אודות תוכן האבטחה של macOS Mojave 10.14.1, עדכון האבטחה 2018-002 High Sierra ועדכון האבטחה 2018-005 Sierra
מסמך זה מתאר את תוכן האבטחה של macOS Mojave 10.14.1, עדכון האבטחה 2018-002 High Sierra ועדכון האבטחה 2018-005 Sierra.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
macOS Mojave 10.14.1, עדכון אבטחה 2018-002 High Sierra, עדכון אבטחה 2018-005 Sierra
afpserver
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: תוקף מרוחק עלול להצליח לתקוף שרתי AFP דרך לקוחות HTTP
תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.
CVE-2018-4295: ג'אנג'ון צ'ן (@whucjj) מאוניברסיטת Tsinghua ומ-UC Berkeley
AppleGraphicsControl
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2018-4410: חוקר אנונימי שעובד עם Zero Day Initiative של Trend Micro
AppleGraphicsControl
זמין עבור: macOS High Sierra 10.13.6
השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל
תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.
CVE-2018-4417: לי ממעבדת אבטחת המידע של אוניברסיטת Yonsei בשיתוף פעולה עם Zero Day Initiative של Trend Micro
APR
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: ב-Perl היו כמה בעיות של גלישת חוצץ
תיאור: מספר בעיות ב-Perl נפתרו באמצעות טיפול טוב יותר בזיכרון.
CVE-2017-12613: קרייג יאנג מ-Tripwire VERT
CVE-2017-12618: קרייג יאנג מ-Tripwire VERT
ATS
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: אפליקציה זדונית עלולה להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2018-4411: לילנג וו ומוני לי מ-Trend Micro בשיתוף פעולה עם Zero Day Initiative של Trend Micro
ATS
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2018-4308: מוחמד גנם (@_simo36)
Automator
זמין עבור: macOS Mojave 10.14
השפעה: ייתכן שאפליקציה זדונית תצליח לגשת לקבצים מוגבלים
תיאור: בעיה זו טופלה באמצעות הסרת הרשאות נוספות.
CVE-2018-4468: ג'ף ג'ונסון מ-underpassapp.com
CFNetwork
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4126: ברונו קיט (@bkth_) בשיתוף פעולה עם Zero Day Initiative של Trend Micro
CoreAnimation
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4415: ליאנג זאו בשיתוף פעולה עם SecuriTeam Secure Disclosure של Beyond Security
CoreCrypto
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: תוקף עלול להצליח לנצל נקודת תורפה במבחן הראשוניות של Miller-Rabin כדי לזהות מספרים ראשוניים באופן שגוי
תיאור: בשיטת הקביעה של מספרים ראשוניים הייתה בעיה. הבעיה טופלה באמצעות שימוש בבסיסים כמו אקראיים לבדיקת מספרים ראשוניים.
CVE-2018-4398: מרטין אלברכט, ג'ייק מסימו וקני פטרסון מ-Royal Holloway, אוניברסיטת לונדון וג'וראג' סומורובסקי מאוניברסיטת Ruhr, Bochum
CoreFoundation
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: אפליקציה זדונית עלולה להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2018-4412: National Cyber Security Centre (NCSC) של בריטניה
CUPS
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: בתצורות מסוימות, תוקף מרוחק עשוי להצליח להחליף את התוכן של הודעה משרת ההדפסה בתוכן שרירותי
תיאור: בעיית החדרה טופלה באמצעות אימות משופר.
CVE-2018-4153: מייקל הנסלמן מ-hansmi.ch
CUPS
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: ייתכן שתוקף במיקום מורשה יוכל לבצע מתקפה של מניעת שירות
תיאור: בעיית מניעת שירות תוקנה באמצעות אימות משופר.
CVE-2018-4406: מייקל הנסלמן מ-hansmi.ch
מילון
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: ניתוח קובץ מילון בעל מבנה זדוני עלול להוביל לחשיפת מידע משתמש
תיאור: בעיית אימות איפשרה גישה לקבצים מקומיים. הבעיה טופלה באמצעות סניטציה של קלט.
CVE-2018-4346: וויצ'יץ' רגולה (@_r3ggi) מ-SecuRing
Dock
זמין עבור: macOS Mojave 10.14
השפעה: ייתכן שאפליקציה זדונית תצליח לגשת לקבצים מוגבלים
תיאור: בעיה זו טופלה באמצעות הסרת הרשאות נוספות.
CVE-2018-4403: פטריק וורדלה מ-Digita Security
dyld
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6
השפעה: אפליקציה זדונית עלולה להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2018-4423: יופו זנג מ-Chaitin Security Research Lab (@ChaitinTech)
EFI
זמין עבור: macOS High Sierra 10.13.6
השפעה: מערכות עם מיקרו-מעבדים שמשתמשים בביצוע ספקולטיבי ובקריאות של ביצוע ספקולטיבי לפני שהכתובות של כל הכתיבות המקדימות לזיכרון ידועות, עשויות לאפשר חשיפה לא מורשית של מידע לתוקף עם גישת משתמש מקומי דרך ניתוח של ערוץ צדדי
תיאור: בעיה של חשיפת זיכרון טופלה באמצעות עדכון מיקרו-קוד. פתרון זה מבטיח שלא ניתן לקרוא קריאות נתונים ישנות מכתובות שנכתבו לאחרונה דרך ערוץ צד ספקולטיבי.
CVE-2018-3639: ג'אן הורן (@tehjh) מ-Project Zero של Google (GPZ), קן ג'ונסון מ-Microsoft Security Response Center (MSRC)
EFI
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: ייתכן שמשתמש מקומי יוכל לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.
CVE-2018-4342: טימותי פרטיף מ-Twocanoes Software
יסוד
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.
CVE-2018-4304: יאנן הואנג (@Sevck)
Grand Central Dispatch
זמין עבור: macOS High Sierra 10.13.6
השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4426: ברנדון אזאד
Heimdal
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4331: ברנדון אזאד
Hypervisor
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: מערכות עם מיקרו מעבדים שמשתמשים בביצוע ספקולטיבי ותרגום כתובות עלולות לאפשר חשיפה לא מורשית של מידע שנמצא במטמון הנתונים L1 לתוקף בעל גישת משתמש מקומי עם הרשאת אורח ל-OS דרך תקלת דף מסוף וניתוח ערוץ צדדי
תיאור: בעיה של חשיפת מידע טופלה על ידי ניקוי מטמון הנתונים L1 בכניסת המכונה הווירטואלית.
CVE-2018-3646: בריס קסיקצ'י, דניאל גנקין, אופיר וויס ותומס פ. ווינש מאוניברסיטת מישיגן, מרק זילברשטיין ומרינה מינקין מהטכניון, ראול סטרקס, ג'ו ואן באלק ופרנק פיאסנס מ-KU לובן, רודריגו ברנקו, הנריק קאווקאמי, קה סון וקקיי הו מ-Intel Corporation, יובל ירום מאוניברסיטת אדלייד
Hypervisor
זמין עבור: macOS Sierra 10.12.6
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.
CVE-2018-4242: זו ליאנג מ-Qihoo 360 Nirvan Team
ICU
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6
השפעה: עיבוד מחרוזת בעלת מבנה זדוני עלול להוביל לפגם בזיכרון
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2018-4394: אריק וורברוגן מ-Qt Company
Intel Graphics Driver
זמין עבור: macOS Sierra 10.12.6
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4334: איאן ביר מ-Google Project Zero
Intel Graphics Driver
זמין עבור: macOS High Sierra 10.13.6
השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל
תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.
CVE-2018-4396: יו וואנג מ-Didi Research America
CVE-2018-4418: יו וואנג מ-Didi Research America
Intel Graphics Driver
זמין עבור: macOS High Sierra 10.13.6
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2018-4350: יו וואנג מ-Didi Research America
Intel Graphics Driver
זמין עבור: macOS Mojave 10.14
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4421: טיילר בוהן מ-Cisco Talos
IOGraphics
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4422: חוקר אנונימי שעובד עם Zero Day Initiative של Trend Micro
IOHIDFamily
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2018-4408: איאן ביר מ-Google Project Zero
IOKit
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4402: Proteas מ-Qihoo 360 Nirvan Team
IOKit
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: אפליקציה זדונית עלולה להצליח לצאת מתוך ארגז החול
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4341: איאן ביר מ-Google Project Zero
CVE-2018-4354: איאן ביר מ-Google Project Zero
IOUserEthernet
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4401: Apple
IPSec
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: אפליקציה עלולה לקבל הרשאות ברמה גבוהה יותר
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2018-4371: טים מיכאוד (@TimGMichaud) מ-Leviathan Security Group
ליבה
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה על-ידי הסרת הקוד הפגיע.
CVE-2018-4420: מוחמד גנם (@_simo36)
ליבה
זמין עבור: macOS High Sierra 10.13.6
השפעה: אפליקציה זדונית עשויה להדליף מידע רגיש אודות המשתמש
תיאור: בקריאות של API בעלי הרשאות הייתה בעיית גישה. בעיה זו טופלה באמצעות הגבלות נוספות.
CVE-2018-4399: פביאנו אנמונה (@anoane)
ליבה
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4340: מוחמד גנם (@_simo36)
CVE-2018-4419: מוחמד גנם (@_simo36)
CVE-2018-4425: cc בשיתוף פעולה עם Zero Day Initiative של Trend Micro, ג'ו-וואי לין (@panicaII) מ-Trend Micro שעובד בשיתוף פעולה עם Zero Day Initiative של Trend Micro
ליבה
זמין עבור: macOS Sierra 10.12.6
השפעה: טעינת שיתוף רשת NFS בעל מבנה זדוני עלולה להוביל להפעלת קוד שרירותי עם הרשאות מערכת
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2018-4259: קווין בקהאוס מ-Semmle ו-LGTM.com.
CVE-2018-4286: קווין בקהאוס מ-Semmle ו-LGTM.com.
CVE-2018-4287: קווין בקהאוס מ-Semmle ו-LGTM.com.
CVE-2018-4288: קווין בקהאוס מ-Semmle ו-LGTM.com.
CVE-2018-4291: קווין בקהאוס מ-Semmle ו-LGTM.com.
ליבה
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל
תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4413: ג'ו-וואי לין (@panicaII) מ-TrendMicro Mobile Security Team
ליבה
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: תוקף במיקום מורשה ברשת עלול להצליח להפעיל קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2018-4407: קווין בקהאוס מ-.Semmle Ltd
ליבה
זמין עבור: macOS Mojave 10.14
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.
CVE-2018-4424: ד"ר סילביו צ'זרה מ-InfoSect
LinkPresentation
זמין עבור: macOS Sierra 10.12.6
השפעה: עיבוד הודעת טקסט בעלת מבנה זדוני עלול להוביל לזיוף זהות בממשק משתמש
תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2018-4187: רומן מולר (@faker_), ג'י-יאנג זנג (@Wester) מ-Tencent Security Platform Department
חלון התחברות
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: משתמש מקומי עלול להצליח לגרום מניעת שירות
תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.
CVE-2018-4348: קן גנון מ-MWR InfoSecurity and וכריסטיאן דמקו מ-MWR InfoSecurity
דואר
זמין עבור: macOS Mojave 10.14
השפעה: עיבוד הודעת דואר בעלת מבנה זדוני עלול להוביל לזיוף זהות בממשק משתמש
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצב משופר.
CVE-2018-4389: Dropbox Offensive Security Team, תיאודור רגנר גיסלסון מ-Syndis
mDNSOffloadUserClient
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4326: חוקר אנונימי שעובד עם Zero Day Initiative של Trend Micro, זאו ליאנג מ-Qihoo 360 Nirvan Team
MediaRemote
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: תהליך בשלב 'ארגז החול' עלול להצליח לעקוף את ההגבלות של' ארגז החול'
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.
CVE-2018-4310: CodeColorist מ-Ant-Financial LightYear Labs
מיקרו-קוד
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: מערכות עם מיקרו-מעבדים שמשתמשות בביצוע ספקולטיבי ושמבצעות קריאות ספקולטיביות של רישומי מערכת עלולות לאפשר חשיפה בלתי מורשית של פרמטרים של המערכת לתוקף עם גישת משתמש מקומי דרך ניתוח ערוץ צדדי
תיאור: בעיה של חשיפת זיכרון טופלה באמצעות עדכון מיקרו-קוד. פתרון זה מבטיח שרישומי מערכת ספציפיים להטמעה לא יוכלו לדלוף דרך ערוץ צדדי של ביצוע ספקולטיבי.
CVE-2018-3640: אינוקנטי סנובוסקי מ-BiZone LLC (bi.zone), זדנק סוג'קה, רודולף מארק ואלכס זואפקה מ-SYSGO AG (sysgo.com)
NetworkExtension
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: התחברות לשרת VPN עלולה לגרום לדליפת שאילתות DNS לשרת פרוקסי של DNS
תיאור: בעיה לוגית טופלה באמצעות ניהול מצב משופר.
CVE-2018-4369: חוקר אנונימי
Perl
זמין עבור: macOS Sierra 10.12.6
השפעה: ב-Perl היו כמה בעיות של גלישת חוצץ
תיאור: מספר בעיות ב-Perl נפתרו באמצעות טיפול טוב יותר בזיכרון.
CVE-2018-6797: בריאן קרפנטר
Ruby
זמין עבור: macOS Sierra 10.12.6
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של אפליקציה או הפעלת קוד שרירותי
תיאור: מספר תקלות ב-Ruby טופלו בעדכון זה.
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
אבטחה
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: עיבוד הודעה עם חתימת S/MIME בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.
CVE-2018-4400: יוקינובו נגאיסו מ-LAC Co., Ltd.
אבטחה
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: משתמש מקומי עלול להצליח לגרום מניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2018-4395: פטריק וורדלה מ-Digita Security
Spotlight
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4393: לופנג לי
Symptom Framework
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2018-4203: ברונו קיט (@bkth_) בשיתוף פעולה עם Zero Day Initiative של Trend Micro
Wi-Fi
זמין עבור: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
השפעה: ייתכן שתוקף במיקום מורשה יוכל לבצע מתקפה של מניעת שירות
תיאור: בעיית מניעת שירות תוקנה באמצעות אימות משופר.
CVE-2018-4368: מילאן סטוט ואלכס מריאוטו מ-Secure Mobile Networking Lab מהאוניברסיטה הטכנית של דרמשטאדט
תודות נוספות
לוח שנה
ברצוננו להודות למתיו תומס מ-Verisign על הסיוע.
coreTLS
ברצוננו להודות לאייל רונן (מכון ויצמן), רוברט גילהם (אוניברסיטת אדלייד), דניאל גנקין (אוניברסיטת מישיגן), עדי שמיר (מכון ויצמן), דוויד וונג (קבוצת NCC) ויובל ירום (אוניברסיטת אדלייד ו-Data61) על עזרתם.
iBooks
ברצוננו להודות לסם וויגטלנדר מ-Fontys Hogeschool ICT על הסיוע.
ליבה
אנחנו מבקשים להודות לברנדון אזאד על הסיוע.
LaunchServices
ברצוננו להודות לאלוק מנגהראג'ני מ-Square על הסיוע.
מבט מהיר
אנחנו מבקשים להודות ללוקיהרדט מ-Google Project Zero על הסיוע.
אבטחה
ברצוננו להודות למרינוס ברניטסאס מ-Parachute על הסיוע.
מסוף
אנחנו מבקשים להודות לפדריקו בנטו על הסיוע.
Time Machine
ברצוננו להודות למתיו תומס מ-Verisign על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.