Zawartość związana z zabezpieczeniami w systemie macOS Mojave 10.14.1, uaktualnieniu zabezpieczeń 2018-001 High Sierra i uaktualnieniu zabezpieczeń 2018-005 Sierra

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Mojave 10.14.1, uaktualnieniu zabezpieczeń 2018-001 High Sierra i uaktualnieniu zabezpieczeń 2018-005 Sierra.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

System macOS Mojave 10.14.1, uaktualnienie zabezpieczeń 2018-001 High Sierra i uaktualnienie zabezpieczeń 2018-005 Sierra

Wydano 30 października 2018 r.

afpserver

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: osoba atakująca zdalnie może być w stanie atakować serwery AFP za pośrednictwem klienta HTTP.

Opis: naprawiono błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4295: Jianjun Chen (@whucjj) z uczelni Tsinghua University i UC Berkeley

AppleGraphicsControl

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4410: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro

AppleGraphicsControl

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2018-4417: Lee z wydziału Information Security Lab uczelni Yonsei University w ramach programu Zero Day Initiative firmy Trend Micro

APR

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: w języku Perl występowało wiele błędów powodujących przepełnienie buforu.

Opis: naprawiono wiele błędów w języku Perl przez poprawienie procedury obsługi pamięci.

CVE-2017-12613: Craig Young z Tripwire VERT

CVE-2017-12618: Craig Young z Tripwire VERT

ATS

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4411: lilang wu moony Li z Trend Micro w ramach programu Zero Day Initiative firmy Trend Micro

ATS

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

CFNetwork

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4126: Bruno Keith (@bkth_) w ramach programu Zero Day Initiative firmy Trend Micro

CoreAnimation

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4415: Liang Zhuo w ramach programu wykrywania luk w zabezpieczeniach zespołu SecuriTeam firmy Beyond Security

CoreCrypto

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: osoba atakująca może wykorzystać lukę w zabezpieczeniach testu Millera-Rabina na liczbę pierwszą, aby błędnie identyfikować liczby pierwsze.

Opis: metoda określania liczb pierwszych zawierała błąd. Ten błąd naprawiono przez wprowadzenie pseudolosowych wykładników w testach na liczbę pierwszą.

CVE-2018-4398: Martin Albrecht, Jake Massimo i Kenny Paterson z Royal Holloway, University of London, Juraj Somorovsky z Ruhr University, Bochum

CoreFoundation

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4412: brytyjska organizacja National Cyber Security Centre (NCSC)

CUPS

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: w niektórych konfiguracjach osoba atakująca zdalnie może być w stanie zastąpić zawartość komunikatu z serwera druku dowolną treścią.

Opis: naprawiono błąd dotyczący wstawiania danych przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4153: Michael Hanselmann z hansmi.ch

CUPS

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”.

Opis: naprawiono problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4406: Michael Hanselmann z hansmi.ch

Słownik

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: analizowanie złośliwie spreparowanego pliku słownika może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: występował błąd sprawdzania poprawności umożliwiający dostęp do lokalnego pliku. Ten błąd naprawiono przez wprowadzenie oczyszczania danych wejściowych.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) z SecuRing

Dock

Dostępne dla: systemu macOS Mojave 10.14

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.

Opis: ten problem naprawiono przez usunięcie dodatkowych uprawnień.

CVE-2018-4403: Patrick Wardle z Digita Security

dyld

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd logiki przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4423: anonimowy badacz

EFI

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: systemy z mikroprocesorami wykorzystującymi wykonywanie spekulatywne i wykonywanie spekulatywne odczytów pamięci przed adresami wszystkich wcześniejszych zapisów pamięci mogą umożliwiać nieautoryzowane ujawnienie informacji osobie atakującej z dostępem użytkownika lokalnego poprzez analizę typu side-channel.

Opis: naprawiono błąd powodujący ujawnianie informacji przez uaktualnienie mikrokodu. Zapewnia to, że starsze dane odczytane z niedawno zapisanych adresów nie mogą zostać odczytane przez spekulatywny atak typu side-channel.

CVE-2018-3639: Jann Horn (@tehjh) z Google Project Zero (GPZ), Ken Johnson z Microsoft Security Response Center (MSRC)

EFI

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: lokalny użytkownik może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd z konfiguracją przez wprowadzenie dodatkowych ograniczeń.

CVE-2018-4342: Timothy Perfitt z Twocanoes Software

Foundation

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4304: jianan.huang (@Sevck)

Grand Central Dispatch

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4426: Brandon Azad

Heimdal

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4331: Brandon Azad

Hypervisor

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: systemy z mikroprocesorami wykorzystującymi wykonywanie spekulatywne i translację adresów mogą umożliwiać osobie atakującej z dostępem użytkownika lokalnego i uprawnieniem gościa systemu operacyjnego nieautoryzowane ujawnienie informacji znajdujących się w pamięci podręcznej danych L1 poprzez błąd strony terminalu i analizę typu side-channel.

Opis: naprawiono błąd powodujący ujawnianie informacji przez opróżnianie pamięci podręcznej danych L1 przy wejściu do maszyny wirtualnej.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse i Thomas F. Wenisch z uczelni University of Michigan, Mark Silberstein i Marina Minkin z Technion, Raoul Strackx, Jo Van Bulck i Frank Piessens z KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun i Kekai Hu z Intel Corporation, Yuval Yarom z uczelni University of Adelaide

Hypervisor

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.

CVE-2018-4242: Zhuo Liang z zespołu Nirvan Team firmy Qihoo 360

ICU

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: przetworzenie złośliwie spreparowanego ciągu znaków mogło doprowadzić do uszkodzenia sterty.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4394: anonimowy badacz

Sterownik graficzny Intel

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4334: Ian Beer z Google Project Zero

Sterownik graficzny Intel

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2018-4396: Yu Wang z Didi Research America

CVE-2018-4418: Yu Wang z Didi Research America

Sterownik graficzny Intel

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4350: Yu Wang z Didi Research America

IOGraphics

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4422: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro

IOHIDFamily

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych

CVE-2018-4408: Ian Beer z Google Project Zero

IOKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4402: Proteas z Qihoo 360 Nirvan Team

IOKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4341: Ian Beer z Google Project Zero

CVE-2018-4354: Ian Beer z Google Project Zero

IOUserEthernet

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4401: Apple

IPSec

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4371: Tim Michaud (@TimGMichaud) z Leviathan Security Group

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Jądro

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: złośliwa aplikacja może być w stanie ujawnić poufne informacje użytkownika.

Opis: w przypadku uprzywilejowanych odwołań do interfejsów API występował błąd dostępu. Ten błąd naprawiono przez wprowadzenie dodatkowych ograniczeń.

CVE-2018-4399: Fabiano Anemone (@anoane)

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4419: Mohamed Ghannam (@_simo36)

CVE-2018-4425: cc w ramach programu Zero Day Initiative firmy Trend Micro, Juwei Lin (@panicaII) z Trend Micro w ramach programu Zero Day Initiative firmy Trend Micro

Jądro

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: zamontowanie złośliwie spreparowanego udziału sieciowego NFS może spowodować wykonanie dowolnego kodu z uprawnieniami systemowymi.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4259: Kevin Backhouse z Semmle i LGTM.com

CVE-2018-4286: Kevin Backhouse z Semmle i LGTM.com

CVE-2018-4287: Kevin Backhouse z Semmle i LGTM.com

CVE-2018-4288: Kevin Backhouse z Semmle i LGTM.com

CVE-2018-4291: Kevin Backhouse z Semmle i LGTM.com

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd związany z inicjowaniem pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4413: Juwei Lin (@panicaII) z TrendMicro Mobile Security Team

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4407: Kevin Backhouse z Semmle Ltd.

Jądro

Dostępne dla: systemu macOS Mojave 10.14

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.

CVE-2018-4424: dr Silvio Cesare z InfoSect

Okno logowania

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2018-4348: Ken Gannon z MWR InfoSecurity i Christian Demko z MWR InfoSecurity

Mail

Dostępne dla: systemu macOS Mojave 10.14

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości pocztowej może doprowadzić do spreparowania interfejsu użytkownika.

Opis: naprawiono błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason z Syndis

mDNSOffloadUserClient

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4326: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro, Zhuo Liang z Qihoo 360 Nirvan Team

MediaRemote

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: naprawiono błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2018-4310: CodeColorist z Ant-Financial LightYear Labs

Mikrokod

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: systemy z mikroprocesorami wykorzystującymi wykonywanie spekulatywne i wykonujące spekulatywne odczyty rejestrów systemu mogą umożliwiać nieautoryzowane ujawnienie informacji osobie atakującej z dostępem użytkownika lokalnego poprzez analizę typu side-channel.

Opis: naprawiono błąd powodujący ujawnianie informacji przez uaktualnienie mikrokodu. Uniemożliwia to ujawnienie danych ze specyficznych dla implementacji rejestrów systemu poprzez ataki typu side-channel z wykorzystaniem wykonywania spekulatywnego.

CVE-2018-3640: Innokentiy Sennovskiy z BiZone LLC (bi.zone), Zdenek Sojka, Rudolf Marek i Alex Zuepke z SYSGO AG (sysgo.com)

NetworkExtension

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: połączenie z serwerem VPN może doprowadzić do udostępnienia zapytań DNS serwerowi proxy DNS.

Opis: naprawiono błąd logiki przez poprawienie procedury zarządzania stanem.

CVE-2018-4369: anonimowy badacz

Perl

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: w języku Perl występowało wiele błędów powodujących przepełnienie buforu.

Opis: naprawiono wiele błędów w języku Perl przez poprawienie procedury obsługi pamięci.

CVE-2018-6797: Brian Carpenter

Ruby

Dostępne dla: systemu macOS Sierra 10.12.6

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Zagrożenie: w języku Ruby występowało wiele błędów, które zostały naprawione w tym uaktualnieniu.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

Zabezpieczenia

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: przetworzenie złośliwie spreparowanej, podpisanej wiadomości S/MIME mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2018-4400: Yukinobu Nagayasu z LAC Co., Ltd.

Zabezpieczenia

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2018-4395: Patrick Wardle z Digita Security

Funkcja Spotlight

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4393: Lufeng Li

Środowisko Symptom

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2018-4203: Bruno Keith (@bkth_) w ramach programu Zero Day Initiative firmy Trend Micro

Wi-Fi

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”.

Opis: naprawiono problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4368: Milan Stute i Alex Mariotto z Secure Mobile Networking Lab na uczelni Technische Universität Darmstadt

Dodatkowe podziękowania

Kalendarz

Dziękujemy anonimowemu badaczowi za pomoc.

iBooks

Dziękujemy za udzieloną pomoc: Sem Voigtländer z Fontys Hogeschool ICT.

Jądro

Dziękujemy za udzieloną pomoc: Brandon Azad.

Usługi uruchamiania

Dziękujemy za udzieloną pomoc: Alok Menghrajani ze Square.

Szybki przegląd

Dziękujemy za udzieloną pomoc: lokihardt z Google Project Zero.

Zabezpieczenia

Dziękujemy za udzieloną pomoc: Marinos Bernitsas z Parachute.

Terminal

Dziękujemy anonimowemu badaczowi za pomoc.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: