אודות תוכן האבטחה של macOS Mojave 10.14.1, עדכון האבטחה ‎2018-002 High Sierra ועדכון האבטחה ‎2018-005 Sierra

מסמך זה מתאר את תוכן האבטחה של macOS Mojave 10.14.1, עדכון האבטחה ‎2018-002 High Sierra ועדכון האבטחה ‎2018-005 Sierra.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

macOS Mojave 10.14.1, עדכון אבטחה ‎2018-002 High Sierra, עדכון אבטחה ‎2018-005 Sierra

פורסם ב-30 באוקטובר 2018

afpserver

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: תוקף מרוחק עלול להצליח לתקוף שרתי AFP דרך לקוחות HTTP

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2018-4295: ג'אנג'ון צ'ן (@whucjj) מאוניברסיטת Tsinghua ומ-UC Berkeley

AppleGraphicsControl

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2018-4410: חוקר אנונימי שעובד עם Zero Day Initiative של Trend Micro

AppleGraphicsControl

זמין עבור: macOS High Sierra 10.13.6

השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2018-4417: לי ממעבדת אבטחת המידע של אוניברסיטת Yonsei בשיתוף פעולה עם Zero Day Initiative של Trend Micro

APR

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: ב-Perl היו כמה בעיות של גלישת חוצץ

תיאור: מספר בעיות ב-Perl נפתרו באמצעות טיפול טוב יותר בזיכרון.

CVE-2017-12613: קרייג יאנג מ-Tripwire VERT

CVE-2017-12618: קרייג יאנג מ-Tripwire VERT

הערך עודכן ב-15 בפברואר 2019

ATS

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: אפליקציה זדונית עלולה להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2018-4411: לילנג וו ומוני לי מ-Trend Micro בשיתוף פעולה עם Zero Day Initiative של Trend Micro

ATS

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2018-4308: מוחמד גנם (@_simo36)

Automator

זמין עבור: macOS Mojave 10.14

השפעה: ייתכן שאפליקציה זדונית תצליח לגשת לקבצים מוגבלים

תיאור: הבעיה טופלה על ידי הסרת הרשאות נוספות.

CVE-2018-4468: ג'ף ג'ונסון מ-underpassapp.com

הערך נוסף ב-15 בפברואר 2019

CFNetwork

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4126: ברונו קיט (@bkth_) בשיתוף פעולה עם Zero Day Initiative של Trend Micro

CoreAnimation

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4415: ליאנג זאו בשיתוף פעולה עם SecuriTeam Secure Disclosure של Beyond Security

CoreCrypto

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: תוקף עלול להצליח לנצל נקודת תורפה במבחן הראשוניות של Miller-Rabin כדי לזהות מספרים ראשוניים באופן שגוי

תיאור: בשיטת הקביעה של מספרים ראשוניים הייתה בעיה. הבעיה טופלה באמצעות שימוש בבסיסים כמו אקראיים לבדיקת מספרים ראשוניים.

CVE-2018-4398: מרטין אלברכט, ג'ייק מסימו וקני פטרסון מ-Royal Holloway, אוניברסיטת לונדון וג'וראג' סומורובסקי מאוניברסיטת Ruhr, ‏Bochum

CoreFoundation

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: אפליקציה זדונית עלולה להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2018-4412: ‏National Cyber Security Centre ‏(NCSC) של בריטניה

CUPS

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: בתצורות מסוימות, תוקף מרוחק עשוי להצליח להחליף את התוכן של הודעה משרת ההדפסה בתוכן שרירותי

תיאור: בעיית החדרה טופלה באמצעות אימות משופר.

CVE-2018-4153: מייקל הנסלמן מ-hansmi.ch

CUPS

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: ייתכן שתוקף במיקום מורשה יוכל לבצע מתקפה של מניעת שירות

תיאור: בעיית מניעת שירות תוקנה באמצעות אימות משופר.

CVE-2018-4406: מייקל הנסלמן מ-hansmi.ch

מילון

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: ניתוח קובץ מילון בעל מבנה זדוני עלול להוביל לחשיפת מידע משתמש

תיאור: בעיית אימות איפשרה גישה לקבצים מקומיים. הבעיה טופלה באמצעות סניטציה של קלט.

CVE-2018-4346: וויצ'יץ' רגולה (@_r3ggi) מ-SecuRing

Dock

זמין עבור: macOS Mojave 10.14

השפעה: ייתכן שאפליקציה זדונית תצליח לגשת לקבצים מוגבלים

תיאור: הבעיה טופלה על ידי הסרת הרשאות נוספות.

CVE-2018-4403: פטריק וורדלה מ-Digita Security

הערך עודכן ב-15 בפברואר 2019

dyld

זמין עבור: macOS High Sierra 10.13.6,‏ macOS Mojave 10.14,‏ macOS Sierra 10.12.6

השפעה: אפליקציה זדונית עלולה להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2018-4423: יופו זנג מ-Chaitin Security Research Lab (@ChaitinTech)

הערך עודכן ב-16 בנובמבר 2018

EFI

זמין עבור: macOS High Sierra 10.13.6

השפעה: מערכות עם מיקרו-מעבדים שמשתמשים בביצוע ספקולטיבי ובקריאות של ביצוע ספקולטיבי לפני שהכתובות של כל הכתיבות המקדימות לזיכרון ידועות, עשויות לאפשר חשיפה לא מורשית של מידע לתוקף עם גישת משתמש מקומי דרך ניתוח של ערוץ צדדי

תיאור: בעיה של חשיפת זיכרון טופלה באמצעות עדכון מיקרו-קוד. פתרון זה מבטיח שלא ניתן לקרוא קריאות נתונים ישנות מכתובות שנכתבו לאחרונה דרך ערוץ צד ספקולטיבי.

CVE-2018-3639: ג'אן הורן (@tehjh) מ-Project Zero של Google (GPZ), קן ג'ונסון מ-Microsoft Security Response Center (MSRC)

EFI

זמין עבור: macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: ייתכן שמשתמש מקומי יוכל לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.

CVE-2018-4342: טימותי פרטיף מ-Twocanoes Software

יסוד

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית מניעת שירות תוקנה באמצעות אימות משופר.

CVE-2018-4304: יאנן הואנג (@Sevck)

Grand Central Dispatch

זמין עבור: macOS High Sierra 10.13.6

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4426: ‏ברנדון אזאד

Heimdal

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4331: ‏ברנדון אזאד

Hypervisor

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: מערכות עם מיקרו מעבדים שמשתמשים בביצוע ספקולטיבי ותרגום כתובות עלולות לאפשר חשיפה לא מורשית של מידע שנמצא במטמון הנתונים L1 לתוקף בעל גישת משתמש מקומי עם הרשאת אורח ל-OS דרך תקלת דף מסוף וניתוח ערוץ צדדי

תיאור: בעיה של חשיפת מידע טופלה על ידי ניקוי מטמון הנתונים L1 בכניסת המכונה הווירטואלית.

CVE-2018-3646: בריס קסיקצ'י, דניאל גנקין, אופיר וויס ותומס פ. ווינש מאוניברסיטת מישיגן, מרק זילברשטיין ומרינה מינקין מהטכניון, ראול סטרקס, ג'ו ואן באלק ופרנק פיאסנס מ-KU לובן, רודריגו ברנקו, הנריק קאווקאמי, קה סון וקקיי הו מ-Intel Corporation, יובל ירום מאוניברסיטת אדלייד

Hypervisor

זמין עבור: macOS Sierra 10.12.6

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.

CVE-2018-4242: ‏זאו ליאנג מ-Qihoo 360 Nirvan Team

ICU

זמין עבור: macOS High Sierra 10.13.6,‏ macOS Mojave 10.14,‏ macOS Sierra 10.12.6

השפעה: עיבוד מחרוזת בעלת מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2018-4394: אריק וורברוגן מ-Qt Company

הערך עודכן ב-16 בנובמבר 2018

Intel Graphics Driver

זמין עבור: macOS Sierra 10.12.6

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4334:‏ איאן ביר מ-Google Project Zero

Intel Graphics Driver

זמין עבור: macOS High Sierra 10.13.6

השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2018-4396: יו וואנג מ-Didi Research America

CVE-2018-4418: יו וואנג מ-Didi Research America

Intel Graphics Driver

זמין עבור: macOS High Sierra 10.13.6

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2018-4350: יו וואנג מ-Didi Research America

Intel Graphics Driver

זמין עבור: macOS Mojave 10.14

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4421: טיילר בוהן מ-Cisco Talos

הערך נוסף ב-21 בדצמבר 2018

IOGraphics

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4422: חוקר אנונימי שעובד עם Zero Day Initiative של Trend Micro

IOHIDFamily

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2018-4408:‏ איאן ביר מ-Google Project Zero

הערך עודכן ב-1 באוגוסט 2019

IOKit

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4402: ‏Proteas מ-Qihoo 360 Nirvan Team

IOKit

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: אפליקציה זדונית עלולה להצליח לצאת מתוך 'תיבת החול'

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4341:‏ איאן ביר מ-Google Project Zero

CVE-2018-4354:‏ איאן ביר מ-Google Project Zero

IOUserEthernet

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4401:‏ Apple

IPSec

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: אפליקציה עלולה לקבל הרשאות ברמה גבוהה יותר

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2018-4371: טים מיכאוד (@TimGMichaud) מ-Leviathan Security Group

ליבה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה על-ידי הסרת הקוד הפגיע.

CVE-2018-4420: מוחמד גנם (@_simo36)

ליבה

זמין עבור: macOS High Sierra 10.13.6

השפעה: אפליקציה זדונית עשויה להדליף מידע רגיש אודות המשתמש

תיאור: בקריאות של API בעלי הרשאות הייתה בעיית גישה. בעיה זו טופלה באמצעות הגבלות נוספות.

CVE-2018-4399: פביאנו אנמונה (@anoane)

ליבה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4340: מוחמד גנם (@_simo36)

CVE-2018-4419: מוחמד גנם (@_simo36)

CVE-2018-4425‏: cc בשיתוף פעולה עם Zero Day Initiative של Trend Micro, ג'ו-וואי לין (@panicaII) מ-Trend Micro שעובד בשיתוף פעולה עם Zero Day Initiative של Trend Micro

ליבה

זמין עבור: macOS Sierra 10.12.6

השפעה: טעינת שיתוף רשת NFS בעל מבנה זדוני עלולה להוביל להפעלת קוד שרירותי עם הרשאות מערכת

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2018-4259: ‏קווין בקהאוס מ-Semmle ו-LGTM.com.

CVE-2018-4286: ‏קווין בקהאוס מ-Semmle ו-LGTM.com.

CVE-2018-4287: ‏קווין בקהאוס מ-Semmle ו-LGTM.com.

CVE-2018-4288: ‏קווין בקהאוס מ-Semmle ו-LGTM.com.

CVE-2018-4291: ‏קווין בקהאוס מ-Semmle ו-LGTM.com.

ליבה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4413: ג'ו-וואי לין (@panicaII) מ-TrendMicro Mobile Security Team

ליבה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: תוקף במיקום מורשה ברשת עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2018-4407: ‏קווין בקהאוס מ-.Semmle Ltd‎

ליבה

זמין עבור: macOS Mojave 10.14

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.

CVE-2018-4424: ‏ד"ר סילביו צ'זרה מ-InfoSect

LinkPresentation

זמין עבור: macOS Sierra 10.12.6

השפעה: עיבוד הודעת טקסט בעלת מבנה זדוני עלול להוביל לזיוף זהות בממשק משתמש

תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.

CVE-2018-4187: רומן מולר ‏(‎@faker_), ‏ג'י-יאנג זנג ‏(‎@Wester) מ-Tencent Security Platform Department

הערך נוסף ב-3 באפריל 2019

חלון התחברות

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: משתמש מקומי עלול להצליח לגרום מניעת שירות

תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.

CVE-2018-4348: קן גנון מ-MWR InfoSecurity and וכריסטיאן דמקו מ-MWR InfoSecurity

דואר

זמין עבור: macOS Mojave 10.14

השפעה: עיבוד הודעת דואר בעלת מבנה זדוני עלול להוביל לזיוף זהות בממשק משתמש

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצב משופר.

CVE-2018-4389: ‏Dropbox Offensive Security Team, תיאודור רגנר גיסלסון מ-Syndis

mDNSOffloadUserClient

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4326: חוקר אנונימי שעובד עם Zero Day Initiative של Trend Micro, זאו ליאנג מ-Qihoo 360 Nirvan Team

MediaRemote

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של 'ארגז החול'

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2018-4310: ‏CodeColorist מ-Ant-Financial LightYear Labs

מיקרו-קוד

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: מערכות עם מיקרו-מעבדים שמשתמשות בביצוע ספקולטיבי ושמבצעות קריאות ספקולטיביות של רישומי מערכת עלולות לאפשר חשיפה בלתי מורשית של פרמטרים של המערכת לתוקף עם גישת משתמש מקומי דרך ניתוח ערוץ צדדי

תיאור: בעיה של חשיפת זיכרון טופלה באמצעות עדכון מיקרו-קוד. פתרון זה מבטיח שרישומי מערכת ספציפיים להטמעה לא יוכלו לדלוף דרך ערוץ צדדי של ביצוע ספקולטיבי.

CVE-2018-3640: אינוקנטי סנובוסקי מ-BiZone LLC (bi.zone), זדנק סוג'קה, רודולף מארק ואלכס זואפקה מ-SYSGO AG ‏(sysgo.com)

NetworkExtension

זמין עבור: macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: התחברות לשרת VPN עלולה לגרום לדליפת שאילתות DNS לשרת פרוקסי של DNS

תיאור: בעיה לוגית טופלה באמצעות ניהול מצב משופר.

CVE-2018-4369: חוקר אנונימי

Perl

זמין עבור: macOS Sierra 10.12.6

השפעה: ב-Perl היו כמה בעיות של גלישת חוצץ

תיאור: מספר בעיות ב-Perl נפתרו באמצעות טיפול טוב יותר בזיכרון.

CVE-2018-6797: בריאן קרפנטר

Ruby

זמין עבור: macOS Sierra 10.12.6

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של אפליקציה או הפעלת קוד שרירותי

תיאור: מספר תקלות ב-Ruby טופלו בעדכון זה.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

אבטחה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: עיבוד הודעה עם חתימת S/MIME בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.

CVE-2018-4400: יוקינובו נגאיסו מ-LAC Co., Ltd.‎

אבטחה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: משתמש מקומי עלול להצליח לגרום מניעת שירות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4395: פטריק וורדלה מ-Digita Security

Spotlight

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4393: לופנג לי

Symptom Framework

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2018-4203: ברונו קיט (@bkth_) בשיתוף פעולה עם Zero Day Initiative של Trend Micro

WiFi

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14

השפעה: ייתכן שתוקף במיקום מורשה יוכל לבצע מתקפה של מניעת שירות

תיאור: בעיית מניעת שירות תוקנה באמצעות אימות משופר.

CVE-2018-4368: ‏מילאן סטוט ואלכס מריאוטו מ-Secure Mobile Networking Lab מהאוניברסיטה הטכנית של דרשמטדט

תודות נוספות

לוח שנה

ברצוננו להודות למתיו תומס מ-Verisign על הסיוע.

הערך עודכן ב-15 בפברואר 2019

coreTLS

ברצוננו להודות לאייל רונן (מכון ויצמן), רוברט גילהם (אוניברסיטת אדלייד), דניאל גנקין (אוניברסיטת מישיגן), עדי שמיר (מכון ויצמן), דוויד וונג (קבוצת NCC) ויובל ירום (אוניברסיטת אדלייד ו-Data61) על עזרתם.

הערך נוסף ב-12 בדצמבר 2018

iBooks

ברצוננו להודות לסם וויגטלנדר מ-Fontys Hogeschool ICT על הסיוע.

ליבה

אנחנו מבקשים להודות לברנדון אזאד על הסיוע.

LaunchServices

ברצוננו להודות לאלוק מנגהראג'ני מ-Square על הסיוע.

מבט מהיר

אנחנו מבקשים להודות ללוקיהרדט מ-Google Project Zero על הסיוע.

אבטחה

ברצוננו להודות למרינוס ברניטסאס מ-Parachute על הסיוע.

מסוף

אנחנו מבקשים להודות לפדריקו בנטו על הסיוע.

הערך עודכן ב-3 בפברואר 2020

Time Machine

ברצוננו להודות למתיו תומס מ-Verisign על הסיוע.

הערך נוסף ב-15 בפברואר 2019

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: