Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS Mojave 10.14.1, της Ενημέρωσης ασφάλειας 2018-002 High Sierra, της Ενημέρωσης ασφάλειας 2018-005 Sierra
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Mojave 10.14.1, της Ενημέρωσης ασφάλειας 2018-002 High Sierra και της Ενημέρωσης ασφάλειας 2018-005 Sierra.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
macOS Mojave 10.14.1, Ενημέρωση ασφάλειας 2018-002 High Sierra, Ενημέρωση ασφάλειας 2018-005 Sierra
afpserver
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορέσει να εισβάλει σε διακομιστές AFP μέσω πελατών HTTP
Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2018-4295: Jianjun Chen (@whucjj) από το Tsinghua University και το UC Berkeley
AppleGraphicsControl
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2018-4410: ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
AppleGraphicsControl
Διατίθεται για: macOS High Sierra 10.13.6
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2018-4417: Lee του Information Security Lab του Yonsei University σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
APR
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Υπήρχαν πολλά προβλήματα υπερχείλισης buffer στην Perl
Περιγραφή: Τα πολλά προβλήματα στην Perl αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2017-12613: Craig Young της Tripwire VERT
CVE-2017-12618: Craig Young της Tripwire VERT
ATS
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2018-4411: lilang wu moony Li της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
ATS
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2018-4308: Mohamed Ghannam (@_simo36)
Automator
Διατίθεται για: macOS Mojave 10.14
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με κατάργηση των πρόσθετων δικαιωμάτων.
CVE-2018-4468: Jeff Johnson του underpassapp.com
CFNetwork
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4126: Bruno Keith (@bkth_) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CoreAnimation
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4415: Liang Zhuo σε συνεργασία με το πρόγραμμα SecuriTeam Secure Disclosure της Beyond Security
CoreCrypto
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί μια αδυναμία στον έλεγχο Miller-Rabin για να προσδιορίσει λανθασμένα πρώτους αριθμούς
Περιγραφή: Υπήρχε πρόβλημα στη μέθοδο προσδιορισμού πρώτων αριθμών. Αυτό το πρόβλημα αντιμετωπίστηκε με τη χρήση ψευδοτυχαίων βάσεων για τον έλεγχο πρώτων αριθμών.
CVE-2018-4398: Martin Albrecht, Jake Massimo και Kenny Paterson του Royal Holloway, University of London και Juraj Somorovsky του Ruhr University, Bochum
CoreFoundation
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2018-4412: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου
CUPS
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Σε συγκεκριμένες διαμορφώσεις, ένας απομακρυσμένος εισβολέας ενδέχεται να είναι σε θέση να αντικαθιστά το περιεχόμενο του μηνύματος από τον διακομιστή εκτυπώσεων με αυθαίρετο περιεχόμενο
Περιγραφή: Ένα πρόβλημα εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2018-4153: Michael Hanselmann του hansmi.ch
CUPS
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση μπορεί να έχει τη δυνατότητα να εκτελέσει μια επίθεση άρνησης υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2018-4406: Michael Hanselmann του hansmi.ch
Λεξικό
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου λεξικού ενδέχεται να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης το οποίο επέτρεπε την πρόσβαση σε τοπικά αρχεία. Αντιμετωπίστηκε με εξυγίανση εισαγωγής.
CVE-2018-4346: Wojciech Reguła (@_r3ggi) του SecuRing
Dock
Διατίθεται για: macOS Mojave 10.14
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με κατάργηση των πρόσθετων δικαιωμάτων.
CVE-2018-4403: Patrick Wardle της Digita Security
dyld
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14 και macOS Sierra 10.12.6
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2018-4423: Youfu Zhang του Chaitin Security Research Lab (@ChaitinTech)
EFI
Διατίθεται για: macOS High Sierra 10.13.6
Αποτέλεσμα: Τα συστήματα με μικροεπεξεργαστές που χρησιμοποιούν υποθετική εκτέλεση και υποθετική εκτέλεση αναγνώσεων μνήμης πριν καταστούν γνωστές οι διευθύνσεις όλων των προηγούμενων εγγραφών μνήμης ενδέχεται να επιτρέψουν τη μη εξουσιοδοτημένη αποκάλυψη πληροφοριών σε έναν εισβολέα με τοπική πρόσβαση χρήστη μέσω ανάλυσης πλευρικού καναλιού
Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με ενημέρωση μικροκώδικα. Αυτό διασφαλίζει ότι παλαιότερα δεδομένα που διαβάζονται από διευθύνσεις στις οποίες έγινε πρόσφατα εγγραφή δεν μπορούν να διαβαστούν μέσω υποθετικού πλευρικού καναλιού.
CVE-2018-3639: Jann Horn (@tehjh) του Google Project Zero (GPZ), Ken Johnson του Microsoft Security Response Center (MSRC)
EFI
Διατίθεται για: macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Ένα πρόβλημα διαμόρφωσης αντιμετωπίστηκε με πρόσθετους περιορισμούς.
CVE-2018-4342: Timothy Perfitt της Twocanoes Software
Υποδομή
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2018-4304: jianan.huang (@Sevck)
Grand Central Dispatch
Διατίθεται για: macOS High Sierra 10.13.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4426: Brandon Azad
Heimdal
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4331: Brandon Azad
Hypervisor
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Τα συστήματα με μικροεπεξεργαστές που χρησιμοποιούν υποθετική εκτέλεση και μεταφράσεις διευθύνσεων ενδέχεται να επιτρέπουν τη μη εξουσιοδοτημένη αποκάλυψη πληροφοριών που βρίσκονται στη μνήμη cache δεδομένων L1 σε έναν εισβολέα με τοπική πρόσβαση χρήστη και προνόμιο OS επισκέπτη μέσω σφάλματος στη σελίδα τερματικού και ανάλυσης πλευρικού καναλιού
Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με καθαρισμό της μνήμης cache δεδομένων L1 στην είσοδο εικονικής μηχανής.
CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse και Thomas F. Wenisch του University of Michigan, Mark Silberstein και Marina Minkin της Technion, Raoul Strackx, Jo Van Bulck και Frank Piessens του KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun και Kekai Hu της Intel Corporation, Yuval Yarom του University of Adelaide
Hypervisor
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.
CVE-2018-4242: Zhuo Liang από την ομάδα Qihoo 360 Nirvan
ICU
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14 και macOS Sierra 10.12.6
Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2018-4394: Erik Verbruggen από την The Qt Company
Πρόγραμμα οδήγησης γραφικών Intel
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4334: Ian Beer του Google Project Zero
Πρόγραμμα οδήγησης γραφικών Intel
Διατίθεται για: macOS High Sierra 10.13.6
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2018-4396: Yu Wang της Didi Research America
CVE-2018-4418: Yu Wang της Didi Research America
Πρόγραμμα οδήγησης γραφικών Intel
Διατίθεται για: macOS High Sierra 10.13.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2018-4350: Yu Wang της Didi Research America
Πρόγραμμα οδήγησης γραφικών Intel
Διατίθεται για: macOS Mojave 10.14
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4421: Tyler Bohan της Cisco Talos
IOGraphics
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4422: ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
IOHIDFamily
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2018-4408: Ian Beer του Google Project Zero
IOKit
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4402: Proteas από την ομάδα Qihoo 360 Nirvan
IOKit
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4341: Ian Beer του Google Project Zero
CVE-2018-4354: Ian Beer του Google Project Zero
IOUserEthernet
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4401: Apple
IPSec
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2018-4371: Tim Michaud (@TimGMichaud) της Leviathan Security Group
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2018-4420: Mohamed Ghannam (@_simo36)
Πυρήνας
Διατίθεται για: macOS High Sierra 10.13.6
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη
Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης με προνομιακές κλήσεις API. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετους περιορισμούς.
CVE-2018-4399: Fabiano Anemone (@anoane)
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4419: Mohamed Ghannam (@_simo36)
CVE-2018-4425: cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Juwei Lin (@panicaII) της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Η προσάρτηση ενός κακόβουλου κοινόχρηστου στοιχείου δικτύου NFS ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα με προνόμια συστήματος
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4259: Kevin Backhouse της Semmle και του LGTM.com
CVE-2018-4286: Kevin Backhouse της Semmle και του LGTM.com
CVE-2018-4287: Kevin Backhouse της Semmle και του LGTM.com
CVE-2018-4288: Kevin Backhouse της Semmle και του LGTM.com
CVE-2018-4291: Kevin Backhouse της Semmle και του LGTM.com
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4413: Juwei Lin (@panicaII) της TrendMicro Mobile Security Team
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2018-4407: Kevin Backhouse της Semmle Ltd.
Πυρήνας
Διατίθεται για: macOS Mojave 10.14
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.
CVE-2018-4424: Dr. Silvio Cesare της InfoSect
LinkPresentation
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος κειμένου μπορεί να προκαλέσει πλαστογράφηση του περιβάλλοντος χρήστη
Περιγραφή: Υπήρχε πρόβλημα πλαστογράφησης στον χειρισμό των διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) του Tencent Security Platform Department
Παράθυρο σύνδεσης
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.
CVE-2018-4348: Ken Gannon της MWR InfoSecurity και Christian Demko της MWR InfoSecurity
Διατίθεται για: macOS Mojave 10.14
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος email μπορεί να προκαλέσει πλαστογράφηση του περιβάλλοντος εργασίας χρήστη
Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason της Syndis
mDNSOffloadUserClient
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4326: ανώνυμος ερευνητής σε συνεργασία με το Zero Day Initiative της Trend Micro, Zhuo Liang από την ομάδα Qihoo 360 Nirvan
MediaRemote
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.
CVE-2018-4310: CodeColorist του Ant-Financial LightYear Labs
Μικροκώδικας
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Τα συστήματα με μικροεπεξεργαστές που χρησιμοποιούν υποθετική εκτέλεση και τα οποία εκτελούν υποθετικές αναγνώσεις των μητρώων συστήματος ενδέχεται να επιτρέπουν τη μη εξουσιοδοτημένη αποκάλυψη παραμέτρων συστήματος σε έναν εισβολέα με τοπική πρόσβαση χρήστη μέσω ανάλυσης πλευρικού καναλιού
Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με ενημέρωση μικροκώδικα. Έτσι διασφαλίζεται ότι η εφαρμογή ειδικών μητρώων συστήματος δεν μπορεί να διαρρεύσει μέσω υποθετικής εκτέλεσης πλευρικού καναλιού.
CVE-2018-3640: Innokentiy Sennovskiy της BiZone LLC (bi.zone), Zdenek Sojka, Rudolf Marek και Alex Zuepke της SYSGO AG (sysgo.com)
NetworkExtension
Διατίθεται για: macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Η σύνδεση σε έναν διακομιστή VPN μπορεί να διαρρεύσει ερωτήματα DNS σε έναν διακομιστή μεσολάβησης DNS
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2018-4369: ανώνυμος ερευνητής
Perl
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Υπήρχαν πολλά προβλήματα υπερχείλισης buffer στην Perl
Περιγραφή: Τα πολλά προβλήματα στην Perl αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2018-6797: Brian Carpenter
Ruby
Διατίθεται για: macOS Sierra 10.12.6
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Πολλά προβλήματα στη Ruby αντιμετωπίστηκαν σε αυτήν την ενημέρωση.
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
Ασφάλεια
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου υπογεγραμμένου μηνύματος S/MIME μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.
CVE-2018-4400: Yukinobu Nagayasu της LAC Co., Ltd.
Ασφάλεια
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2018-4395: Patrick Wardle της Digita Security
Spotlight
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4393: Lufeng Li
Πλαίσιο συμπτώματος
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2018-4203: Bruno Keith (@bkth_) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Wi-Fi
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 και macOS Mojave 10.14
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση μπορεί να έχει τη δυνατότητα να εκτελέσει μια επίθεση άρνησης υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2018-4368: Milan Stute και Alex Mariotto του Secure Mobile Networking Lab στο Technische Universität Darmstadt
Επιπλέον αναγνώριση
Ημερολόγιο
Θα θέλαμε να ευχαριστήσουμε τον Matthew Thomas της Verisign για τη βοήθειά του.
coreTLS
Θα θέλαμε να ευχαριστήσουμε τον Eyal Ronen (Weizmann Institute), τον Robert Gillham (University of Adelaide), τον Daniel Genkin (University of Michigan), τον Adi Shamir (Weizmann Institute), τον David Wong (NCC Group) και τον Yuval Yarom (University of Adelaide και Data61) για τη βοήθειά τους.
iBooks
Θα θέλαμε να ευχαριστήσουμε τον Sem Voigtländer του Fontys Hogeschool ICT για τη βοήθειά του.
Πυρήνας
Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad για τη βοήθειά του.
LaunchServices
Θα θέλαμε να ευχαριστήσουμε τον Alok Menghrajani της Square για τη βοήθειά του.
Άμεση προβολή
Θα θέλαμε να ευχαριστήσουμε τον lokihardt του Google Project Zero για τη βοήθειά του.
Ασφάλεια
Θα θέλαμε να ευχαριστήσουμε τον Marinos Bernitsas της Parachute για τη βοήθειά του.
Τερματικό
Θα θέλαμε να ευχαριστήσουμε τον Federico Bento για τη βοήθειά του.
Time Machine
Θα θέλαμε να ευχαριστήσουμε τον Matthew Thomas της Verisign για τη βοήθειά του.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.