Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του macOS High Sierra 10.13.4, της Ενημέρωσης ασφάλειας 2018-002 Sierra και της Ενημέρωσης ασφάλειας 2018-002 El Capitan

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS High Sierra 10.13.4, της Ενημέρωσης ασφάλειας 2018-002 Sierra και της Ενημέρωσης ασφάλειας 2018-002 El Capitan.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

macOS High Sierra 10.13.4, Ενημέρωση ασφάλειας 2018-002 Sierra και Ενημέρωση ασφάλειας 2018-002 El Capitan

Πλαίσιο διαχείρισης

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Συνθηματικά που παρέχονταν στο sysadminctl ενδέχεται να μπορούν να είναι ορατά από άλλους τοπικούς χρήστες

Περιγραφή: Για τη χρήση του εργαλείου γραμμής εντολών sysadminctl ήταν απαραίτητη η μετάδοση των συνθηματικών στα ορίσματα του εργαλείου, γεγονός που ενδέχεται να καθιστούσε δυνητικά ορατά τα συνθηματικά σε άλλους τοπικούς χρήστες. Αυτή η ενημέρωση καθιστά προαιρετική την παράμετρο εισαγωγής του συνθηματικού και το sysadminctl ζητεί το συνθηματικό, εφόσον είναι απαραίτητο.

CVE-2018-4170: ανώνυμος ερευνητής

APFS

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Ένα συνθηματικό όγκου APFS ενδέχεται να περικοπεί απρόσμενα

Περιγραφή: Ένα πρόβλημα εισαγωγής αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2018-4105: David J Beitey (@davidjb_), Geoffrey Bugniot

ATS

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να αποκαλύψει πληροφορίες χρήστη

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης των symlinks.

CVE-2018-4112: Haik Aftandilian της Mozilla

Συνεδρία CFNetwork

Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2018-4166: Samuel Groß (@5aelo)

CoreFoundation

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4142: Robin Leroy της Google Switzerland GmbH

CoreTypes

Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης ιστοσελίδας μπορεί να οδηγήσει σε προσάρτηση ενός ειδώλου δίσκου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2017-13890: Apple, Theodor Ragnar Gislason της Syndis

curl

Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6

Αποτέλεσμα: Πολλαπλά προβλήματα στο curl

Περιγραφή: Υπήρχε μια υπερχείλιση ακεραίων στο curl. Αυτό το ζήτημα αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2017-8816: Alex Nichols

Είδωλα δίσκων

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Η προσάρτηση ενός κακόβουλου ειδώλου δίσκου ενδέχεται να οδηγήσει σε εκκίνηση μιας εφαρμογής

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4176: Theodor Ragnar Gislason της Syndis

Διαχείριση δίσκων

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Ένα συνθηματικό όγκου APFS ενδέχεται να περικοπεί απρόσμενα

Περιγραφή: Ένα πρόβλημα εισαγωγής αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2018-4108: Kamatham Chaitanya της ShiftLeft Inc., ανώνυμος ερευνητής

EFI

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Ένας εισβολέας στην εμβέλεια του Wi-Fi ενδεχομένως να επιβάλλει την επαναχρησιμοποίηση μοναδικών αριθμών nonce σε πελάτες WPA (επιθέσεις επανεγκατάστασης κλειδιών – KRACK)

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των μεταβάσεων κατάστασης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-13080: Mathy Vanhoef της ομάδας imec-DistriNet στο KU Leuven

Συμβάντα συστήματος αρχείων

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2018-4167: Samuel Groß (@5aelo)

iCloud Drive

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2018-4151: Samuel Groß (@5aelo)

Πρόγραμμα οδήγησης γραφικών Intel

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4132: Axis και pjf του IceSword Lab της Qihoo 360

IOFireWireFamily

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4135: Xiaolong Bai και Min (Spark) Zheng της Alibaba Inc.

Πυρήνας

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4150: ανώνυμος ερευνητής

Πυρήνας

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2018-4104: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

Πυρήνας

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4143: derrek (@derrekr6)

Πυρήνας

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2018-4136: Jonas Jensen του lgtm.com και της Semmle

Πυρήνας

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2018-4160: Jonas Jensen του lgtm.com και της Semmle

Πυρήνας

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Υπήρχε ένα πρόβλημα αποκάλυψης πληροφοριών στη μετάβαση της κατάστασης προγράμματος. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2018-4185: Brandon Azad

εργαλεία kext

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Υπήρχε ένα πρόβλημα λογικής με αποτέλεσμα την αλλοίωση της μνήμης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2018-4139: Ian Beer του Google Project Zero

LaunchServices

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να είναι σε θέση να παρακάμψει την επιβολή της διαδικασίας υπογραφής κώδικα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4175: Theodor Ragnar Gislason της Syndis

libxml2

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.3 και OS X El Capitan 10.11.6

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα στο Safari

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2017-15412: Nick Wellnhofer

LinkPresentation

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος κειμένου μπορεί να προκαλέσει πλαστογράφηση του περιβάλλοντος χρήστη

Περιγραφή: Υπήρχε πρόβλημα πλαστογράφησης στον χειρισμό των διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) του Tencent Security Platform Department

Τοπικός έλεγχος ταυτότητας

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να προβάλλει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα με τον χειρισμό των PIN έξυπνης κάρτας. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετη λογική.

CVE-2018-4179: David Fuhrmann

Mail

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να αποσπάσει τα περιεχόμενα email με κρυπτογράφηση S/MIME

Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό e-mail σε μορφή HTML με κρυπτογράφηση S/MIME. Αυτό το πρόβλημα αντιμετωπίστηκε με την κατάργηση της φόρτωσης απομακρυσμένων πόρων σε μηνύματα με κρυπτογράφηση S/MIME ως προεπιλογή αν το μήνυμα δεν περιείχε καθόλου ή δεν περιείχε έγκυρη υπογραφή S/MIME.

CVE-2018-4111: Damian Poddebniak του Münster University of Applied Sciences, Christian Dresen του Münster University of Applied Sciences, Jens Müller του Ruhr University Bochum, Fabian Ising του Münster University of Applied Sciences, Sebastian Schinzel του Münster University of Applied Sciences, Simon Friedberger του KU Leuven, Juraj Somorovsky του Ruhr University Bochum, Jörg Schwenk του Ruhr University Bochum

Mail

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να υποκλέψει τα περιεχόμενα e-mail με κρυπτογράφηση S/MIME

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2018-4174: John McCombs της Integrated Mapping Ltd, McClain Looney της LoonSoft Inc.

Σημειώσεις

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2018-4152: Samuel Groß (@5aelo)

Σημειώσεις

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2017-7151: Samuel Groß (@5aelo)

NSURLSession

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2018-4166: Samuel Groß (@5aelo)

Προγράμματα οδήγησης γραφικών NVIDIA

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2018-4138: Axis και pjf του IceSword Lab της Qihoo 360

PDFKit

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Η εφαρμογή κλικ σε μια διεύθυνση URL σε ένα PDF ενδέχεται να οδηγεί σε επίσκεψη ιστότοπου με κακόβουλη δομή

Περιγραφή: Υπήρχε πρόβλημα στην ανάλυση των διευθύνσεων URL στα αρχεία PDF. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4107: Nick Safford της Innovia Technology

PluginKit

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2018-4156: Samuel Groß (@5aelo)

Άμεση προβολή

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2018-4157: Samuel Groß (@5aelo)

Απομακρυσμένη διαχείριση

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Ένας απομακρυσμένος χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Υπήρχε ένα πρόβλημα με τα δικαιώματα στην Απομακρυσμένη διαχείριση. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση δικαιωμάτων.

CVE-2018-4298: Tim van der Werff της SupCloud

Ασφάλεια

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

SIP

Διατίθεται για: OS X El Capitan 10.11.6 και macOS Sierra 10.12.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα διαμόρφωσης αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2017-13911: Timothy Perfitt της Twocanoes Software

Γραμμή κατάστασης

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να έχει πρόσβαση στο μικρόφωνο χωρίς ένδειξη στον χρήστη

Περιγραφή: Υπήρξε ένα πρόβλημα συνέπειας κατά τον καθορισμό της εμφάνισης της ένδειξης χρήσης μικροφώνου. Το πρόβλημα επιλύθηκε με βελτιωμένη επαλήθευσης δυνατοτήτων.

CVE-2018-4173: Joshua Pokotilow της pingmd

Χώρος αποθήκευσης

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2018-4154: Samuel Groß (@5aelo)

Προτιμήσεις συστήματος

Διατίθεται για: macOS High Sierra 10.13.3

Αποτέλεσμα: Ένα προφίλ ρύθμισης παραμέτρων ενδέχεται να παραμείνει εσφαλμένα σε ισχύ μετά από κατάργηση

Περιγραφή: Υπήρχε ένα πρόβλημα στο CFPreferences. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εκκαθάριση προτιμήσεων.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov και Matt Vlasach του Wandera

Τερματικό

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Η επικόλληση κακόβουλου περιεχομένου ενδέχεται να οδηγήσει σε αυθαίρετη εκτέλεση εντολών

Περιγραφή: Υπήρχε ένα πρόβλημα εισαγωγής εντολών στον χειρισμό της λειτουργίας Bracketed Paste. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης ειδικών χαρακτήρων.

CVE-2018-4106: Simon Hosie

WindowServer

Διατίθεται για: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 και macOS High Sierra 10.13.3

Αποτέλεσμα: Μια εφαρμογή χωρίς προνόμια ενδέχεται να μπορεί να καταγράψει ακολουθίες πληκτρολόγησης που εισάγονται σε άλλες εφαρμογές, ακόμη και όταν είναι ενεργοποιημένη η λειτουργία ασφαλούς εισαγωγής

Περιγραφή: Με τη σάρωση καταστάσεων πλήκτρων, μια εφαρμογή χωρίς προνόμια θα μπορούσε να καταγράψει ακολουθίες πληκτρολόγησης που εισάγονταν σε άλλες εφαρμογές, ακόμη και όταν ήταν ενεργοποιημένη η λειτουργία ασφαλούς εισαγωγής. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2018-4131: Andreas Hegenberg του folivora.AI GmbH

Επιπλέον αναγνώριση

Mail

Θα θέλαμε να ευχαριστήσουμε τον Sabri Haddouche (@pwnsdx) από την Wire Swiss GmbH για τη βοήθειά του.

Αυτοσυμπλήρωση στοιχείων σύνδεσης Safari

Θα θέλαμε να ευχαριστήσουμε τον Jun Kokatsu (@shhnjk) για τη βοήθειά του.

Ασφάλεια

Θα θέλαμε να ευχαριστήσουμε τον Abraham Masri (@cheesecakeufo) για τη βοήθειά του.

Κοινή χρήση τμήματος προτιμήσεων

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.