Informazioni sui contenuti di sicurezza di macOS Mojave 10.14.1, aggiornamento di sicurezza 2018-001 per High Sierra e aggiornamento di sicurezza 2018-005 per Sierra

In questo documento vengono descritti i contenuti di sicurezza di macOS Mojave 10.14.1, dell'aggiornamento di sicurezza 2018-001 per High Sierra e dell'aggiornamento di sicurezza 2018-005 per Sierra.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple. Puoi codificare le comunicazioni con Apple usando la chiave PGP per la sicurezza dei prodotti Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

macOS Mojave 10.14.1, aggiornamento di sicurezza 2018-001 per High Sierra e aggiornamento di sicurezza 2018-005 per Sierra

Rilasciato il 30 ottobre 2018

afpserver

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un utente malintenzionato remoto può essere in grado di attaccare i server AFP attraverso i clienti HTTP

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione dell'input.

CVE-2018-4295: Jianjun Chen (@whucjj) della Tsinghua University e dell'Università della California, Berkeley

AppleGraphicsControl

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso un migliore convalida dell'input.

CVE-2018-4410: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

AppleGraphicsControl

Disponibile per: macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2018-4417: Lee dell'Information Security Lab, Yonsei University in collaborazione con Zero Day Initiative di Trend Micro

APR

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: diversi problemi di overflow del buffer erano presenti in Perl

Descrizione: diversi problemi in Perl sono stati risolti attraverso una migliore gestione della memoria.

CVE-2017-12613: Craig Young di Tripwire VERT

CVE-2017-12618: Craig Young di Tripwire VERT

ATS

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso un migliore convalida dell'input.

CVE-2018-4411: lilang wu moony Li di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

ATS

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

CFNetwork

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2018-4126: Bruno Keith (@bkth_) in collaborazione con Zero Day Initiative di Trend Micro

CoreAnimation

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2018-4415: Liang Zhuo in collaborazione con SecuriTeam Secure Disclosure di Beyond Security

CoreCrypto

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: un utente malintenzionato può essere in grado di sfruttare una debolezza nel test di primalità Miller-Rabin per identificare in maniera errata i numeri primi

Descrizione: si verificava un problema nel metodo di determinazione dei numeri primi. Il problema è stato risolto utilizzando basi pseudo-casuali per testare i numeri primi.

CVE-2018-4398: Martin Albrecht, Jake Massimo e Kenny Paterson della Royal Holloway, University of London e Juraj Somorovsky della Ruhr University, Bochum

CoreFoundation

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso un migliore convalida dell'input.

CVE-2018-4412: National Cyber Security Centre (NCSC) del Regno Unito

CUPS

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: in alcune configurazioni, un utente malintenzionato remoto può essere in grado di sostituire il contenuto di un messaggio del server di stampa con del contenuto arbitrario

Descrizione: un problema di injection è stato risolto attraverso una migliore convalida.

CVE-2018-4153: Michael Hanselmann di hansmi.ch

CUPS

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2018-4406: Michael Hanselmann di hansmi.ch

Dizionario

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: l'analisi di un file dizionario dannoso può determinare la divulgazione delle informazioni utente

Descrizione: si verificava un problema di convalida che permetteva l'accesso ai file locali, che è stato risolto con una migliore sanitizzazione dell'input.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) di SecuRing

Dock

Disponibile per: macOS Mojave 10.14

Impatto: un'applicazione pericolosa può accedere a file con limitazioni

Descrizione: questo problema è stato risolto attraverso la rimozione dei diritti aggiuntivi.

CVE-2018-4403: Patrick Wardle di Digita Security

dyld

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2018-4423: un ricercatore anonimo

EFI

Disponibile per: macOS High Sierra 10.13.6

Impatto: i sistemi con microprocessori che utilizzano l'esecuzione speculativa delle operazioni di lettura della memoria prima che siano noti gli indirizzi di tutte le precedenti operazioni di scrittura della memoria possono consentire la divulgazione non autorizzata di informazioni a un malintenzionato con accesso utente locale tramite analisi side-channel

Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso l'aggiornamento di un microcodice. In questo modo, i dati meno recenti letti dagli indirizzi scritti di recente non possono essere letti tramite side-channel speculativo.

CVE-2018-3639: Jann Horn (@tehjh) di Google Project Zero (GPZ), Ken Johnson del Microsoft Security Response Center (MSRC)

EFI

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: un utente locale può essere in grado di modificare parti protette del file system.

Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.

CVE-2018-4342: Timothy Perfitt di Twocanoes Software

Foundation

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: l'elaborazione di un file di testo pericoloso potrebbe causare un'interruzione del servizio

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2018-4304: jianan.huang (@Sevck)

Grand Central Dispatch

Disponibile per: macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2018-4426: Brandon Azad

Heimdal

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2018-4331: Brandon Azad

Hypervisor

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: i sistemi con microprocessori che utilizzano l'esecuzione speculativa e la traduzione di indirizzi possono consentire la divulgazione non autorizzata di informazioni presenti nella cache dei dati L1 a un malintenzionato con accesso utente locale con privilegio OS ospite tramite un errore di pagina terminale e un'analisi side-channel

Descrizione: un problema di divulgazione delle informazioni è stato risolto ripulendo la cache dei dati L1 alla voce della macchina virtuale.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse e Thomas F. Wenisch della University of Michigan, Mark Silberstein e Marina Minkin di Technion, Raoul Strackx, Jo Van Bulck e Frank Piessens di KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun e Kekai Hu di Intel Corporation, Yuval Yarom della University of Adelaide

Hypervisor

Disponibile per: macOS Sierra 10.12.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta mediante un blocco migliore.

CVE-2018-4242: Zhuo Liang del team Nirvan di Qihoo 360

ICU

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: l'elaborazione di una stringa pericolosa poteva comportare a un danno nella memoria di heap

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso un migliore convalida dell'input.

CVE-2018-4394: un ricercatore anonimo

Driver Intel Graphics

Disponibile per: macOS Sierra 10.12.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2018-4334: Ian Beer di Google Project Zero

Driver Intel Graphics

Disponibile per: macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2018-4396: Yu Wang di Didi Research America

CVE-2018-4418: Yu Wang di Didi Research America

Driver Intel Graphics

Disponibile per: macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso un migliore convalida dell'input.

CVE-2018-4350: Yu Wang di Didi Research America

IOGraphics

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2018-4422: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

IOHIDFamily

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso un migliore convalida dell'input

CVE-2018-4408: Ian Beer di Google Project Zero

IOKit

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2018-4402: Proteas del team Nirvan di Qihoo 360

IOKit

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2018-4341: Ian Beer di Google Project Zero

CVE-2018-4354: Ian Beer di Google Project Zero

IOUserEthernet

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2018-4401: Apple

IPSec

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2018-4371: Tim Michaud (@TimGMichaud) di Leviathan Security Group

Kernel

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: un problema di danneggiamento della memoria è stato risolto rimuovendo il codice vulnerabile.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Kernel

Disponibile per: macOS High Sierra 10.13.6

Impatto: un'applicazione dannosa può essere in grado di divulgare informazioni sensibili degli utenti

Descrizione: si verificava un problema di accesso con le chiamate API privilegiate. Questo problema è stato risolto attraverso ulteriori restrizioni.

CVE-2018-4399: Fabiano Anemone (@anoane)

Kernel

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4419: Mohamed Ghannam (@_simo36)

CVE-2018-4425: cc in collaborazione con Zero Day Initiative di Trend Micro, Juwei Lin (@panicaII) di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro

Kernel

Disponibile per: macOS Sierra 10.12.6

Impatto: il montaggio di una rete NFS condivisa pericolosa potrebbe portare a un'esecuzione arbitraria del codice con i privilegi di sistema

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2018-4259: Kevin Backhouse di Semmle e LGTM.com

CVE-2018-4286: Kevin Backhouse di Semmle e LGTM.com

CVE-2018-4287: Kevin Backhouse di Semmle e LGTM.com

CVE-2018-4288: Kevin Backhouse di Semmle e LGTM.com

CVE-2018-4291: Kevin Backhouse di Semmle e LGTM.com

Kernel

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2018-4413: Juwei Lin (@panicaII) di TrendMicro Mobile Security Team

Kernel

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un malintenzionato in una posizione privilegiata in rete può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso un migliore convalida.

CVE-2018-4407: Kevin Backhouse di Semmle Ltd.

Kernel

Disponibile per: macOS Mojave 10.14

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2018-4424: Dr. Silvio Cesare di InfoSect

Finestra di login

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un utente locale può causare un'interruzione del servizio

Descrizione: un problema di convalida è stato risolto con una migliore logica.

CVE-2018-4348: Ken Gannon di MWR InfoSecurity e Christian Demko di MWR InfoSecurity

Mail

Disponibile per: macOS Mojave 10.14

Impatto: l'elaborazione di un messaggio di posta dannoso può causare lo spoofing dell'interfaccia utente

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason di Syndis

mDNSOffloadUserClient

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2018-4326: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro, Zhuo Liang del Nirvan Team di Qihoo 360

MediaRemote

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un processo in sandbox può essere in grado di eludere le restrizioni della sandbox

Descrizione: un problema dell'accesso è stato risolto con ulteriori restrizioni della sandbox.

CVE-2018-4310: CodeColorist di Ant-Financial LightYear Labs

Microcodice

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: i sistemi con microprocessori che utilizzano l'esecuzione speculativa e che eseguono letture speculative dei registri di sistema possono consentire la divulgazione non autorizzata dei parametri di sistema a un malintenzionato con accesso utente locale tramite analisi side-channel

Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso l'aggiornamento di un microcodice. In questo modo, l'esecuzione di specifici registri di sistema non può essere divulgata tramite l'esecuzione speculativa side-channel.

CVE-2018-3640: Innokentiy Sennovskiy di BiZone LLC (bi.zone), Zdenek Sojka, Rudolf Marek e Alex Zuepke di SYSGO AG (sysgo.com)

NetworkExtension

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: la connessione a un server VPN potrebbe comportare la divulgazione di richieste di informazioni DNS a un proxy DNS

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2018-4369: un ricercatore anonimo

Perl

Disponibile per: macOS Sierra 10.12.6

Impatto: diversi problemi di overflow del buffer erano presenti in Perl

Descrizione: diversi problemi in Perl sono stati risolti attraverso una migliore gestione della memoria.

CVE-2018-6797: Brian Carpenter

Ruby

Disponibile per: macOS Sierra 10.12.6

Impatto: un utente malintenzionato remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario

Descrizione: in questo aggiornamento vengono risolti diversi problemi di Ruby.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

Sicurezza

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: l'elaborazione di un messaggio pericoloso con firma S/MIME può causare un'interruzione del servizio

Descrizione: un problema di convalida è stato risolto con una migliore logica.

CVE-2018-4400: Yukinobu Nagayasu di LAC Co., Ltd.

Sicurezza

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un utente locale può causare un'interruzione del servizio

Descrizione: questo problema è stato risolto attraverso migliori controlli.

CVE-2018-4395: Patrick Wardle di Digita Security

Spotlight

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2018-4393: Lufeng Li

Symptom Framework

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2018-4203: Bruno Keith (@bkth_) in collaborazione con Zero Day Initiative di Trend Micro

Wi-Fi

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2018-4368: Milan Stute e Alex Mariotto di Secure Mobile Networking Lab della Technische Universität Darmstadt

Altri riconoscimenti

Calendario

Ringraziamo un ricercatore anonimo per l'assistenza.

iBooks

Ringraziamo Sem Voigtländer di Fontys Hogeschool ICT per l'assistenza.

Kernel

Ringraziamo Brandon Azad per l'assistenza.

LaunchServices

Ringraziamo Alok Menghrajani di Square per l'assistenza.

QuickLook

Ringraziamo lokihardt di Google Project Zero per l'assistenza.

Sicurezza

Ringraziamo Marinos Bernitsas di Parachute per l'assistenza.

Terminale

Ringraziamo un ricercatore anonimo per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: