Sobre o conteúdo de segurança do macOS Mojave 10.14.2, Atualização de Segurança 2018-003 High Sierra e Atualização de Segurança 2018-006 Sierra

Este documento descreve o conteúdo de segurança do macOS Mojave 10.14.2, a Atualização de Segurança 2018-003 High Sierra e a Atualização de Segurança 2018-006 Sierra.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

macOS Mojave 10.14.2, Atualização de Segurança 2018-003 High Sierra e Atualização de Segurança 2018-006 Sierra

Lançado em 5 de dezembro de 2018

AirPort

Disponível para: macOS Mojave 10.14.1

Impacto: um aplicativo malicioso pode elevar privilégios

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4303: Mohamed Ghannam (@_simo36)

Entrada atualizada em 21 de dezembro de 2018

AMD

Disponível para: macOS Sierra 10.12.6, macOS Mojave 10.14.1 e macOS High Sierra 10.13.6

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2018-4462: cocoahuke, Lilang Wu e Moony Li da TrendMicro Mobile Security Research Team em parceria com a Zero Day Initiative da Trend Micro

Entrada atualizada em 21 de dezembro de 2018

Carbon Core

Disponível para: macOS Mojave 10.14.1

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)

Imagens de disco

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.1

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4465: Pangu Team

Hypervisor

Disponível para: macOS Mojave 10.14.1

Impacto: um aplicativo malicioso pode elevar privilégios

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise e Fred Jacobs do Virtual Machine Monitor Group da VMware, Inc.

Entrada adicionada em 22 de janeiro de 2019

Driver da placa gráfica da Intel

Disponível para: macOS Mojave 10.14.1

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema

Descrição: um problema de consumo de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4452: Liu Long da Qihoo 360 Vulcan Team

Entrada adicionada em 22 de janeiro de 2019

Driver da placa gráfica da Intel

Disponível para: macOS Mojave 10.14.1

Impacto: um usuário local pode causar o encerramento inesperado do sistema ou ler a memória do kernel

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2018-4434: Zhuo Liang da Qihoo 360 Nirvan Team

Driver da placa gráfica da Intel

Disponível para: macOS Sierra 10.12.6

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4456: Tyler Bohan da Cisco Talos

Entrada adicionada em 21 de dezembro de 2018 e atualizada em 22 de janeiro de 2019

Driver da placa gráfica da Intel

Disponível para: macOS Sierra 10.12.6 e macOS High Sierra 10.13.6

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4421: Tyler Bohan da Cisco Talos

Entrada adicionada em 21 de dezembro de 2018

IOHIDFamily

Disponível para: macOS Sierra 10.12.6 e macOS High Sierra 10.13.6

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4427: Pangu Team

Kernel

Disponível para: macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Impacto: um usuário local pode ler a memória do kernel

Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4431: um pesquisador de segurança independente informou esta vulnerabilidade ao programa SecuriTeam Secure Disclosure da Beyond Security

CVE-2018-4448: Brandon Azad

Entrada adicionada em 24 de junho de 2019

Kernel

Disponível para: macOS Mojave 10.14.1

Impacto: um invasor em uma posição privilegiada pode fazer um ataque de negação de serviço

Descrição: um problema de recusa de serviço foi resolvido por meio da remoção do código vulnerável.

CVE-2018-4460: Kevin Backhouse da Semmle Security Research Team

Kernel

Disponível para: macOS High Sierra 10.13.6 e macOS Mojave 10.14.1

Impacto: um usuário local pode ler a memória do kernel

Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4431: um pesquisador de segurança independente informou esta vulnerabilidade ao programa SecuriTeam Secure Disclosure da Beyond Security

Kernel

Disponível para: macOS Sierra 10.12.6, macOS Mojave 10.14.1 e macOS High Sierra 10.13.6

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2018-4447: Juwei Lin (@panicaII) e Zhengyu Dong da TrendMicro Mobile Security Team em parceria com a Zero Day Initiative da Trend Micro

Entrada atualizada em 18 de dezembro de 2018

Kernel

Disponível para: macOS Sierra 10.12.6, macOS Mojave 10.14.1 e macOS High Sierra 10.13.6

Impacto: um aplicativo malicioso pode elevar privilégios

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2018-4435: Jann Horn do Google Project Zero, Juwei Lin (@panicaII) e Junzhi Lu da TrendMicro Mobile Security Team em parceria com a Zero Day Initiative da Trend Micro

Entrada atualizada em 18 de dezembro de 2018

Kernel

Disponível para: macOS Mojave 10.14.1

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2018-4461: Ian Beer do Google Project Zero

WindowServer

Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.1

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4449: Hanqing Zhao, Yufeng Ruan e Kun Yang do Chaitin Security Research Lab

CVE-2018-4450: Hanqing Zhao, Yufeng Ruan e Kun Yang do Chaitin Security Research Lab

Outros reconhecimentos

LibreSSL

Gostaríamos de agradecer a Keegan Ryan do NCC Group pela ajuda.

NetAuth

Gostaríamos de agradecer a Vladimir Ivanov da Digital Security pela ajuda.

Protocolo de inscrição de certificado simples (SCEP)

Gostaríamos de agradecer a Tim Cappalli da Aruba e à empresa Hewlett Packard Enterprise pela ajuda.

Time Machine

Gostaríamos de agradecer a Matthew Thomas da Verisign pela ajuda.

Entrada adicionada em 22 de janeiro de 2019

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: