Zawartość związana z zabezpieczeniami w systemie macOS Mojave 10.14.1, uaktualnieniu zabezpieczeń 2018-002 High Sierra i uaktualnieniu zabezpieczeń 2018-005 Sierra

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Mojave 10.14.1, uaktualnieniu zabezpieczeń 2018-002 High Sierra i uaktualnieniu zabezpieczeń 2018-005 Sierra.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

System macOS Mojave 10.14.1, uaktualnienie zabezpieczeń 2018-002 High Sierra i uaktualnienie zabezpieczeń 2018-005 Sierra

afpserver

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: osoba atakująca zdalnie może zaatakować serwery AFP za pośrednictwem klientów HTTP.

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4295: Jianjun Chen (@whucjj) z Tsinghua University i UC Berkeley

AppleGraphicsControl

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4410: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro

AppleGraphicsControl

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2018-4417: Lee z wydziału Information Security Lab uczelni Yonsei University w ramach programu Zero Day Initiative firmy Trend Micro

APR

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: w oprogramowaniu Perl występowało wiele błędów przepełnienia buforu.

Opis: naprawiono wiele błędów w oprogramowaniu Perl przez poprawienie procedury obsługi pamięci.

CVE-2017-12613: Craig Young z Tripwire VERT

CVE-2017-12618: Craig Young z Tripwire VERT

ATS

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4411: lilang wu moony Li z Trend Micro w ramach programu Zero Day Initiative firmy Trend Micro

ATS

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Automator

Dostępne dla: systemu macOS Mojave 10.14

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.

Opis: ten problem rozwiązano przez usunięcie dodatkowych uprawnień.

CVE-2018-4468: Jeff Johnson z underpassapp.com

CFNetwork

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4126: Bruno Keith (@bkth_) w ramach programu Zero Day Initiative firmy Trend Micro

CoreAnimation

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4415: Liang Zhuo w ramach programu wykrywania luk w zabezpieczeniach zespołu SecuriTeam firmy Beyond Security

CoreCrypto

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: osoba atakująca może wykorzystać lukę w zabezpieczeniach testu Millera-Rabina na liczbę pierwszą, aby błędnie identyfikować liczby pierwsze.

Opis: metoda określania liczb pierwszych zawierała błąd. Ten błąd naprawiono przez wprowadzenie pseudolosowych wykładników w testach na liczbę pierwszą.

CVE-2018-4398: Martin Albrecht, Jake Massimo i Kenny Paterson z Royal Holloway, University of London, Juraj Somorovsky z Ruhr University, Bochum

CoreFoundation

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4412: brytyjska organizacja National Cyber Security Centre (NCSC)

CUPS

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: w niektórych konfiguracjach osoba atakująca zdalnie może zastąpić treść wiadomości serwera druku dowolną inną treścią.

Opis: naprawiono błąd dotyczący wstawiania danych przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4153: Michael Hanselmann z hansmi.ch

CUPS

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”.

Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4406: Michael Hanselmann z hansmi.ch

Słownik

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: analizowanie złośliwie spreparowanego pliku słownika może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: występował błąd sprawdzania poprawności umożliwiający dostęp do lokalnego pliku. Ten błąd naprawiono przez wprowadzenie oczyszczania danych wejściowych.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) z SecuRing

Dock

Dostępne dla: systemu macOS Mojave 10.14

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.

Opis: ten problem rozwiązano przez usunięcie dodatkowych uprawnień.

CVE-2018-4403: Patrick Wardle z Digita Security

dyld

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4423: Youfu Zhang z Chaitin Security Research Lab (@ChaitinTech)

EFI

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: systemy z mikroprocesorami wykorzystującymi wykonywanie spekulatywne i wykonywanie spekulatywne odczytów pamięci przed adresami wszystkich wcześniejszych zapisów pamięci mogą umożliwiać nieautoryzowane ujawnienie informacji osobie atakującej z dostępem użytkownika lokalnego poprzez analizę typu side-channel.

Opis: naprawiono błąd powodujący ujawnianie informacji przez uaktualnienie mikrokodu. Zapewnia to, że starsze dane odczytane z niedawno zapisanych adresów nie mogą zostać odczytane przez spekulatywny atak typu side-channel.

CVE-2018-3639: Jann Horn (@tehjh) z Google Project Zero (GPZ), Ken Johnson z Microsoft Security Response Center (MSRC)

EFI

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: lokalny użytkownik może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd z konfiguracją przez wprowadzenie dodatkowych ograniczeń.

CVE-2018-4342: Timothy Perfitt z Twocanoes Software

Foundation

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4304: jianan.huang (@Sevck)

Grand Central Dispatch

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4426: Brandon Azad

Heimdal

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4331: Brandon Azad

Hypervisor

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: systemy z mikroprocesorami wykorzystującymi wykonywanie spekulatywne i translację adresów mogą umożliwiać osobie atakującej z dostępem użytkownika lokalnego i uprawnieniem gościa systemu operacyjnego nieautoryzowane ujawnienie informacji znajdujących się w pamięci podręcznej danych L1 poprzez błąd strony terminalu i analizę typu side-channel.

Opis: naprawiono błąd powodujący ujawnianie informacji przez opróżnianie pamięci podręcznej danych L1 przy wejściu do maszyny wirtualnej.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse i Thomas F. Wenisch z University of Michigan, Mark Silberstein i Marina Minkin z Technion, Raoul Strackx, Jo Van Bulck i Frank Piessens z KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun i Kekai Hu z Intel Corporation, Yuval Yarom z University of Adelaide

Hypervisor

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.

CVE-2018-4242: Zhuo Liang z zespołu Nirvan Team firmy Qihoo 360

ICU

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6

Zagrożenie: przetworzenie złośliwie spreparowanego ciągu znaków mogło doprowadzić do uszkodzenia sterty.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4394: Erik Verbruggen z The Qt Company

Sterownik graficzny Intel

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4334: Ian Beer z Google Project Zero

Sterownik graficzny Intel

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2018-4396: Yu Wang z Didi Research America

CVE-2018-4418: Yu Wang z Didi Research America

Sterownik graficzny Intel

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4350: Yu Wang z Didi Research America

Sterownik graficzny Intel

Dostępne dla: systemu macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4421: Tyler Bohan z Cisco Talos

IOGraphics

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4422: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro

IOHIDFamily

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4408: Ian Beer z Google Project Zero

IOKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4402: Proteas z Qihoo 360 Nirvan Team

IOKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4341: Ian Beer z Google Project Zero

CVE-2018-4354: Ian Beer z Google Project Zero

IOUserEthernet

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4401: Apple

IPSec

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4371: Tim Michaud (@TimGMichaud) z Leviathan Security Group

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Jądro

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: złośliwa aplikacja może być w stanie ujawnić poufne informacje użytkownika.

Opis: w przypadku uprzywilejowanych odwołań do interfejsów API występował błąd dostępu. Ten błąd naprawiono przez wprowadzenie dodatkowych ograniczeń.

CVE-2018-4399: Fabiano Anemone (@anoane)

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4419: Mohamed Ghannam (@_simo36)

CVE-2018-4425: cc w ramach programu Zero Day Initiative firmy Trend Micro, Juwei Lin (@panicaII) z Trend Micro w ramach programu Zero Day Initiative firmy Trend Micro

Jądro

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: zamontowanie złośliwie spreparowanego udziału sieciowego NFS może doprowadzić do wykonania dowolnego kodu z uprawnieniami systemowymi.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4259: Kevin Backhouse z Semmle i LGTM.com

CVE-2018-4286: Kevin Backhouse z Semmle i LGTM.com

CVE-2018-4287: Kevin Backhouse z Semmle i LGTM.com

CVE-2018-4288: Kevin Backhouse z Semmle i LGTM.com

CVE-2018-4291: Kevin Backhouse z Semmle i LGTM.com

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4413: Juwei Lin (@panicaII) z TrendMicro Mobile Security Team

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2018-4407: Kevin Backhouse z Semmle Ltd.

Jądro

Dostępne dla: systemu macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.

CVE-2018-4424: dr Silvio Cesare z InfoSect

LinkPresentation

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości tekstowej może doprowadzić do podrobienia interfejsu użytkownika.

Opis: w procedurze obsługi adresów URL występował błąd umożliwiający fałszowanie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) z Tencent Security Platform Department

Okno logowania

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2018-4348: Ken Gannon z MWR InfoSecurity i Christian Demko z MWR InfoSecurity

Mail

Dostępne dla: systemu macOS Mojave 10.14

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości pocztowej może doprowadzić do spreparowania interfejsu użytkownika.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason z Syndis

mDNSOffloadUserClient

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4326: anonimowy badacz w ramach programu Zero Day Initiative firmy Trend Micro, Zhuo Liang z Qihoo 360 Nirvan Team

MediaRemote

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2018-4310: CodeColorist z Ant-Financial LightYear Labs

Mikrokod

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: systemy z mikroprocesorami wykorzystującymi wykonywanie spekulatywne i wykonujące spekulatywne odczyty rejestrów systemu mogą umożliwiać nieautoryzowane ujawnienie informacji osobie atakującej z dostępem użytkownika lokalnego poprzez analizę typu side-channel.

Opis: naprawiono błąd powodujący ujawnianie informacji przez uaktualnienie mikrokodu. Uniemożliwia to ujawnienie danych ze specyficznych dla implementacji rejestrów systemu poprzez ataki typu side-channel z wykorzystaniem wykonywania spekulatywnego.

CVE-2018-3640: Innokentiy Sennovskiy z BiZone LLC (bi.zone), Zdenek Sojka, Rudolf Marek i Alex Zuepke z SYSGO AG (sysgo.com)

NetworkExtension

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: połączenie z serwerem VPN może doprowadzić do udostępnienia zapytań DNS serwerowi proxy DNS.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2018-4369: anonimowy badacz

Perl

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: w oprogramowaniu Perl występowało wiele błędów przepełnienia buforu.

Opis: naprawiono wiele błędów w oprogramowaniu Perl przez poprawienie procedury obsługi pamięci.

CVE-2018-6797: Brian Carpenter

Ruby

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w języku Ruby występowało wiele błędów, które zostały naprawione w tym uaktualnieniu.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

Zabezpieczenia

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: przetworzenie złośliwie spreparowanej, podpisanej wiadomości S/MIME mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2018-4400: Yukinobu Nagayasu z LAC Co., Ltd.

Zabezpieczenia

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2018-4395: Patrick Wardle z Digita Security

Funkcja Spotlight

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4393: Lufeng Li

Architektura objawów

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2018-4203: Bruno Keith (@bkth_) w ramach programu Zero Day Initiative firmy Trend Micro

Wi-Fi

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”.

Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4368: Milan Stute i Alex Mariotto z Secure Mobile Networking Lab na uczelni Technische Universität Darmstadt

Dodatkowe podziękowania

Kalendarz

Dziękujemy za udzieloną pomoc: Matthew Thomas z Verisign.

coreTLS

Dziękujemy za udzieloną pomoc: Eyal Ronen (Weizmann Institute), Robert Gillham (University of Adelaide), Daniel Genkin (University of Michigan), Adi Shamir (Weizmann Institute), David Wong (NCC Group) i Yuval Yarom (University of Adelaide i Data61).

iBooks

Dziękujemy za udzieloną pomoc: Sem Voigtländer z Fontys Hogeschool ICT.

Jądro

Dziękujemy za udzieloną pomoc: Brandon Azad.

Usługi uruchamiania

Dziękujemy za udzieloną pomoc: Alok Menghrajani ze Square.

Szybki przegląd

Dziękujemy za udzieloną pomoc: lokihardt z Google Project Zero.

Zabezpieczenia

Dziękujemy za udzieloną pomoc: Marinos Bernitsas z Parachute.

Terminal

Dziękujemy za udzieloną pomoc: Federico Bento.

Time Machine

Dziękujemy za udzieloną pomoc: Matthew Thomas z Verisign.