Sobre o conteúdo de segurança do macOS High Sierra 10.13.3, Atualização de Segurança 2018-001 Sierra e Atualização de Segurança 2018-001 El Capitan
Este documento descreve o conteúdo de segurança do macOS High Sierra 10.13.3, a Atualização de Segurança 2018-001 Sierra e a Atualização de Segurança 2018-001 El Capitan.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
macOS High Sierra 10.13.3, Atualização de Segurança 2018-001 Sierra e Atualização de Segurança 2018-001 El Capitan
Áudio
Disponível para: macOS High Sierra 10.13.2 e macOS Sierra 10.12.6
Impacto: processar um arquivo de áudio criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4094: Mingi Cho, Seoyoung Kim, Young-Ho Lee, MinSik Shin e Taekyoung Kwon do Information Security Lab, Yonsei University
curl
Disponível para: macOS High Sierra 10.13.2
Impacto: diversos problemas no curl
Descrição: havia um problema de estouro de inteiro no curl. Esse problema foi resolvido por meio de melhorias na verificação de limites.
CVE-2017-8816: Alex Nichols
curl
Disponível para: macOS High Sierra 10.13.2
Impacto: diversos problemas no curl
Descrição: havia um problema de leitura fora dos limites no curl. Esse problema foi resolvido por meio de melhorias na verificação de limites.
CVE-2017-8817: encontrado por OSS-Fuzz
EFI
Disponível para: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 e OS X El Capitan 10.11.6
Descrição: vários estouros de buffer no kernel no Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 permitiam que um invasor tivesse acesso local ao sistema para executar códigos arbitrários.
CVE-2017- 5705: Mark Ermolov e Maxim Goryachy da Positive Technologies
EFI
Disponível para: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 e OS X El Capitan 10.11.6
Descrição: vários escalonamentos de privilégio no kernel no Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 permitiam que um processo não autorizado tivesse acesso a conteúdo com privilégios por meio de vetor não especificado.
CVE-2017- 5708: Mark Ermolov e Maxim Goryachy da Positive Technologies
IOHIDFamily
Disponível para: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 e OS X El Capitan 10.11.6
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4098: Siguza
Kernel
Disponível para: macOS Sierra 10.12.6 e OS X El Capitan 10.11.6
Impacto: um aplicativo pode ler a memória do kernel (Meltdown)
Descrição: os sistemas com microprocessadores que utilizam execução especulativa e predição de ramo indireta podem permitir a divulgação não autorizada de informações para um invasor com acesso de usuário local por meio de uma análise de canal lateral do cache de dados.
CVE-2017-5754: Jann Horn do Google Project Zero, Moritz Lipp da Graz University of Technology, Michael Schwarz da Graz University of Technology, Daniel Gruss da Graz University of Technology, Thomas Prescher do Cyberus Technology GmbH, Werner Haas do Cyberus Technology GmbH, Stefan Mangard da Graz University of Technology, Paul Kocher, Daniel Genkin da University of Pennsylvania e University of Maryland, Yuval Yarom da University of Adelaide e Data61, e Mike Hamburg da Rambus (Divisão de pesquisa de criptografia)
Kernel
Disponível para: macOS High Sierra 10.13.2
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4090: Jann Horn do Google Project Zero
Kernel
Disponível para: macOS High Sierra 10.13.2
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.
CVE-2018-4092: Stefan Esser da Antid0te UG
Kernel
Disponível para: macOS High Sierra 10.13.2
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4082: Russ Cox do Google
Kernel
Disponível para: macOS High Sierra 10.13.2 e macOS Sierra 10.12.6
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.
CVE-2018-4097: Resecurity, Inc.
Kernel
Disponível para: macOS High Sierra 10.13.2
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2018-4093: Jann Horn do Google Project Zero
Kernel
Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13.2
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4189: pesquisador anônimo
Kernel
Disponível para: macOS High Sierra 10.13.2
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4169: pesquisador anônimo
LinkPresentation
Disponível para: macOS High Sierra 10.13.2 e macOS Sierra 10.12.6
Impacto: processar uma mensagem de texto criada com códigos maliciosos pode ocasionar uma negação de serviço no aplicativo
Descrição: um problema de esgotamento de recursos foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4100: Abraham Masri (@cheesecakeufo)
QuartzCore
Disponível para: OS X El Capitan 10.11.6, macOS High Sierra 10.13.2 e macOS Sierra 10.12.6
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no processamento de conteúdo da Internet. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4085: Ret2 Systems Inc. em parceria com a Zero Day Initiative da Trend Micro
Gerenciamento remoto
Disponível para: macOS Sierra 10.12.6
Impacto: um usuário remoto pode obter privilégios raiz
Descrição: havia um problema de permissões no gerenciamento remoto. Esse problema foi resolvido por meio de melhorias na validação de permissões.
CVE-2018-4298: Tim van der Werff da SupCloud
Área restrita
Disponível para: macOS High Sierra 10.13.2
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: um problema de acesso foi resolvido por meio de restrições adicionais.
CVE-2018-4091: Alex Gaynor da Mozilla
Segurança
Disponível para: macOS High Sierra 10.13.2 e macOS Sierra 10.12.6
Impacto: um certificado pode ter algumas limitações de nomes aplicados incorretamente
Descrição: havia um problema de avaliação de certificado no processamento de limitações de nomes. Esse problema foi resolvido por meio de melhorias na avaliação da confiança de certificados.
CVE-2018-4086: Ian Haken da Netflix
Segurança
Disponível para: macOS High Sierra 10.13.2
Impacto: um invasor pode conseguir passar pela autenticação do administrador sem fornecer a senha do administrador
Descrição: havia um erro de lógica na validação de credenciais. Esse problema foi resolvido por meio de melhorias na validação de credenciais.
CVE-2017-13889: Glenn G. Bruckno, P.E. da Automation Engineering, James Barnes, Kevin Manca do Computer Engineering Politecnico di Milano, Rene Malenfant da University of New Brunswick
Compatibilidade com a Touch Bar
Disponível para: macOS High Sierra 10.13.2 e macOS Sierra 10.12.6
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4083: Ian Beer do Google Project Zero
WebKit
Disponível para: macOS High Sierra 10.13.2
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2018-4088: Jeonghoon Shin da Theori
CVE-2018-4089: Ivan Fratric do Google Project Zero
CVE-2018-4096: encontrado por OSS-Fuzz
WebKit
Disponível para: macOS High Sierra 10.13.2
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2018-4147: encontrado por OSS-Fuzz
Carregamento de página do WebKit
Disponível para: macOS High Sierra 10.13.2
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2017-7830: Jun Kokatsu (@shhnjk)
Wi-Fi
Disponível para: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 e OS X El Capitan 10.11.6
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2018-4084: Hyung Sup Lee do Minionz, You Chan Lee da Hanyang University
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.