A macOS Mojave 10.14.1 biztonsági változásjegyzéke, a High Sierra 2018-001-es biztonsági frissítése, a Sierra 2018-005-ös biztonsági frissítése

Ez a dokumentum a macOS Mojave 10.14.1 biztonsági változásjegyzékét, a High Sierra 2018-001-es biztonsági frissítését és a Sierra 2018-005-ös biztonsági frissítését ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

macOS Mojave 10.14.1, a High Sierra 2018-001-es biztonsági frissítése, a Sierra 2018-005-ös biztonsági frissítése

Kiadási dátum: 2018. október 30.

afpserver

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A távoli támadók meg tudtak támadni AFP-kiszolgálókat HTTP-klienseken keresztül.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2018-4295: Jianjun Chen (@whucjj; Tsinghua University) és UC Berkeley

AppleGraphicsControl

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4410: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

AppleGraphicsControl

A következőhöz érhető el: macOS High Sierra 10.13.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy érvényesítési hibát.

CVE-2018-4417: Lee (Information Security Lab Yonsei University), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

APR

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Leírás: Több, puffertúlcsordulást okozó probléma állt fenn a Perlben.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több problémát a Perlben.

CVE-2017-12613: Craig Young (Tripwire VERT)

CVE-2017-12618: Craig Young (Tripwire VERT)

ATS

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4411: lilang wu moony Li (Trend Micro), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

ATS

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

CFNetwork

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4126: Bruno Keith (@bkth_), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CoreAnimation

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4415: Liang Zhuo a Beyond Security’s SecuriTeam Secure Disclosure programmal együttműködésben

CoreCrypto

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A támadók a Miller-Rabin-prímtesztben fennálló rések kihasználásával helytelenül tudtak beazonosítani prímszámokat.

Leírás: Probléma állt fenn a prímszámok meghatározásához használt módszerrel. Azáltal hárítottuk el a problémát, hogy pszeudovéletlen alapokat használunk a prímszámok teszteléséhez.

CVE-2018-4398: Martin Albrecht, Jake Massimo és Kenny Paterson (Royal Holloway, University of London) és Juraj Somorovsky (Ruhr University, Bochum)

CoreFoundation

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4412: National Cyber Security Centre (NCSC, Egyesült Királyság)

CUPS

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: Bizonyos konfigurációk esetén távoli támadók le tudták cserélni tetszőleges tartalomra a nyomtatószerverről származó üzenetet.

Leírás: Hatékonyabb ellenőrzéssel elhárult egy beszúrási probléma.

CVE-2018-4153: Michael Hanselmann (hansmi.ch)

CUPS

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2018-4406: Michael Hanselmann (hansmi.ch)

Szótár

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: Az ártó szándékkal létrehozott szótárfájlok elemzésekor felfedhetők voltak a felhasználói adatok.

Leírás: Érvényesítési hiba állt fenn, ami lehetőséget adott a helyi fájlok elérésére. Beviteltisztítással hárítottuk el a problémát.

CVE-2018-4346: Wojciech Reguła (@_r3ggi; SecuRing)

Dock

A következőhöz érhető el: macOS Mojave 10.14

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni korlátozott fájlokhoz.

Leírás: A további jogosultságok eltávolításával hárították el a problémát.

CVE-2018-4403: Patrick Wardle (Digita Security)

dyld

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2018-4423: anonim kutató

EFI

A következőhöz érhető el: macOS High Sierra 10.13.6.

Érintett terület: A spekulatív végrehajtást és a címek előtt spekulatív memóriaolvasást használó mikroprocesszorokat tartalmazó rendszerek lehetővé tették a helyi felhasználói hozzáférést alkalmazó támadók számára a jogosulatlan hozzáférést információkhoz a gyorsítótár oldalcsatornás elemzésével.

Leírás: Elhárult egy információfelfedéssel kapcsolatos probléma egy mikrokódfrissítés révén. Ez biztosítja, hogy a nemrég beírt címekből beolvasott régebbi adatokat ne lehessen olvasni egy spekulatív oldalcsatornából.

CVE-2018-3639: Jann Horn (@tehjh; Google Project Zero [GPZ]), Ken Johnson (Microsoft Security Response Center [MSRC])

EFI

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.

Érintett terület: A helyi felhasználók módosítani tudták a fájlrendszer védett részeit.

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2018-4342: Timothy Perfitt (Twocanoes Software)

Foundation

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szöveges fájlok feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2018-4304: jianan.huang (@Sevck)

Grand Central Dispatch

A következőhöz érhető el: macOS High Sierra 10.13.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4426: Brandon Azad

Heimdal

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4331: Brandon Azad

Hipervizor

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A spekulatív végrehajtást és a címfordításokat használó mikroprocesszorokat tartalmazó rendszerek lehetővé tették a jogosulatlan hozzáférést az L1 adatgyorsítótárban lévő információkhoz az olyan támadóknak, akik helyi felhasználói hozzáféréssel rendelkeztek vendég operációs rendszer jogosultsággal egy végső oldalhiba és oldalcsatornás elemzés révén.

Leírás: Elhárult egy információfelfedéssel kapcsolatos probléma az L1-adatgyorsítótár virtuális gépbejegyzésnél való kiürítésével.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse és Thomas F. Wenisch (University of Michigan), Mark Silberstein és Marina Minkin (Technion), Raoul Strackx, Jo Van Bulck és Frank Piessens (KU Leuven), Rodrigo Branco, Henrique Kawakami, Ke Sun és Kekai Hu (Intel Corporation), Yuval Yarom (The University of Adelaide)

Hipervizor

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2018-4242: Zhuo Liang (Qihoo 360 Nirvan Team)

ICU

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4394: anonim kutató

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4334: Ian Beer (Google Project Zero)

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS High Sierra 10.13.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy érvényesítési hibát.

CVE-2018-4396: Yu Wang (Didi Research America)

CVE-2018-4418: Yu Wang (Didi Research America)

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS High Sierra 10.13.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4350: Yu Wang (Didi Research America)

IOGraphics

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4422: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

IOHIDFamily

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát

CVE-2018-4408: Ian Beer (Google Project Zero)

IOKit

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4402: Proteas (Qihoo 360 Nirvan Team)

IOKit

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4341: Ian Beer (Google Project Zero)

CVE-2018-4354: Ian Beer (Google Project Zero)

IOUserEthernet

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4401: Apple

IPSec

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy határérték-olvasási hibát.

CVE-2018-4371: Tim Michaud (@TimGMichaud; Leviathan Security Group)

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Kernel

A következőhöz érhető el: macOS High Sierra 10.13.6.

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Egy hozzáférési hiba állt fenn a privilegizált API-hívások esetén. További korlátozásokkal hárítottuk el a problémát.

CVE-2018-4399: Fabiano Anemone (@anoane)

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4419: Mohamed Ghannam (@_simo36)

CVE-2018-4425: cc, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Juwei Lin (@panicaII), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Kernel

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: Az ártó szándékkal létrehozott NFS-hálózati megosztások lehetőséget adtak tetszőleges programkód rendszerjogosultságokkal történő végrehajtására.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2018-4259: Kevin Backhouse (Semmle) és LGTM.com

CVE-2018-4286: Kevin Backhouse (Semmle) és LGTM.com

CVE-2018-4287: Kevin Backhouse (Semmle) és LGTM.com

CVE-2018-4288: Kevin Backhouse (Semmle) és LGTM.com

CVE-2018-4291: Kevin Backhouse (Semmle) és LGTM.com

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4413: Juwei Lin (@panicaII; TrendMicro Mobile Security Team)

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4407: Kevin Backhouse (Semmle Ltd.)

Kernel

A következőhöz érhető el: macOS Mojave 10.14

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2018-4424: Dr. Silvio Cesare (InfoSect)

Bejelentkezési ablak

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2018-4348: Ken Gannon (MWR InfoSecurity) és Christian Demko (MWR InfoSecurity)

Mail

A következőhöz érhető el: macOS Mojave 10.14

Érintett terület: Bizonyos, ártó szándékkal létrehozott e-mail-üzenetek feldolgozásakor lehetőség nyílt a felhasználói felület meghamisítására.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason (Syndis)

mDNSOffloadUserClient

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4326: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Zhuo Liang (Qihoo 360 Nirvan Team)

MediaRemote

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2018-4310: CodeColorist (Ant-Financial LightYear Labs)

Microcode

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A spekulatív végrehajtást használó és a rendszerregiszterek spekulatív beolvasását végző mikroprocesszorokat tartalmazó rendszerek lehetővé tették a jogosulatlan hozzáférést a rendszerparaméterekhez a helyi felhasználói hozzáféréssel rendelkező támadóknak oldalcsatornás elemzés révén.

Leírás: Elhárult egy információfelfedéssel kapcsolatos probléma egy mikrokódfrissítés révén. Ez biztosítja, hogy ne lehessen kiszivárogtatni végrehajtási rendszerregisztereket egy spekulatív oldalcsatornán keresztül.

CVE-2018-3640: Innokentiy Sennovskiy (BiZone LLC [bi.zone]), Zdenek Sojka, Rudolf Marek és Alex Zuepke (SYSGO AG [sysgo.com])

NetworkExtension

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.

Érintett terület: Előfordult, hogy VPN-kiszolgálóhoz csatlakozva egy DNS-proxyhoz kerültek DNS-kérelmek.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2018-4369: anonim kutató

Perl

A következőhöz érhető el: macOS Sierra 10.12.6.

Leírás: Több, puffertúlcsordulást okozó probléma állt fenn a Perlben.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több problémát a Perlben.

CVE-2018-6797: Brian Carpenter

Ruby

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: A frissítés keretében több hiba is elhárult a Ruby vonatkozásában.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

Biztonság

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: Előfordult, hogy az S/MIME-aláírással ellátott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2018-4400: Yukinobu Nagayasu (LAC Co., Ltd.)

Biztonság

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2018-4395: Patrick Wardle (Digita Security)

Spotlight

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4393: Lufeng Li

Symptom Framework

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.

CVE-2018-4203: Bruno Keith (@bkth_), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Wi-Fi

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2018-4368: Milan Stute és Alex Mariotto (Secure Mobile Networking Lab, Technische Universität Darmstadt)

További köszönetnyilvánítás

Naptár

Köszönjük egy anonim kutató segítségét.

iBooks

Köszönjük Sem Voigtländer (Fontys Hogeschool ICT) segítségét.

Kernel

Köszönjük Brandon Azad segítségét.

LaunchServices

Köszönjük Alok Menghrajani (Square) segítségét.

Gyorsnézet

Köszönjük lokihardt (Google Project Zero) segítségét.

Biztonság

Köszönjük Marinos Bernitsas (Parachute) segítségét.

Terminal

Köszönjük egy anonim kutató segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: