Zawartość związana z zabezpieczeniami w systemie macOS Mojave 10.14.1, uaktualnieniu zabezpieczeń 2018-002 High Sierra i uaktualnieniu zabezpieczeń 2018-005 Sierra
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Mojave 10.14.1, uaktualnieniu zabezpieczeń 2018-002 High Sierra i uaktualnieniu zabezpieczeń 2018-005 Sierra.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
System macOS Mojave 10.14.1, uaktualnienie zabezpieczeń 2018-002 High Sierra i uaktualnienie zabezpieczeń 2018-005 Sierra
afpserver
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: osoba atakująca zdalnie może zaatakować serwery AFP za pośrednictwem klientów HTTP.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4295: Jianjun Chen (@whucjj) z Tsinghua University i UC Berkeley
AppleGraphicsControl
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4410: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro
AppleGraphicsControl
Dostępne dla: systemu macOS High Sierra 10.13.6
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2018-4417: Lee z wydziału Information Security Lab uczelni Yonsei University w ramach programu Zero Day Initiative firmy Trend Micro
APR
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: w oprogramowaniu Perl występowało wiele błędów przepełnienia buforu.
Opis: naprawiono wiele błędów w oprogramowaniu Perl przez poprawienie procedury obsługi pamięci.
CVE-2017-12613: Craig Young z Tripwire VERT
CVE-2017-12618: Craig Young z Tripwire VERT
ATS
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4411: lilang wu moony Li z Trend Micro w ramach programu Zero Day Initiative firmy Trend Micro
ATS
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2018-4308: Mohamed Ghannam (@_simo36)
Automator
Dostępne dla: systemu macOS Mojave 10.14
Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.
Opis: ten problem rozwiązano przez usunięcie dodatkowych uprawnień.
CVE-2018-4468: Jeff Johnson z underpassapp.com
CFNetwork
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4126: Bruno Keith (@bkth_) w ramach programu Zero Day Initiative firmy Trend Micro
CoreAnimation
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4415: Liang Zhuo w ramach programu wykrywania luk w zabezpieczeniach zespołu SecuriTeam firmy Beyond Security
CoreCrypto
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: osoba atakująca może wykorzystać lukę w zabezpieczeniach testu Millera-Rabina na liczbę pierwszą, aby błędnie identyfikować liczby pierwsze.
Opis: metoda określania liczb pierwszych zawierała błąd. Ten błąd naprawiono przez wprowadzenie pseudolosowych wykładników w testach na liczbę pierwszą.
CVE-2018-4398: Martin Albrecht, Jake Massimo i Kenny Paterson z Royal Holloway, University of London, Juraj Somorovsky z Ruhr University, Bochum
CoreFoundation
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4412: brytyjska organizacja National Cyber Security Centre (NCSC)
CUPS
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: w niektórych konfiguracjach osoba atakująca zdalnie może zastąpić treść wiadomości serwera druku dowolną inną treścią.
Opis: naprawiono błąd dotyczący wstawiania danych przez poprawienie procedury sprawdzania poprawności.
CVE-2018-4153: Michael Hanselmann z hansmi.ch
CUPS
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2018-4406: Michael Hanselmann z hansmi.ch
Słownik
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: analizowanie złośliwie spreparowanego pliku słownika może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: występował błąd sprawdzania poprawności umożliwiający dostęp do lokalnego pliku. Ten błąd naprawiono przez wprowadzenie oczyszczania danych wejściowych.
CVE-2018-4346: Wojciech Reguła (@_r3ggi) z SecuRing
Dock
Dostępne dla: systemu macOS Mojave 10.14
Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.
Opis: ten problem rozwiązano przez usunięcie dodatkowych uprawnień.
CVE-2018-4403: Patrick Wardle z Digita Security
dyld
Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2018-4423: Youfu Zhang z Chaitin Security Research Lab (@ChaitinTech)
EFI
Dostępne dla: systemu macOS High Sierra 10.13.6
Zagrożenie: systemy z mikroprocesorami wykorzystującymi wykonywanie spekulatywne i wykonywanie spekulatywne odczytów pamięci przed adresami wszystkich wcześniejszych zapisów pamięci mogą umożliwiać nieautoryzowane ujawnienie informacji osobie atakującej z dostępem użytkownika lokalnego poprzez analizę typu side-channel.
Opis: naprawiono błąd powodujący ujawnianie informacji przez uaktualnienie mikrokodu. Zapewnia to, że starsze dane odczytane z niedawno zapisanych adresów nie mogą zostać odczytane przez spekulatywny atak typu side-channel.
CVE-2018-3639: Jann Horn (@tehjh) z Google Project Zero (GPZ), Ken Johnson z Microsoft Security Response Center (MSRC)
EFI
Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: lokalny użytkownik może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd z konfiguracją przez wprowadzenie dodatkowych ograniczeń.
CVE-2018-4342: Timothy Perfitt z Twocanoes Software
Foundation
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2018-4304: jianan.huang (@Sevck)
Grand Central Dispatch
Dostępne dla: systemu macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4426: Brandon Azad
Heimdal
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4331: Brandon Azad
Hypervisor
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: systemy z mikroprocesorami wykorzystującymi wykonywanie spekulatywne i translację adresów mogą umożliwiać osobie atakującej z dostępem użytkownika lokalnego i uprawnieniem gościa systemu operacyjnego nieautoryzowane ujawnienie informacji znajdujących się w pamięci podręcznej danych L1 poprzez błąd strony terminalu i analizę typu side-channel.
Opis: naprawiono błąd powodujący ujawnianie informacji przez opróżnianie pamięci podręcznej danych L1 przy wejściu do maszyny wirtualnej.
CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse i Thomas F. Wenisch z University of Michigan, Mark Silberstein i Marina Minkin z Technion, Raoul Strackx, Jo Van Bulck i Frank Piessens z KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun i Kekai Hu z Intel Corporation, Yuval Yarom z University of Adelaide
Hypervisor
Dostępne dla: systemu macOS Sierra 10.12.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.
CVE-2018-4242: Zhuo Liang z zespołu Nirvan Team firmy Qihoo 360
ICU
Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6
Zagrożenie: przetworzenie złośliwie spreparowanego ciągu znaków mogło doprowadzić do uszkodzenia sterty.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4394: Erik Verbruggen z The Qt Company
Sterownik graficzny Intel
Dostępne dla: systemu macOS Sierra 10.12.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4334: Ian Beer z Google Project Zero
Sterownik graficzny Intel
Dostępne dla: systemu macOS High Sierra 10.13.6
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2018-4396: Yu Wang z Didi Research America
CVE-2018-4418: Yu Wang z Didi Research America
Sterownik graficzny Intel
Dostępne dla: systemu macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4350: Yu Wang z Didi Research America
Sterownik graficzny Intel
Dostępne dla: systemu macOS Mojave 10.14
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4421: Tyler Bohan z Cisco Talos
IOGraphics
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4422: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro
IOHIDFamily
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4408: Ian Beer z Google Project Zero
IOKit
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4402: Proteas z Qihoo 360 Nirvan Team
IOKit
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4341: Ian Beer z Google Project Zero
CVE-2018-4354: Ian Beer z Google Project Zero
IOUserEthernet
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4401: Apple
IPSec
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4371: Tim Michaud (@TimGMichaud) z Leviathan Security Group
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2018-4420: Mohamed Ghannam (@_simo36)
Jądro
Dostępne dla: systemu macOS High Sierra 10.13.6
Zagrożenie: złośliwa aplikacja może być w stanie ujawnić poufne informacje użytkownika.
Opis: w przypadku uprzywilejowanych odwołań do interfejsów API występował błąd dostępu. Ten błąd naprawiono przez wprowadzenie dodatkowych ograniczeń.
CVE-2018-4399: Fabiano Anemone (@anoane)
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4419: Mohamed Ghannam (@_simo36)
CVE-2018-4425: cc w ramach programu Zero Day Initiative firmy Trend Micro, Juwei Lin (@panicaII) z Trend Micro w ramach programu Zero Day Initiative firmy Trend Micro
Jądro
Dostępne dla: systemu macOS Sierra 10.12.6
Zagrożenie: zamontowanie złośliwie spreparowanego udziału sieciowego NFS może doprowadzić do wykonania dowolnego kodu z uprawnieniami systemowymi.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4259: Kevin Backhouse z Semmle i LGTM.com
CVE-2018-4286: Kevin Backhouse z Semmle i LGTM.com
CVE-2018-4287: Kevin Backhouse z Semmle i LGTM.com
CVE-2018-4288: Kevin Backhouse z Semmle i LGTM.com
CVE-2018-4291: Kevin Backhouse z Semmle i LGTM.com
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4413: Juwei Lin (@panicaII) z TrendMicro Mobile Security Team
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2018-4407: Kevin Backhouse z Semmle Ltd.
Jądro
Dostępne dla: systemu macOS Mojave 10.14
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.
CVE-2018-4424: dr Silvio Cesare z InfoSect
LinkPresentation
Dostępne dla: systemu macOS Sierra 10.12.6
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości tekstowej może doprowadzić do podrobienia interfejsu użytkownika.
Opis: w procedurze obsługi adresów URL występował błąd umożliwiający fałszowanie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) z Tencent Security Platform Department
Okno logowania
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.
Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.
CVE-2018-4348: Ken Gannon z MWR InfoSecurity i Christian Demko z MWR InfoSecurity
Dostępne dla: systemu macOS Mojave 10.14
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości pocztowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.
CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason z Syndis
mDNSOffloadUserClient
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4326: anonimowy badacz w ramach programu Zero Day Initiative firmy Trend Micro, Zhuo Liang z Qihoo 360 Nirvan Team
MediaRemote
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.
CVE-2018-4310: CodeColorist z Ant-Financial LightYear Labs
Mikrokod
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: systemy z mikroprocesorami wykorzystującymi wykonywanie spekulatywne i wykonujące spekulatywne odczyty rejestrów systemu mogą umożliwiać nieautoryzowane ujawnienie informacji osobie atakującej z dostępem użytkownika lokalnego poprzez analizę typu side-channel.
Opis: naprawiono błąd powodujący ujawnianie informacji przez uaktualnienie mikrokodu. Uniemożliwia to ujawnienie danych ze specyficznych dla implementacji rejestrów systemu poprzez ataki typu side-channel z wykorzystaniem wykonywania spekulatywnego.
CVE-2018-3640: Innokentiy Sennovskiy z BiZone LLC (bi.zone), Zdenek Sojka, Rudolf Marek i Alex Zuepke z SYSGO AG (sysgo.com)
NetworkExtension
Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: połączenie z serwerem VPN może doprowadzić do udostępnienia zapytań DNS serwerowi proxy DNS.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2018-4369: anonimowy badacz
Perl
Dostępne dla: systemu macOS Sierra 10.12.6
Zagrożenie: w oprogramowaniu Perl występowało wiele błędów przepełnienia buforu.
Opis: naprawiono wiele błędów w oprogramowaniu Perl przez poprawienie procedury obsługi pamięci.
CVE-2018-6797: Brian Carpenter
Ruby
Dostępne dla: systemu macOS Sierra 10.12.6
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w języku Ruby występowało wiele błędów, które zostały naprawione w tym uaktualnieniu.
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
Zabezpieczenia
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: przetworzenie złośliwie spreparowanej, podpisanej wiadomości S/MIME mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.
CVE-2018-4400: Yukinobu Nagayasu z LAC Co., Ltd.
Zabezpieczenia
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2018-4395: Patrick Wardle z Digita Security
Funkcja Spotlight
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4393: Lufeng Li
Architektura objawów
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2018-4203: Bruno Keith (@bkth_) w ramach programu Zero Day Initiative firmy Trend Micro
Wi-Fi
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2018-4368: Milan Stute i Alex Mariotto z Secure Mobile Networking Lab na uczelni Technische Universität Darmstadt
Dodatkowe podziękowania
Kalendarz
Dziękujemy za udzieloną pomoc: Matthew Thomas z Verisign.
coreTLS
Dziękujemy za udzieloną pomoc: Eyal Ronen (Weizmann Institute), Robert Gillham (University of Adelaide), Daniel Genkin (University of Michigan), Adi Shamir (Weizmann Institute), David Wong (NCC Group) i Yuval Yarom (University of Adelaide i Data61).
iBooks
Dziękujemy za udzieloną pomoc: Sem Voigtländer z Fontys Hogeschool ICT.
Jądro
Dziękujemy za udzieloną pomoc: Brandon Azad.
Usługi uruchamiania
Dziękujemy za udzieloną pomoc: Alok Menghrajani ze Square.
Szybki przegląd
Dziękujemy za udzieloną pomoc: lokihardt z Google Project Zero.
Zabezpieczenia
Dziękujemy za udzieloną pomoc: Marinos Bernitsas z Parachute.
Terminal
Dziękujemy za udzieloną pomoc: Federico Bento.
Time Machine
Dziękujemy za udzieloną pomoc: Matthew Thomas z Verisign.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.