Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
macOS High Sierra 10.13.6, sigurnosno ažuriranje 2018-004 Sierra i sigurnosno ažuriranje 2018-004 El Capitan
Objavljeno 9. srpnja 2018.
Računi
Dostupno za: macOS High Sierra 10.13.5
Učinak: zlonamjerna aplikacija možda može pristupiti Apple ID-ovima lokalnih korisnika
Opis: problem s privatnosti pri rukovanju zapisima Open Directory riješeno je poboljšanim indeksiranjem.
CVE-2018-4470: Jacob Greenfield iz škole Commonwealth School
Unos dodan 10. prosinca 2018.
AMD
Dostupno za: macOS High Sierra 10.13.5
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: problem s otkrivanjem informacija riješen je uklanjanjem koda sa slabim točkama.
CVE-2018-4289: shrek_wzw (Qihoo 360 Nirvan Team)
APFS
Dostupno za: macOS High Sierra 10.13.5
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4268: Mac u suradnji s inicijativom Zero Day tvrtke Trend Micro
ATS
Dostupno za: macOS High Sierra 10.13.5
Učinak: zlonamjerna aplikacija može steći korijenske ovlasti
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4285: Mohamed Ghannam (@_simo36)
Bluetooth
Dostupno za: MacBook Pro (15 inča, 2018.) i MacBook Pro (13 inča, 2018., četiri priključka Thunderbolt 3)
Ostali modeli Mac računala bili su adresirani s macOS High Sierra 10.13.5.
Učinak: napadač s mrežnim ovlastima može presresti promet putem Bluetooth mreže
Opis: na Bluetooth mreži otkriven je problem s provjerom valjanosti unosa. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-5383: Lior Neumann i Eli Biham
Unos dodan 23. srpnja 2018.
CFNetwork
Dostupno za: macOS High Sierra 10.13.5
Učinak: kolačići su mogli neočekivano ostati u pregledniku Safari
Opis: problem s upravljanjem kolačićima riješen je poboljšanim provjerama.
CVE-2018-4293: anonimni istraživač
CoreCrypto
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Učinak: zlonamjerne su aplikacije mogle izaći izvan ograničene memorije
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4269: Abraham Masri (@cheesecakeufo)
CUPS
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.5
Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-2018-4276: Jakub Jirasek iz istraživanja Secunia Research tvrtke Flexera
Unos je dodan 25. rujna 2018.
DesktopServices
Dostupno za: macOS Sierra 10.12.6
Učinak: lokalni korisnik može pregledavati povjerljive korisničke informacije
Opis: otkriven je problem s nepravilnom dodjelom izvršnih dozvola. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.
CVE-2018-4178: Arjen Hendrikse
Intelov grafički upravljački program
Dostupno za: macOS High Sierra 10.13.5
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4456: Tyler Bohan (Cisco Talos)
Unos ažuriran 22. siječnja 2019.
IOGraphics
Dostupno za: macOS High Sierra 10.13.5
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4283: @panicaII u suradnji s inicijativom Zero Day (Trend Micro)
Kernel
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.5
Utjecaj: sustavi koji koriste mikroprocesore koji se temelje na Intel® Core mogu potencijalno omogućiti da lokalni proces dovede do podataka koji koriste oporavak stanja Lazy FP iz drugog procesa putem spekulativnog kanala na strani izvršenja
Opis: vraćanje stanja Lazy LP umjesto željenog spremanja i vraćanja stanja nakon promjene konteksta. Oporavljena stanja Lazy potencijalno su osjetljiva na eksploatacije u kojima jedan proces može zaključiti registrirane vrijednosti drugih procesa putem spekulativnog kanala na strani izvršenja koji zaključuje njihove vrijednosti.
Problem s objavljivanjem podataka riješen je sanacijom stanja registra FP/SIMD.
CVE-2018-3665: Julian Stecklina (Amazon Germany), Thomas Prescher (Cyberus Technology GmbH) (cyberus-technology.de), Zdenek Sojka (SYSGO AG) (sysgo.com) i Colin Percival
Kernel
Dostupno za: macOS High Sierra 10.13.5
Učinak: aktiviranje zlonamjerno izrađenog NFS mrežnog dijeljenja može dovesti do izvršavanja nasumičnog koda sa sistemskim ovlastima
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4259: Kevin Backhouse (Semmle i LGTM.com)
CVE-2018-4286: Kevin Backhouse (Semmle i LGTM.com)
CVE-2018-4287: Kevin Backhouse (Semmle i LGTM.com)
CVE-2018-4288: Kevin Backhouse (Semmle i LGTM.com)
CVE-2018-4291: Kevin Backhouse (Semmle i LGTM.com)
Unos je dodan 30. listopada 2018.
libxpc
Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.5
Učinak: aplikacije mogu dobiti veće ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4280: Brandon Azad
libxpc
Dostupno za: macOS High Sierra 10.13.5
Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4248: Brandon Azad
LinkPresentation
Dostupno za: macOS High Sierra 10.13.5
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4277: xisigr (Tencentov odjel Xuanwu Lab (tencent.com))
Perl
Dostupno za: macOS High Sierra 10.13.5
Učinak: postojalo je više problema s prekoračenjem međuspremnika u programskom jeziku Perl
Opis: veći broj problema u programskom jeziku Perl riješen je poboljšanim upravljanjem memorijom.
CVE-2018-6797: Brian Carpenter
CVE-2018-6913: GwanYeong Kim
Unos je dodan 30. listopada 2018.
Ruby
Dostupno za: macOS High Sierra 10.13.5
Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: u ovom je ažuriranju riješen veći broj problema s programskim jezikom Ruby.
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
Unos je dodan 30. listopada 2018.
WebKit
Dostupno za: macOS High Sierra 10.13.5
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4274: Tomasz Bojarski
Unos dodan 28. srpnja 2020.
Dodatna zahvala
App Store
Zahvaljujemo Jesseu Endahlu i Stevieu Hryciwu iz Fleetsmitha te Maxu Bélangeru iz Dropboxa za pomoć.
Unos je dodan 8. kolovoza 2018.
Preglednik pomoći
Zahvaljujemo Wojciechu Regułau (@_r3ggi) iz SecuRinga za pomoć s četiri rješenja.
Kernel
Na pomoći zahvaljujemo Juwei Linu (@panicaII) (Trend Micro i inicijativa Zero Day (Trend Micro)).
Sigurnost
Zahvaljujemo Bradu Dahlstenu sa sveučilišta Iowa State University za pomoć.