Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
macOS Mojave 10.14
Lançado em 24 de setembro de 2018
Bluetooth
Disponível para: iMac (21,5 polegadas, final de 2012), iMac (27 polegadas, final de 2012), iMac (21,5 polegadas, final de 2013), iMac (21,5 polegadas, meados de 2014), iMac (Retina 5K, 27 polegadas, final de 2014), iMac (21,5 polegadas, final de 2015), Mac mini (meados de 2011), Mac mini Server (meados de 2011), Mac mini (final de 2012), Mac mini Server (final de 2012), Mac mini (final de 2014), Mac Pro (final de 2013), MacBook Air (11 polegadas, meados de 2011), MacBook Air (13 polegadas, meados de 2011), MacBook Air (11 polegadas, meados de 2012), MacBook Air (13 polegadas, meados de 2012), MacBook Air (11 polegadas, meados de 2013), MacBook Air (13 polegadas, meados de 2013), MacBook Air (11 polegadas, início de 2015), MacBook Air (13 polegadas, início de 2015), MacBook Pro (13 polegadas, meados de 2012), MacBook Pro (15 polegadas, meados de 2012), MacBook Pro (Retina, 13 polegadas, início de 2013), MacBook Pro (Retina, 15 polegadas, início de 2013), MacBook Pro (Retina, 13 polegadas, final de 2013) e MacBook Pro (Retina, 15 polegadas, final de 2013)
Impacto: um invasor em uma posição de rede privilegiada pode interceptar o tráfego de Bluetooth
Descrição: havia um problema de validação de entrada no Bluetooth. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-5383: Lior Neumann e Eli Biham
As atualizações abaixo estão disponíveis para estes modelos de Mac: MacBook (início de 2015 e posterior), MacBook Air (meados de 2012 e posterior), MacBook Pro (meados de 2012 e posterior), Mac mini (final de 2012 e posterior), iMac (final de 2012 e posterior), iMac Pro (todos os modelos), Mac Pro (final de 2013, meados de 2010 e modelos de meados de 2012 com processador gráfico compatível com Metal recomendado, inclusive MSI Gaming Radeon RX 560 e Sapphire Radeon PULSE RX 580)
afpserver
Impacto: um invasor remoto pode atacar servidores AFP por meio de clientes HTTP
Descrição: um problema de validação de entrada foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4295: Jianjun Chen (@whucjj) da Universidade de Tsinghua e da UC Berkeley
Entrada adicionada em 30 de outubro de 2018
App Store
Impacto: um aplicativo malicioso pode descobrir o ID Apple do proprietário do computador
Descrição: havia um problema de permissões no processamento do ID Apple. Esse problema foi solucionado por meio de melhorias nos controles de acesso.
CVE-2018-4324: Sergii Kryvoblotskyi da MacPaw Inc.
AppleGraphicsControl
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2018-4417: Lee do Information Security Lab, Yonsei University em parceria com a Zero Day Initiative da Trend Micro
Entrada adicionada em 30 de outubro de 2018
Firewall do Aplicativo
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: um problema de configuração foi resolvido por meio de restrições adicionais.
CVE-2018-4353: Abhinav Bansal da LinkedIn Inc.
Entrada atualizada em 30 de outubro de 2018
APR
Impacto: havia vários problemas de estouro de buffer no Perl
Descrição: vários problemas no Perl foram resolvidos com melhorias no processamento da memória.
CVE-2017-12613: Craig Young da Tripwire VERT
CVE-2017-12618: Craig Young da Tripwire VERT
Entrada adicionada em 30 de outubro de 2018
ATS
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4411: lilang wu moony Li da Trend Micro em parceria com a Zero Day Initiative da Trend Micro
Entrada adicionada em 30 de outubro de 2018
ATS
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2018-4308: Mohamed Ghannam (@_simo36)
Entrada adicionada em 30 de outubro de 2018
Desbloqueio Automático
Impacto: um aplicativo malicioso pode acessar o ID Apple de usuários locais
Descrição: havia um problema de validação na verificação de direitos. Esse problema foi resolvido por meio de melhorias na validação dos direitos de processo.
CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai da Alibaba Inc.
CFNetwork
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4126: Bruno Keith (@bkth_) em parceria com a Zero Day Initiative da Trend Micro
Entrada adicionada em 30 de outubro de 2018
CoreFoundation
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4412: National Cyber Security Centre (NCSC) do Reino Unido
Entrada adicionada em 30 de outubro de 2018
CoreFoundation
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4414: National Cyber Security Centre (NCSC) do Reino Unido
Entrada adicionada em 30 de outubro de 2018
CoreText
Impacto: processar um arquivo de texto criado com códigos maliciosos pode resultar na execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2018-4347: Vasyl Tkachuk da Readdle
Entrada adicionada em 30 de outubro de 2018 e atualizada em 13 de dezembro de 2018
Crash Reporter
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2018-4333: Brandon Azad
CUPS
Impacto: em determinadas configurações, um invasor remoto pode substituir o conteúdo da mensagem pelo servidor de impressão com conteúdo arbitrário
Descrição: um problema de injeção foi resolvido por meio de melhorias na validação.
CVE-2018-4153: Michael Hanselmann da hansmi.ch
Entrada adicionada em 30 de outubro de 2018
CUPS
Impacto: um invasor em uma posição privilegiada pode fazer um ataque de negação de serviço
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias na validação.
CVE-2018-4406: Michael Hanselmann da hansmi.ch
Entrada adicionada em 30 de outubro de 2018
Dicionário
Impacto: a análise de um arquivo de dicionário criado com códigos maliciosos pode levar à divulgação de informações do usuário
Descrição: havia um problema de validação que permitia acesso a arquivos locais. Esse problema foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2018-4346: Wojciech Reguła (@_r3ggi) da SecuRing
Entrada adicionada em 30 de outubro de 2018
DiskArbitration
Impacto: um aplicativo malicioso poderá modificar o conteúdo da partição EFI do sistema e executar códigos arbitrários com privilégios de kernel se a inicialização segura não estiver ativada
Descrição: havia um problema de permissões no DiskArbitration. Esse problema foi resolvido por meio de verificações de propriedade adicionais.
CVE-2018-4296: Vitaly Cheptsov
Entrada atualizada em 22 de janeiro de 2019
dyld
Impacto: um aplicativo malicioso pode modificar áreas protegidas do sistema de arquivos
Descrição: um problema de configuração foi resolvido por meio de restrições adicionais.
CVE-2018-4433: Vitaly Cheptsov
Entrada atualizada em 22 de janeiro de 2019
fdesetup
Impacto: chaves reservas institucionais podem ser incorretamente informadas como presentes
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.
CVE-2019-8643: Arun Sharma da VMWare
Entrada adicionada em 1º de agosto de 2019
Firmware
Impacto: um invasor com acesso físico a um dispositivo pode elevar privilégios
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-5731: Intel e Eclypsium
CVE-2017-5732: Intel e Eclypsium
CVE-2017-5733: Intel e Eclypsium
CVE-2017-5734: Intel e Eclypsium
CVE-2017-5735: Intel e Eclypsium
Entrada adicionada em 24 de junho de 2019
Grand Central Dispatch
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4426: Brandon Azad
Entrada adicionada em 30 de outubro de 2018
Heimdal
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4331: Brandon Azad
CVE-2018-4332: Brandon Azad
CVE-2018-4343: Brandon Azad
Entrada adicionada em 30 de outubro de 2018
Hypervisor
Impacto: os sistemas com microprocessadores que utilizam a execução especulativa e realizam traduções podem permitir a divulgação não autorizada de informações do cache de dados L1 para um invasor com acesso de usuário local com privilégio de convidado do SO por meio de uma falha na página terminal e uma análise de canal lateral
Descrição: um problema de divulgação de informações foi resolvido pela limpeza do cache de dados L1 na entrada de máquina virtual.
CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse e Thomas F. Wenisch da Universidade de Michigan, Mark Silberstein e Marina Minkin da Technion, Raoul Strackx, Jo Van Bulck e Frank Piessens da KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun e Kekai Hu da Intel Corporation, Yuval Yarom da Universidade de Adelaide
Entrada adicionada em 30 de outubro de 2018
iBooks
Impacto: analisar um arquivo criado com códigos maliciosos do iBooks pode levar à divulgação de informações do usuário
Descrição: um problema de configuração foi resolvido por meio de restrições adicionais.
CVE-2018-4355: evi1m0 da equipe de segurança bilibili
Entrada adicionada em 30 de outubro de 2018
Driver da placa gráfica da Intel
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2018-4396: Yu Wang da Didi Research America
CVE-2018-4418: Yu Wang da Didi Research America
Entrada adicionada em 30 de outubro de 2018
Driver da placa gráfica da Intel
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4351: Appology Team da Theori em parceria com a Zero Day Initiative da Trend Micro
Entrada adicionada em 30 de outubro de 2018
Driver da placa gráfica da Intel
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4350: Yu Wang da Didi Research America
Entrada adicionada em 30 de outubro de 2018
Driver da placa gráfica da Intel
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4334: Ian Beer do Google Project Zero
Entrada adicionada em 30 de outubro de 2018
Driver da placa gráfica da Intel
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4451: Tyler Bohan da Cisco Talos
CVE-2018-4456: Tyler Bohan da Cisco Talos
Entrada adicionada em 21 de dezembro de 2018 e atualizada em 22 de janeiro de 2019
IOHIDFamily
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4408: Ian Beer do Google Project Zero
Entrada adicionada em 30 de outubro de 2018 e atualizada em 1º de agosto de 2019
IOKit
Impacto: um aplicativo malicioso pode sair de sua área restrita
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4341: Ian Beer do Google Project Zero
CVE-2018-4354: Ian Beer do Google Project Zero
Entrada adicionada em 30 de outubro de 2018
IOKit
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4383: Apple
Entrada adicionada em 30 de outubro de 2018
IOUserEthernet
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4401: Apple
Entrada adicionada em 30 de outubro de 2018
Kernel
Impacto: um aplicativo malicioso pode causar vazamento de informações confidenciais do usuário
Descrição: havia um problema de acesso com chamadas de API privilegiadas. Esse problema foi resolvido por meio de restrições adicionais.
CVE-2018-4399: Fabiano Anemone (@anoane)
Entrada adicionada em 30 de outubro de 2018
Kernel
Impacto: um invasor com uma posição de rede privilegiada pode executar códigos arbitrários
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.
CVE-2018-4407: Kevin Backhouse da Semmle Ltd.
Entrada adicionada em 30 de outubro de 2018
Kernel
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4336: Brandon Azad
CVE-2018-4337: Ian Beer do Google Project Zero
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4344: National Cyber Security Centre (NCSC) do Reino Unido
CVE-2018-4425: cc em parceria com a Zero Day Initiative da Trend Micro, Juwei Lin (@panicaII) da Trend Micro em parceria com a Zero Day Initiative da Trend Micro
Entrada atualizada em 30 de outubro de 2018
LibreSSL
Impacto: vários problemas no libressl foram resolvidos nesta atualização
Descrição: vários problemas foram resolvidos ao atualizar para o libressl, versão 2.6.4.
CVE-2015-3194
CVE-2015-5333
CVE-2015-5334
CVE-2016-0702
Entrada adicionada em 30 de outubro de 2018 e atualizada em 13 de dezembro de 2018
Janela de Início de Sessão
Impacto: um usuário local pode causar uma negação de serviço
Descrição: um problema de validação foi resolvido por meio de melhorias na lógica.
CVE-2018-4348: Ken Gannon da MWR InfoSecurity e Christian Demko da MWR InfoSecurity
Entrada adicionada em 30 de outubro de 2018
mDNSOffloadUserClient
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4326: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro, Zhuo Liang da equipe Qihoo 360 Nirvan
Entrada adicionada em 30 de outubro de 2018
MediaRemote
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: um problema de acesso foi resolvido por meio de restrições adicionais.
CVE-2018-4310: CodeColorist do Ant-Financial LightYear Labs
Entrada adicionada em 30 de outubro de 2018
Microcódigo
Impacto: os sistemas com microprocessadores que utilizam execução especulativa e execução especulativa de leituras de memória antes dos endereços de todas as gravações de memória anteriores serem conhecidos podem permitir a divulgação não autorizada de informações para um invasor com acesso de usuário local por meio de uma análise de canal lateral
Descrição: um problema de divulgação de informações foi resolvido por meio da atualização de um microcódigo. Isso garante que os dados mais antigos lidos de endereços gravados recentemente não possam ser lidos por meio de um canal lateral especulativo.
CVE-2018-3639: Jann Horn (@tehjh) do Google Project Zero (GPZ), Ken Johnson do Microsoft Security Response Center (MSRC)
Entrada adicionada em 30 de outubro de 2018
Segurança
Impacto: um usuário local pode causar uma negação de serviço
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2018-4395: Patrick Wardle da Digita Security
Entrada adicionada em 30 de outubro de 2018
Segurança
Impacto: um invasor pode explorar as vulnerabilidades do algoritmo criptográfico RC4
Descrição: esse problema foi resolvido com a exclusão de RC4.
CVE-2016-1777: Pepi Zawodsky
Spotlight
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4393: Lufeng Li
Entrada adicionada em 30 de outubro de 2018
Estrutura de sintomas
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2018-4203: Bruno Keith (@bkth_) em parceria com a Zero Day Initiative da Trend Micro
Entrada adicionada em 30 de outubro de 2018
Texto
Impacto: processar um arquivo de texto criado com códigos maliciosos pode resultar em uma negação de serviço
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias na validação.
CVE-2018-4304: jianan.huang (@Sevck)
Entrada adicionada em 30 de outubro de 2018
Wi-Fi
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2018-4338: Lee da SECLAB, Yonsei University, em parceria com a Zero Day Initiative da Trend Micro
Entrada adicionada em 23 de outubro de 2018
Outros reconhecimentos
Estrutura de acessibilidade
Gostaríamos de agradecer a Ryan Govostes pela ajuda.
Core Data
Gostaríamos de agradecer a Andreas Kurtz (@aykay) da NESO Security Labs GmbH pela ajuda.
CoreDAV
Gostaríamos de agradecer a Matthew Thomas da Verisign pela ajuda.
Entrada adicionada em 13 de dezembro de 2018 e atualizada em 21 de dezembro de 2018
CoreGraphics
Gostaríamos de agradecer a Nitin Arya da Roblox Corporation pela ajuda.
CoreSymbolication
Gostaríamos de agradecer a Brandon Azad pela ajuda.
Entrada adicionada em 13 de dezembro de 2018
CUPS
Gostaríamos de agradecer a Michael Hanselmann da hansmi.ch pela ajuda.
Entrada adicionada em 1º de agosto de 2019
IOUSBHostFamily
Gostaríamos de agradecer a Dragos Ruiu da CanSecWest pela ajuda.
Entrada adicionada em 13 de dezembro de 2018
Kernel
Gostaríamos de agradecer a Brandon Azad pela ajuda.
Entrada adicionada em 13 de dezembro de 2018
Gostaríamos de agradecer a Alessandro Avagliano da Rocket Internet SE, John Whitehead do The New York Times, Kelvin Delbarre da Omicron Software Systems e Zbyszek Żółkiewski pela ajuda.
Visualização Rápida
Gostaríamos de agradecer a lokihardt do Google Project Zero, Wojciech Reguła (@_r3ggi) da SecuRing e Patrick Wardle da Digita Security pela ajuda.
Entrada adicionada em 13 de dezembro de 2018
Segurança
Gostaríamos de agradecer a Christoph Sinai, Daniel Dudek (@dannysapples) do The Irish Times e Filip Klubička (@lemoncloak) da ADAPT Centre, Dublin Institute of Technology, Horatiu Graur da SoftVision, Istvan Csanady da Shapr3D, Omar Barkawi da ITG Software, Inc., Phil Caleno, Wilson Ding e um pesquisador anônimo pela ajuda.
Entrada atualizada em 24 de junho de 2019
SQLite
Gostaríamos de agradecer a Andreas Kurtz (@aykay) da NESO Security Labs GmbH pela ajuda.
Terminal
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
Entrada adicionada em 13 de dezembro de 2018
Time Machine
Gostaríamos de agradecer a Matthew Thomas da Verisign pela ajuda.
Entrada atualizada em 22 de janeiro de 2019
WindowServer
Gostaríamos de agradecer a Patrick Wardle da Digita Security pela ajuda.
Entrada adicionada em 13 de dezembro de 2018