A macOS Mojave 10.14.1-e verziójának, a High Sierra 2018-002-es biztonsági frissítésének és a Sierra 2018-005-ös biztonsági frissítésének biztonsági változásjegyzéke

Ez a dokumentum a macOS Mojave 10.14.1-es verziójának, a High Sierra 2018-002-es biztonsági frissítésének és a Sierra 2018-005-ös biztonsági frissítésének biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

macOS Mojave 10.14.1, a High Sierra 2018-002-es biztonsági frissítése, a Sierra 2018-005-ös biztonsági frissítése

afpserver

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A távoli támadók meg tudtak támadni AFP-kiszolgálókat HTTP-klienseken keresztül.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2018-4295: Jianjun Chen (@whucjj; Tsinghua University) és UC Berkeley

AppleGraphicsControl

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4410: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

AppleGraphicsControl

A következőhöz érhető el: macOS High Sierra 10.13.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2018-4417: Lee (Information Security Lab Yonsei University), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

APR

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Leírás: Több, puffertúlcsordulást okozó probléma állt fenn a Perlben.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több problémát a Perlben.

CVE-2017-12613: Craig Young (Tripwire VERT)

CVE-2017-12618: Craig Young (Tripwire VERT)

ATS

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4411: lilang wu moony Li (Trend Micro), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

ATS

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határérték-olvasási hibát.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Automator

A következőhöz érhető el: macOS Mojave 10.14

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni korlátozott fájlokhoz.

Leírás: A további jogosultságok eltávolításával hárították el a problémát.

CVE-2018-4468: Jeff Johnson (underpassapp.com)

CFNetwork

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4126: Bruno Keith (@bkth_), a Trend Micro Zero Day Initiative kezdeményezésének keretében

CoreAnimation

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4415: Liang Zhuo a Beyond Security’s SecuriTeam Secure Disclosure programmal együttműködésben

CoreCrypto

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A támadók a Miller-Rabin-prímtesztben fennálló rések kihasználásával helytelenül tudtak beazonosítani prímszámokat.

Leírás: Probléma állt fenn a prímszámok meghatározásához használt módszerrel. Azáltal hárítottuk el a problémát, hogy pszeudovéletlen alapokat használunk a prímszámok teszteléséhez.

CVE-2018-4398: Martin Albrecht, Jake Massimo és Kenny Paterson (Royal Holloway, University of London) és Juraj Somorovsky (Ruhr University, Bochum)

CoreFoundation

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4412: National Cyber Security Centre (NCSC, Egyesült Királyság)

CUPS

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: Bizonyos konfigurációk esetén távoli támadók le tudták cserélni tetszőleges tartalomra a nyomtatószerverről származó üzenetet.

Leírás: Hatékonyabb ellenőrzéssel elhárult egy beszúrási probléma.

CVE-2018-4153: Michael Hanselmann (hansmi.ch)

CUPS

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2018-4406: Michael Hanselmann (hansmi.ch)

Szótár

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: Az ártó szándékkal létrehozott szótárfájlok elemzésekor felfedhetők voltak a felhasználói adatok.

Leírás: Érvényesítési hiba állt fenn, ami lehetőséget adott a helyi fájlok elérésére. Beviteltisztítással hárítottuk el a problémát.

CVE-2018-4346: Wojciech Reguła (@_r3ggi; SecuRing)

Dock

A következőhöz érhető el: macOS Mojave 10.14

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni korlátozott fájlokhoz.

Leírás: A további jogosultságok eltávolításával hárították el a problémát.

CVE-2018-4403: Patrick Wardle (Digita Security)

dyld

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2018-4423: Youfu Zhang (Chaitin Security Research Lab (@ChaitinTech))

EFI

A következőhöz érhető el: macOS High Sierra 10.13.6.

Érintett terület: A spekulatív végrehajtást és a címek előtt spekulatív memóriaolvasást használó mikroprocesszorokat tartalmazó rendszerek lehetővé tették a helyi felhasználói hozzáférést alkalmazó támadóknak a jogosulatlan hozzáférést információkhoz a gyorsítótár oldalcsatornás elemzésével.

Leírás: Elhárult egy információfelfedéssel kapcsolatos probléma egy mikrokódfrissítés révén. Ez biztosítja, hogy a nemrég beírt címekből beolvasott régebbi adatokat ne lehessen olvasni egy spekulatív oldalcsatornából.

CVE-2018-3639: Jann Horn (@tehjh; Google Project Zero [GPZ]), Ken Johnson (Microsoft Security Response Center [MSRC])

EFI

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.

Érintett terület: A helyi felhasználók módosítani tudták a fájlrendszer védett részeit.

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2018-4342: Timothy Perfitt (Twocanoes Software)

Foundation

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szöveges fájlok feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2018-4304: jianan.huang (@Sevck)

Grand Central Dispatch

A következőhöz érhető el: macOS High Sierra 10.13.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4426: Brandon Azad

Heimdal

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4331: Brandon Azad

Hipervizor

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A spekulatív végrehajtást és a címfordításokat használó mikroprocesszorokat tartalmazó rendszerek lehetővé tették a jogosulatlan hozzáférést az L1 adatgyorsítótárban lévő információkhoz az olyan támadóknak, akik helyi felhasználói hozzáféréssel rendelkeztek vendég operációs rendszer jogosultsággal egy végső oldalhiba és oldalcsatornás elemzés révén.

Leírás: Elhárult egy információfelfedéssel kapcsolatos probléma az L1-adatgyorsítótár virtuális gépbejegyzésnél való kiürítésével.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse és Thomas F. Wenisch (University of Michigan), Mark Silberstein és Marina Minkin (Technion), Raoul Strackx, Jo Van Bulck és Frank Piessens (KU Leuven), Rodrigo Branco, Henrique Kawakami, Ke Sun és Kekai Hu (Intel Corporation), Yuval Yarom (The University of Adelaide)

Hipervizor

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2018-4242: Zhuo Liang (Qihoo 360 Nirvan Team)

ICU

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4394: Erik Verbruggen (The Qt Company)

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4334: Ian Beer (Google Project Zero)

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS High Sierra 10.13.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2018-4396: Yu Wang (Didi Research America)

CVE-2018-4418: Yu Wang (Didi Research America)

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS High Sierra 10.13.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4350: Yu Wang (Didi Research America)

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS Mojave 10.14

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2018-4421: Tyler Bohan (Cisco Talos)

IOGraphics

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4422: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

IOHIDFamily

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4408: Ian Beer (Google Project Zero)

IOKit

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4402: Proteas (Qihoo 360 Nirvan Team)

IOKit

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4341: Ian Beer (Google Project Zero)

CVE-2018-4354: Ian Beer (Google Project Zero)

IOUserEthernet

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4401: Apple

IPSec

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határérték-olvasási hibát.

CVE-2018-4371: Tim Michaud (@TimGMichaud; Leviathan Security Group)

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Kernel

A következőhöz érhető el: macOS High Sierra 10.13.6.

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Egy hozzáférési hiba állt fenn a privilegizált API-hívások esetén. További korlátozásokkal hárítottuk el a problémát.

CVE-2018-4399: Fabiano Anemone (@anoane)

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4419: Mohamed Ghannam (@_simo36)

CVE-2018-4425: cc, a Trend Micro Zero Day Initiative kezdeményezésének keretében, Juwei Lin (@panicaII; Trend Micro), a Trend Micro Zero Day Initiative kezdeményezésének keretében

Kernel

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: Az ártó szándékkal létrehozott NFS-hálózati megosztások lehetőséget adtak tetszőleges programkód rendszerjogosultságokkal történő végrehajtására.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2018-4259: Kevin Backhouse (Semmle) és LGTM.com

CVE-2018-4286: Kevin Backhouse (Semmle) és LGTM.com

CVE-2018-4287: Kevin Backhouse (Semmle) és LGTM.com

CVE-2018-4288: Kevin Backhouse (Semmle) és LGTM.com

CVE-2018-4291: Kevin Backhouse (Semmle) és LGTM.com

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2018-4413: Juwei Lin (@panicaII; TrendMicro Mobile Security Team)

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4407: Kevin Backhouse (Semmle Ltd.)

Kernel

A következőhöz érhető el: macOS Mojave 10.14

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2018-4424: Dr. Silvio Cesare (InfoSect)

LinkPresentation

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: Az ártó szándékkal létrehozott szöveges üzenetek feldolgozásakor lehetőség nyílt a felhasználói felület meghamisítására.

Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester; Tencent Security Platform Department)

Bejelentkezési ablak

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2018-4348: Ken Gannon (MWR InfoSecurity) és Christian Demko (MWR InfoSecurity)

Mail

A következőhöz érhető el: macOS Mojave 10.14

Érintett terület: Bizonyos, ártó szándékkal létrehozott e-mail-üzenetek feldolgozásakor lehetőség nyílt a felhasználói felület meghamisítására.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason (Syndis)

mDNSOffloadUserClient

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4326: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének keretében, Zhuo Liang (Qihoo 360 Nirvan Team)

MediaRemote

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2018-4310: CodeColorist (Ant-Financial LightYear Labs)

Microcode

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A spekulatív végrehajtást használó és a rendszerregiszterek spekulatív beolvasását végző mikroprocesszorokat tartalmazó rendszerek lehetővé tették a jogosulatlan hozzáférést a rendszerparaméterekhez a helyi felhasználói hozzáféréssel rendelkező támadóknak oldalcsatornás elemzés révén.

Leírás: Elhárult egy információfelfedéssel kapcsolatos probléma egy mikrokódfrissítés révén. Ez biztosítja, hogy ne lehessen kiszivárogtatni végrehajtási rendszerregisztereket egy spekulatív oldalcsatornán keresztül.

CVE-2018-3640: Innokentiy Sennovskiy (BiZone LLC [bi.zone]), Zdenek Sojka, Rudolf Marek és Alex Zuepke (SYSGO AG [sysgo.com])

NetworkExtension

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.

Érintett terület: Előfordult, hogy VPN-kiszolgálóhoz csatlakozva egy DNS-proxyhoz kerültek DNS-kérelmek.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2018-4369: anonim kutató

Perl

A következőhöz érhető el: macOS Sierra 10.12.6.

Leírás: Több, puffertúlcsordulást okozó probléma állt fenn a Perlben.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több problémát a Perlben.

CVE-2018-6797: Brian Carpenter

Ruby

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: A frissítés keretében több hiba is elhárult a Ruby vonatkozásában.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

Biztonság

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Előfordult, hogy az S/MIME-aláírással ellátott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2018-4400: Yukinobu Nagayasu (LAC Co., Ltd.)

Biztonság

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2018-4395: Patrick Wardle (Digita Security)

Spotlight

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4393: Lufeng Li

Symptom Framework

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határérték-olvasási hibát.

CVE-2018-4203: Bruno Keith (@bkth_), a Trend Micro Zero Day Initiative kezdeményezésének keretében

Wi-Fi

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2018-4368: Milan Stute és Alex Mariotto (Secure Mobile Networking Lab, Technische Universität Darmstadt)

További köszönetnyilvánítás

Naptár

Köszönjük Matthew Thomas (Verisign) segítségét.

coreTLS

Köszönjük Eyal Ronen (Weizmann Institute), Robert Gillham (University of Adelaide), Daniel Genkin (University of Michigan), Adi Shamir (Weizmann Institute), David Wong (NCC Group) és Yuval Yarom (University of Adelaide és Data61) segítségét.

iBooks

Köszönjük Sem Voigtländer (Fontys Hogeschool ICT) segítségét.

Kernel

Köszönjük Brandon Azad segítségét.

LaunchServices

Köszönjük Alok Menghrajani (Square) segítségét.

Gyorsnézet

Köszönjük lokihardt (Google Project Zero) segítségét.

Biztonság

Köszönjük Marinos Bernitsas (Parachute) segítségét.

Terminal

Köszönjük Federico Bento segítségét.

Time Machine

Köszönjük Matthew Thomas (Verisign) segítségét.