Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
macOS High Sierra 10.13.5, Atualização de Segurança 2018-003 Sierra e Atualização de Segurança 2018-003 El Capitan
Lançado em 1º de junho de 2018
Estrutura de acessibilidade
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de divulgação de informações na estrutura de acessibilidade. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2018-4196: Alex Plaskett, Georgi Geshev e Fabian Beterke do MWR Labs em parceria com a Zero Day Initiative da Trend Micro e WanderingGlitch da Zero Day Initiative da Trend Micro
Entrada atualizada em 19 de julho de 2018
AMD
Disponível para: macOS High Sierra 10.13.4
Impacto: um usuário local pode ler a memória do kernel
Descrição: havia um problema de leitura fora dos limites que causava a divulgação da memória do kernel. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4253: shrek_wzw da Qihoo 360 Nirvan Team
AMD
Disponível para: macOS High Sierra 10.13.4
Impacto: um usuário local pode ler a memória do kernel
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4256: shrek_wzw da Qihoo 360 Nirvan Team
Entrada adicionada em 19 de julho de 2018
AMD
Disponível para: macOS High Sierra 10.13.4
Impacto: um usuário local pode ler a memória do kernel
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4255: shrek_wzw da Qihoo 360 Nirvan Team
Entrada adicionada em 18 de outubro de 2018 e atualizada em 14 de dezembro de 2018
AMD
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: havia um problema de validação de entrada no kernel. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4254: pesquisador anônimo
Entrada adicionada em 18 de outubro de 2018
AMD
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: havia um problema de validação de entrada no kernel. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4254: shrek_wzw da Qihoo 360 Nirvan Team
Entrada adicionada em 24 de outubro de 2018
AppleGraphicsControl
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2018-4258: shrek_wzw da Qihoo 360 Nirvan Team
Entrada adicionada em 18 de outubro de 2018
AppleGraphicsPowerManagement
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um estouro de buffer foi resolvido por meio de melhorias na validação de tamanho.
CVE-2018-4257: shrek_wzw da Qihoo 360 Nirvan Team
Entrada adicionada em 18 de outubro de 2018
apache_mod_php
Disponível para: macOS High Sierra 10.13.4
Impacto: problemas no php foram resolvidos nesta atualização
Descrição: esse problema foi resolvido ao fazer a atualização para a versão 7.1.16 do php.
CVE-2018-7584: Wei Lei e Liu Yang da Nanyang Technological University
ATS
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4219: Mohamed Ghannam (@_simo36)
Bluetooth
Disponível para: MacBook Pro (Retina, 15 polegadas, meados de 2015), MacBook Pro (Retina, 15 polegadas, 2015), MacBook Pro (Retina, 13 polegadas, início de 2015), MacBook Pro (15 polegadas, 2017), MacBook Pro (15 polegadas, 2016), MacBook Pro (13 polegadas, final de 2016, duas portas Thunderbolt 3), MacBook Pro (13 polegadas, final de 2016, quatro portas Thunderbolt 3), MacBook Pro (13 polegadas, 2017, quatro portas Thunderbolt 3), MacBook (Retina, 12 polegadas, início de 2016), MacBook (Retina, 12 polegadas, início de 2015), MacBook (Retina, 12 polegadas, 2017), iMac Pro, iMac (Retina 5K, 27 polegadas, final de 2015), iMac (Retina 5K, 27 polegadas, 2017), iMac (Retina 4K, 21,5 polegadas, final de 2015), iMac (Retina 4K, 21,5 polegadas, 2017), iMac (21,5 polegadas, final de 2015) e iMac (21,5 polegadas, 2017)
Impacto: um invasor em uma posição de rede privilegiada pode interceptar o tráfego de Bluetooth
Descrição: havia um problema de validação de entrada no Bluetooth. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-5383: Lior Neumann e Eli Biham
Entrada adicionada em 23 de julho de 2018
Bluetooth
Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel.
Descrição: havia um problema de divulgação de informações nas propriedades do dispositivo. Esse problema foi resolvido por meio de melhorias no gerenciamento de objetos.
CVE-2018-4171: shrek_wzw da Qihoo 360 Nirvan Team
CoreGraphics
Disponível para: macOS High Sierra 10.13.4
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4194: Jihui Lu do Tencent KeenLab, Yu Zhou do Ant-financial Light-Year Security Lab
Entrada adicionada em 21 de junho de 2018
CUPS
Disponível para: macOS High Sierra 10.13.4
Impacto: um processo local poderia modificar outros processos sem verificações de direitos
Descrição: havia um problema no CUPS. Esse problema foi resolvido por meio de melhorias nas restrições de acesso.
CVE-2018-4180: Dan Bastone da Gotham Digital Science
Entrada adicionada em 11 de julho de 2018
CUPS
Disponível para: macOS High Sierra 10.13.4
Impacto: um usuário local poderia ler arquivos arbitrários como raiz
Descrição: havia um problema no CUPS. Esse problema foi resolvido por meio de melhorias nas restrições de acesso.
CVE-2018-4181: Eric Rafaloff e John Dunlap da Gotham Digital Science
Entrada adicionada em 11 de julho de 2018
CUPS
Disponível para: macOS High Sierra 10.13.4
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: um problema de acesso foi resolvido por meio de restrições adicionais da área restrita no CUPS.
CVE-2018-4182: Dan Bastone da Gotham Digital Science
Entrada adicionada em 11 de julho de 2018
CUPS
Disponível para: macOS High Sierra 10.13.4
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: um problema de acesso foi resolvido por meio de restrições adicionais.
CVE-2018-4183: Dan Bastone e Eric Rafaloff da Gotham Digital Science
Entrada adicionada em 11 de julho de 2018
EFI
Disponível para: macOS High Sierra 10.13.4
Impacto: um invasor com acesso físico a um dispositivo poderia elevar privilégios
Descrição: um problema de validação foi resolvido por meio de melhorias na lógica.
CVE-2018-4478: dois pesquisadores anônimos e Ben Erickson da Trusted Computer Consulting, LLC
Entrada adicionada em 15 de fevereiro de 2019
Firmware
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo malicioso com privilégios raiz poderia modificar a região da memória flash EFI
Descrição: um problema de configuração de dispositivo foi resolvido com uma configuração atualizada.
CVE-2018-4251: Maxim Goryachy e Mark Ermolov
FontParser
Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13.4
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.
CVE-2018-4211: Proteas da Qihoo 360 Nirvan Team
Grand Central Dispatch
Disponível para: macOS High Sierra 10.13.4
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: havia um problema ao analisar plists de qualificação. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4229: Jakob Rieck (@0xdead10cc) do Security in Distributed Systems Group da University of Hamburg
Drivers de placas gráficas
Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13.4
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2018-4159: Axis e pjf do IceSword Lab da Qihoo 360
Hypervisor
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: uma vulnerabilidade de memória corrompida foi resolvida por meio de melhorias no bloqueio.
CVE-2018-4242: Zhuo Liang da Qihoo 360 Nirvan Team
Entrada adicionada em 30 de outubro de 2018
iBooks
Disponível para: macOS High Sierra 10.13.4
Impacto: um invasor em uma posição de rede privilegiada poderia falsificar solicitações de senha no iBooks
Descrição: um problema de validação de entrada foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4202: Jerry Decime
Serviços de identidade
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo malicioso pode acessar o ID Apple de usuários locais
Descrição: um problema de privacidade no processamento de registros do Open Directory foi resolvido por meio de melhorias na indexação.
CVE-2018-4217: Jacob Greenfield da Commonwealth School
Entrada adicionada em 10 de dezembro de 2018
Driver da placa gráfica da Intel
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2018-4141: um pesquisador anônimo e Zhao Qixun (@S0rryMybad) da Qihoo 360 Vulcan Team
IOFireWireAVC
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.
CVE-2018-4228: Benjamin Gnahm (@mitp0sh) da Mentor Graphics
IOGraphics
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4236: Zhao Qixun (@S0rryMybad) da Qihoo 360 Vulcan Team
IOHIDFamily
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4234: Proteas da Qihoo 360 Nirvan Team
Kernel
Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13.4
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4249: Kevin Backhouse da Semmle Ltd.
Entrada atualizada em 18 de dezembro de 2018
Kernel
Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel
Descrição: em determinados casos, alguns sistemas operacionais poderiam não esperar ou não processar corretamente uma exceção de depuração de arquitetura Intel após determinadas instruções. O problema parece ter origem em um efeito colateral não documentado das instruções. Um invasor poderia utilizar o processamento dessa exceção para obter acesso ao Ring 0 e à memória confidencial ou para controlar processos do sistema operacional.
CVE-2018-8897: Andy Lutomirski e Nick Peterson (linkedin.com/in/everdox) da Everdox Tech LLC
Kernel
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2018-4241: Ian Beer do Google Project Zero
CVE-2018-4243: Ian Beer do Google Project Zero
libxpc
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.
CVE-2018-4237: Samuel Groß (@5aelo) em parceria com a Zero Day Initiative da Trend Micro
libxpc
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4404: Samuel Groß (@5aelo) em parceria com a Zero Day Initiative da Trend Micro
Entrada adicionada em 30 de outubro de 2018
Disponível para: macOS High Sierra 10.13.4
Impacto: um invasor poderia extrair o conteúdo de e-mails com criptografia S/MIME
Descrição: havia um problema no processamento de e-mails criptografados. Esse problema foi resolvido por meio de melhorias no isolamento de MIME no Mail.
CVE-2018-4227: Damian Poddebniak da Münster University of Applied Sciences, Christian Dresen da Münster University of Applied Sciences, Jens Müller da Ruhr University Bochum, Fabian Ising da Münster University of Applied Sciences, Sebastian Schinzel da Münster University of Applied Sciences, Simon Friedberger da KU Leuven, Juraj Somorovsky da Ruhr University Bochum e Jörg Schwenk da Ruhr University Bochum
Mensagens
Disponível para: macOS High Sierra 10.13.4
Impacto: um usuário local pode realizar ataques de falsificação
Descrição: um problema de injeção foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4235: Anurodh Pokharel da Salesforce.com
Mensagens
Disponível para: macOS High Sierra 10.13.4
Impacto: processar uma mensagem criada com códigos maliciosos pode resultar em recusa de serviço
Descrição: esse problema foi resolvido por meio de melhorias na validação de mensagens.
CVE-2018-4240: Sriram (@Sri_Hxor) da PrimeFort Pvt. Ltd
Drivers de placas gráficas NVIDIA
Disponível para: macOS High Sierra 10.13.4
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.
CVE-2018-4230: Ian Beer do Google Project Zero
Segurança
Disponível para: macOS High Sierra 10.13.4
Impacto: usuários poderiam ser rastreados por sites criados com códigos maliciosos usando certificados de clientes
Descrição: havia um problema no processamento de certificados S-MIME. Esse problema foi resolvido por meio de melhorias na validação de certificados S-MIME.
CVE-2018-4221: Damian Poddebniak da Münster University of Applied Sciences, Christian Dresen da Münster University of Applied Sciences, Jens Müller da Ruhr University Bochum, Fabian Ising da Münster University of Applied Sciences, Sebastian Schinzel da Münster University of Applied Sciences, Simon Friedberger da KU Leuven, Juraj Somorovsky da Ruhr University Bochum e Jörg Schwenk da Ruhr University Bochum
Segurança
Disponível para: macOS High Sierra 10.13.4
Impacto: um usuário local pode ler um identificador persistente de conta
Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4223: Abraham Masri (@cheesecakeufo)
Segurança
Disponível para: macOS High Sierra 10.13.4
Impacto: um usuário local pode ler um identificador persistente de dispositivo
Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4224: Abraham Masri (@cheesecakeufo)
Segurança
Disponível para: macOS High Sierra 10.13.4
Impacto: um usuário local pode modificar o estado das Chaves
Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4225: Abraham Masri (@cheesecakeufo)
Segurança
Disponível para: macOS High Sierra 10.13.4
Impacto: um usuário local pode visualizar informações confidenciais de outro usuário
Descrição: um problema de autorização foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4226: Abraham Masri (@cheesecakeufo)
Fala
Disponível para: macOS High Sierra 10.13.4
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: havia um problema de área restrita no processamento do acesso ao microfone. Esse problema foi resolvido por meio de melhorias no processamento do acesso ao microfone.
CVE-2018-4184: Jakob Rieck (@0xdead10cc) do Security in Distributed Systems Group da University of Hamburg
UIKit
Disponível para: macOS High Sierra 10.13.4
Impacto: processar um arquivo de texto criado com códigos maliciosos pode resultar em uma negação de serviço
Descrição: havia um problema de validação no processamento de textos. Esse problema foi resolvido por meio de melhorias na validação de textos.
CVE-2018-4198: Hunter Byrnes
Windows Server
Disponível para: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 e macOS High Sierra 10.13.4
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4193: Markus Gaasedelen, Amy Burnett e Patrick Biernat da Ret2 Systems, Inc em parceria com a Zero Day Initiative da Trend Micro e Richard Zhu (fluorescence) em parceria com a Zero Day Initiative da Trend Micro
Entrada atualizada em 8 de outubro de 2019