Zawartość związana z zabezpieczeniami w uaktualnieniu zabezpieczeń 2018-001

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w uaktualnieniu zabezpieczeń 2018-001.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Uaktualnienie zabezpieczeń 2018-001

Wydano 24 kwietnia 2018 r.

Crash Reporter

Dostępne dla: systemu macOS High Sierra 10.13.4

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi błędów.

CVE-2018-4206: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemu macOS High Sierra 10.13.4

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: w pewnych okolicznościach niektóre systemy operacyjne mogą nie oczekiwać lub poprawnie obsługiwać wyjątku debugowania architektury Intel po wykonaniu określonych instrukcji. Wydaje się, że problem wynika z nieudokumentowanego efektu ubocznego instrukcji. Osoba atakująca może wykorzystać tę obsługę wyjątków, aby uzyskać dostęp do pierścienia 0 i uzyskać dostęp do wrażliwej pamięci lub kontrolować procesy systemu operacyjnego.

CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox) z Everdox Tech LLC

Wpis dodano 8 maja 2018 r.

LinkPresentation

Dostępne dla: systemu macOS High Sierra 10.13.4

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości tekstowej może doprowadzić do spreparowania interfejsu użytkownika.

Opis: w procedurze obsługi adresów URL występował błąd umożliwiający fałszowanie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4187: Zhiyang Zeng (@Wester) z Tencent Security Platform Department, Roman Mueller (@faker_)

Zainstalowanie uaktualnienia zabezpieczeń 2018-001 powoduje uaktualnienie przeglądarki Safari do wersji 11.1 (13605.1.33.1.4).

Aby sprawdzić wersję przeglądarki Safari zainstalowaną na komputerze Mac:

  1. Otwórz przeglądarkę Safari.
  2. Wybierz kolejno opcje Safari > Safari…

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: