Zawartość związana z zabezpieczeniami w uaktualnieniu zabezpieczeń 2018-001
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w uaktualnieniu zabezpieczeń 2018-001.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Uaktualnienie zabezpieczeń 2018-001
Crash Reporter
Dostępne dla: systemu macOS High Sierra 10.13.4
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi błędów.
CVE-2018-4206: Ian Beer z Google Project Zero
Jądro
Dostępne dla: systemu macOS High Sierra 10.13.4
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: w pewnych okolicznościach niektóre systemy operacyjne mogą nie oczekiwać lub poprawnie obsługiwać wyjątku debugowania architektury Intel po wykonaniu określonych instrukcji. Wydaje się, że problem wynika z nieudokumentowanego efektu ubocznego instrukcji. Osoba atakująca może wykorzystać tę obsługę wyjątków, aby uzyskać dostęp do pierścienia 0 i uzyskać dostęp do wrażliwej pamięci lub kontrolować procesy systemu operacyjnego.
CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox) z Everdox Tech LLC
LinkPresentation
Dostępne dla: systemu macOS High Sierra 10.13.4
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości tekstowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: w procedurze obsługi adresów URL występował błąd umożliwiający fałszowanie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4187: Zhiyang Zeng (@Wester) z Tencent Security Platform Department, Roman Mueller (@faker_)
Zainstalowanie uaktualnienia zabezpieczeń 2018-001 powoduje uaktualnienie przeglądarki Safari do wersji 11.1 (13605.1.33.1.4).
Aby sprawdzić wersję przeglądarki Safari zainstalowaną na komputerze Mac:
Otwórz przeglądarkę Safari.
Wybierz kolejno opcje Safari > Safari…
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.