt του Google Project Zero για τη βοήθειά του.

Ασφάλεια

Θα θέλαμε να ευχαριστήσουμε τον Marinos Bernitsas της Parachute για τη βοήθειά του.

Τερματικό

Θα θέλαμε να ευχαριστήσουμε τον Federico Bento για τη βοήθειά του.

Time Machine

Θα θέλαμε να ευχαριστήσουμε τον Matthew Thomas της Verisign για τη βοήθειά του.