Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
macOS High Sierra 10.13.4, sigurnosno ažuriranje 2018-002 Sierra i sigurnosno ažuriranje 2018-002 El Capitan
Objavljeno 29. ožujka 2018.
Admin Framework
Dostupno za: macOS High Sierra 10.13.3
Učinak: lozinke koje su unesene u alat sysadminctl mogu se otkriti drugim lokalnim korisnicima
Opis: naredbeni redak alata sysadminctl zahtijevao je da se lozinke proslijede u alat u njegovim argumentima, čime se lozinke potencijalno mogu otkriti drugim lokalnim korisnicima. S ovim ažuriranjem parametar lozinki postaje izborni, a alat sysadminctl tražit će lozinku ako je potrebno.
CVE-2018-4170: anonimni istraživač
APFS
Dostupno za: macOS High Sierra 10.13.3
Učinak: lozinka particije spremnika APFS može se neočekivano skratiti
Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4105: David J Beitey (@davidjb_), Geoffrey Bugniot
ATS
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: obrada zlonamjerno izrađene datoteke može otkriti korisničke informacije
Opis: u rukovanju simboličkim vezama otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2018-4112: Haik Aftandilian (Mozilla)
CFNetwork Session
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4166: Samuel Groß (@5aelo)
CoreFoundation
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4155: Samuel Groß (@5aelo)
CVE-2018-4158: Samuel Groß (@5aelo)
Jezgreni tekst
Dostupno za: macOS High Sierra 10.13.3
Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4142: Robin Leroy (Google Switzerland GmbH)
Unos ažuriran 3. travnja 2019.
CoreTypes
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Učinak: obradom zlonamjerne web-stranice može doći do namještanja slike diska
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2017-13890: Apple, Theodor Ragnar Gislason (Syndis)
curl
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Učinak: veći broj problema u biblioteci curl
Opis: u biblioteci curl otkriveno je prekoračenje cijelih brojeva. Taj je problem riješen poboljšanom provjerom ograničenja.
CVE-2017-8816: Alex Nichols
Unos ažuriran 3. travnja 2019.
Slike diska
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: namještanje zlonamjerne slike diska može dovesti do pokretanja aplikacije
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2018-4176: Theodor Ragnar Gislason (Syndis)
Upravljanje diskom
Dostupno za: macOS High Sierra 10.13.3
Učinak: lozinka particije spremnika APFS može se neočekivano skratiti
Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4108: Kamatham Chaitanya (ShiftLeft Inc.), anonimni istraživač
EFI
Dostupno za: macOS High Sierra 10.13.3
Učinak: napadač u dosegu Wi-Fi mreže može prisilno omogućiti ponovno korištenje privremenog broja na WPA klijentima (napadi ponovnom instalacijom ključa – Key Reinstallation Attacks, KRACK)
Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2017-13080: Mathy Vanhoef (grupa imec-DistriNet, KU Leuven)
Unos dodan 18. listopada 2018.
Događaji datotečnog sustava
Dostupno za: macOS High Sierra 10.13.3
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4167: Samuel Groß (@5aelo)
iCloud Drive
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4151: Samuel Groß (@5aelo)
Intelov grafički upravljački program
Dostupno za: macOS High Sierra 10.13.3
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4132: Axis i pjf (laboratorij IceSword, Qihoo 360)
IOFireWireFamily
Dostupno za: macOS High Sierra 10.13.3
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4135: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.)
Kernel
Dostupno za: macOS High Sierra 10.13.3
Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4150: anonimni istraživač
Kernel
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2018-4104: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)
Kernel
Dostupno za: macOS High Sierra 10.13.3
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4143: derrek (@derrekr6)
Kernel
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2018-4136: Jonas Jensen (lgtm.com i Semmle)
Kernel
Dostupno za: macOS High Sierra 10.13.3
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2018-4160: Jonas Jensen (lgtm.com i Semmle)
Kernel
Dostupno za: macOS High Sierra 10.13.3
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: u prijelazu između stanja programa otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim rukovanjem stanjem.
CVE-2018-4185: Brandon Azad
Unos dodan 19. srpnja 2018.
kext alati
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: postojeći logički problem rezultirao je oštećenjem memorije. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2018-4139: Ian Beer (Google Project Zero)
LaunchServices
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: zlonamjerno izrađena aplikacija može zaobići provedbu potpisivanja koda
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2018-4175: Theodor Ragnar Gislason (Syndis)
libxml2
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.3, OS X El Capitan 10.11.6
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2017-15412: Nick Wellnhofer
Unos ažuriran 18. listopada 2018.
LinkPresentation
Dostupno za: macOS High Sierra 10.13.3
Učinak: obradom zlonamjerne tekstne poruke može se poremetiti korisničko sučelje
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng ((@Wester), Tencentov odjel sigurnosne platforme)
Unos dodan 3. travnja 2019.
Lokalna provjera autentičnosti
Dostupno za: macOS High Sierra 10.13.3
Učinak: lokalni korisnik može pregledavati osjetljive korisničke informacije
Opis: otkriven je problem s upravljanjem PIN-ovima pametnih kartica. Problem je riješen dodatnom logikom.
CVE-2018-4179: David Fuhrmann
Unos dodan 13. travnja 2018.
Dostupno za: macOS High Sierra 10.13.3
Učinak: napadač s mrežnim ovlastima može presresti sadržaj e-mailova šifriranih pomoću standarda S/MIME
Opis: otkriven je problem u upravljanju HTML e-mailovima šifriranima pomoću standarda S/MIME. Problem je riješen tako da se udaljeni resursi ne učitavaju prema zadanim postavkama u porukama šifriranima pomoću standarda S/MIME ako poruka ima nevažeći potpis standarda S/MIME ili on nedostaje.
CVE-2018-4111: Damian Poddebniak (Sveučilište primijenjenih znanosti u Münsteru), Christian Dresen (Sveučilište primijenjenih znanosti u Münsteru), Jens Müller (Sveučilište Ruhr-Universität Bochum), Fabian Ising (Sveučilište primijenjenih znanosti u Münsteru), Sebastian Schinzel (Sveučilište primijenjenih znanosti u Münsteru), Simon Friedberger (Katoličko sveučilište u Leuvenu), Juraj Somorovsky (Sveučilište Ruhr-Universität Bochum), Jörg Schwenk (Sveučilište Ruhr-Universität Bochum)
Unos ažuriran 13. travnja 2018.
Dostupno za: macOS High Sierra 10.13.3
Učinak: napadači s mrežnim ovlastima mogli su presresti sadržaj e-mail poruka šifriranih pomoću standarda S/MIME
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2018-4174: John McCombs (Integrated Mapping Ltd), McClain Looney (LoonSoft Inc).
Unos ažuriran 13. travnja 2018.
Napomene
Dostupno za: macOS High Sierra 10.13.3
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4152: Samuel Groß (@5aelo)
Napomene
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2017-7151: Samuel Groß (@5aelo)
Unos dodan 18. listopada 2018.
NSURLSession
Dostupno za: macOS High Sierra 10.13.3
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4166: Samuel Groß (@5aelo)
Upravljački programi za grafičke kartice NVIDIA
Dostupno za: macOS High Sierra 10.13.3
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2018-4138: Axis i pjf (laboratorij IceSword, Qihoo 360)
PDFKit
Dostupno za: macOS High Sierra 10.13.3
Učinak: klikanje URL-a u PDF-u može odvesti na zlonamjernu web-stranicu
Opis: otkriven je problem s raščlanjivanjem URL-ova u PDF-ovima. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4107: Nick Safford (Innovia Technology)
Unos ažuriran 9. travnja 2018.
PluginKit
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4156: Samuel Groß (@5aelo)
Brzi pregled
Dostupno za: macOS High Sierra 10.13.3
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4157: Samuel Groß (@5aelo)
Daljinsko upravljanje
Dostupno za: macOS High Sierra 10.13.3
Učinak: udaljeni korisnik može dobiti korijenske ovlasti
Opis: otkriven je problem s dozvolama u daljinskom upravljanju. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.
CVE-2018-4298: Tim van der Werff (SupCloud)
Unos dodan 19. srpnja 2018.
Sigurnost
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
SIP
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.
CVE-2017-13911: Timothy Perfitt (Twocanoes Software)
Unos dodan 8. kolovoza 2018., ažuriran 25. rujna 2018.
Traka stanja
Dostupno za: macOS High Sierra 10.13.3
Učinak: zlonamjerne aplikacije mogle su pristupiti mikrofonu bez obavještavanja korisnika
Opis: postojao je problem s dosljednošću prilikom donošenja odluke o tome kada prikazati indikator korištenja mikrofona. Problem je riješen poboljšanom provjerom valjanosti mogućnosti.
CVE-2018-4173: Joshua Pokotilow (pingmd)
Unos dodan 9. travnja 2018.
Pohrana
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4154: Samuel Groß (@5aelo)
Postavke sustava
Dostupno za: macOS High Sierra 10.13.3
Učinak: konfiguracijski profil mogao je i nakon uklanjanja ostati pogrešno aktivan
Opis: u modulu CFPreferences postojao je problem. Problem je riješen poboljšanim čišćenjem postavki.
CVE-2018-4115: Johann Thalakada, Vladimir Zubkov i Matt Vlasach (Wandera)
Unos ažuriran 3. travnja 2019.
Terminal
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: lijepljenje zlonamjernog sadržaja može dovesti do proizvoljnog izvršenja naredbe
Opis: problem s ubacivanjem otkriven je u upravljanju modom za lijepljenje s uglatim zagradama. Taj je problem riješen poboljšanom provjerom posebnih znakova.
CVE-2018-4106: Simon Hosie
Unos ažuriran 15. svibnja 2019.
WindowServer
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Učinak: aplikacije bez ovlasti mogle su bilježiti pritiske na tipke u drugim aplikacijama i uz omogućen mod za sigurni unos
Opis: aplikacije bez ovlasti mogle su putem provjere stanja tipki bilježiti pritiske na tipke u drugim aplikacijama i uz omogućen mod za sigurni unos. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2018-4131: Andreas Hegenberg (folivora.AI GmbH)
Unos ažuriran 3. travnja 2019.
Dodatna zahvala
Željeli bismo zahvaliti Sabriju Haddoucheu (@pwnsdx) (Wire Swiss GmbH) na pomoći.
Unos dodan 21. lipnja 2018.
Automatska ispuna prilikom prijave u pregledniku Safari
Željeli bismo zahvaliti Junu Kokatsuu (@shhnjk) na pomoći.
Unos dodan 3. travnja 2019.
Sigurnost
Na pomoći zahvaljujemo Abrahamu Masriju (@cheesecakeufo).
Unos dodan 13. travnja 2018.
Dijeljenje panela postavki
Željeli bismo zahvaliti anonimnom istraživaču na pomoći.
Unos dodan 3. travnja 2019.