Despre conținutul de securitate din macOS High Sierra 10.13.5, Actualizarea de securitate 2018-003 Sierra și Actualizarea de securitate 2018-003 El Capitan

În acest document este descris conținutul de securitate din macOS High Sierra 10.13.5, Actualizarea de securitate 2018-003 Sierra și Actualizarea de securitate 2018-003 El Capitan.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

macOS High Sierra 10.13.5, Actualizarea de securitate 2018-003 Sierra și Actualizarea de securitate 2018-003 El Capitan

Cadru de accesibilitate

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem

Descriere: a existat o problemă de divulgare de informații în Cadru de accesibilitate. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

CVE-2018-4196: Alex Plaskett, Georgi Geshev și Fabian Beterke (MWR Labs) în colaborare cu Zero Day Initiative (Trend Micro) și WanderingGlitch (Zero Day Initiative (Trend Micro))

AMD

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: un utilizator local poate citi memoria kernel

Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-4253: shrek_wzw (Qihoo 360 Nirvan Team)

AMD

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: un utilizator local poate citi memoria kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2018-4256: shrek_wzw (Qihoo 360 Nirvan Team)

AMD

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: un utilizator local poate citi memoria kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2018-4255: shrek_wzw (Qihoo 360 Nirvan Team)

AMD

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: în kernel a existat o problemă de validare a intrărilor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-4254: un cercetător anonim

AMD

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: în kernel a existat o problemă de validare a intrărilor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-4254: shrek_wzw (Qihoo 360 Nirvan Team)

AppleGraphicsControl

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2018-4258: shrek_wzw (Qihoo 360 Nirvan Team)

AppleGraphicsPowerManagement

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2018-4257: shrek_wzw (Qihoo 360 Nirvan Team)

apache_mod_php

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: mai multe probleme din php au fost rezolvate în această actualizare

Descriere: această problemă a fost rezolvată prin actualizarea la php versiunea 7.1.16.

CVE-2018-7584: Wei Lei și Liu Yang (Nanyang Technological University)

ATS

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

CVE-2018-4219: Mohamed Ghannam (@_simo36)

Bluetooth

Disponibilitate pentru: MacBook Pro (Retina, 15 inch, mijlocul anului 2015), MacBook Pro (Retina, 15 inch, 2015), MacBook Pro (Retina, 13 inch, începutul anului 2015), MacBook Pro (15 inch, 2017), MacBook Pro (15 inch, 2016), MacBook Pro (13 inch, finele anului 2016, două porturi Thunderbolt 3), MacBook Pro (13 inch, finele anului 2016, patru porturi Thunderbolt 3), MacBook Pro (13 inch, 2017, patru porturi Thunderbolt 3), MacBook (Retina, 12 inch, începutul anului 2016), MacBook (Retina, 12 inch, începutul anului 2015), MacBook (Retina, 12 inch, 2017), iMac Pro, iMac (Retina 5K, 27 inch, finele anului 2015), iMac (Retina 5K, 27 inch, 2017), iMac (Retina 4K, 21,5 inch, finele anului 2015), iMac (Retina 4K, 21,5 inch, 2017), iMac (21,5 inch, finele anului 2015) și iMac (21,5 inch, 2017)

Impact: un atacator cu poziție privilegiată în rețea ar putea intercepta traficul Bluetooth

Descriere: în Bluetooth a existat o problemă de validare a intrărilor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-5383: Lior Neumann și Eli Biham

Bluetooth

Disponibilitate pentru: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel.

Descriere: a existat o problemă de divulgare de informații în proprietățile dispozitivului. Această problemă a fost rezolvată prin îmbunătățirea gestionării obiectelor.

CVE-2018-4171: shrek_wzw (Qihoo 360 Nirvan Team)

CoreGraphics

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2018-4194: Jihui Lu (Tencent KeenLab), Yu Zhou (Ant-financial Light-Year Security Lab)

CUPS

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: un proces local poate modifica alte procese fără verificări ale drepturilor

Descriere: a existat o problemă în CUPS. Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de accesare.

CVE-2018-4180: Dan Bastone (Gotham Digital Science)

CUPS

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: un utilizator local ar putea să citească fișiere arbitrare ca rădăcină

Descriere: a existat o problemă în CUPS. Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de accesare.

CVE-2018-4181: Eric Rafaloff și John Dunlap (Gotham Digital Science)

CUPS

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox în CUPS.

CVE-2018-4182: Dan Bastone (Gotham Digital Science)

CUPS

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2018-4183: Dan Bastone și Eric Rafaloff (Gotham Digital Science)

EFI

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: un atacator cu acces fizic la un dispozitiv ar putea să realizeze elevarea privilegiilor

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2018-4478: un cercetător anonim, un cercetător anonim, Ben Erickson (Trusted Computer Consulting, LLC)

Firmware

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație rău intenționată cu privilegii de rădăcină ar putea să modifice regiunea EFI a memoriei flash

Descriere: o problemă legată de configurația dispozitivului a fost rezolvată cu o configurație actualizată.

CVE-2018-4251: Maxim Goryachy și Mark Ermolov

FontParser

Disponibilitate pentru: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.

CVE-2018-4211: Proteas (Qihoo 360 Nirvan Team)

Grand Central Dispatch

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: a existat o problemă la analizarea plisturilor de autorizare. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-4229: Jakob Rieck (@0xdead10cc) (Security in Distributed Systems Group, University of Hamburg)

Drivere video

Disponibilitate pentru: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2018-4159: Axis și pjf (IceSword Lab din Qihoo 360)

Hypervisor

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o vulnerabilitate de deteriorare a memoriei prin îmbunătățirea blocării.

CVE-2018-4242: Zhuo Liang (Qihoo 360 Nirvan Team)

iBooks

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: un atacator cu o poziție privilegiată în rețea ar putea falsifica mesajele de solicitare a parolei în iBooks

Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-4202: Jerry Decime

Servicii de identitate

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație rău intenționată poate accesa ID-urile Apple ale utilizatorilor locali

Descriere: o problemă de confidențialitate în tratarea registrelor Open Directory prin îmbunătățirea indexării.

CVE-2018-4217: Jacob Greenfield (Commonwealth School)

Driver video Intel

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2018-4141: un cercetător anonim, Zhao Qixun (@S0rryMybad) (Qihoo 360 Vulcan Team)

IOFireWireAVC

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2018-4228: Benjamin Gnahm (@mitp0sh) (Mentor Graphics)

IOGraphics

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4236: Zhao Qixun(@S0rryMybad) (Qihoo 360 Vulcan Team)

IOHIDFamily

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4234: Proteas (Qihoo 360 Nirvan Team)

Kernel

Disponibilitate pentru: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4249: Kevin Backhouse (Semmle Ltd.)

Kernel

Disponibilitate pentru: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel

Descriere: în unele circumstanțe, unele sisteme de operare ar putea să nu aștepte sau să nu gestioneze corespunzător o excepție de depanare a arhitecturii Intel după anumite instrucțiuni. Problema pare a fi cauzată de un efect secundar nedocumentat al instrucțiunilor. Un atacator ar putea utiliza această gestionare a excepției pentru a dobândi acces la Ring 0 și a accesa memorie sensibilă sau pentru a controla procesele sistemului de operare.

CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox) (Everdox Tech LLC)

Kernel

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2018-4241: Ian Beer (Google Project Zero)

CVE-2018-4243: Ian Beer (Google Project Zero)

libxpc

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2018-4237: Samuel Groß (@5aelo) în colaborare cu Zero Day Initiative (Trend Micro)

libxpc

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4404: Samuel Groß (@5aelo) în colaborare cu Zero Day Initiative (Trend Micro)

Mail

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: un atacator ar putea exfiltra conținutul unui e-mail criptat cu S/MIME

Descriere: a existat o problemă la tratarea mesajelor Mail criptate. Această problemă a fost rezolvată prin îmbunătățirea izolării MIME în Mail.

CVE-2018-4227: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum), Jörg Schwenk (Ruhr University Bochum)

Mesaje

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: un utilizator local poate efectua atacuri cu uzurparea identității

Descriere: a fost rezolvată o problemă de injectare prin îmbunătățirea validării intrării.

CVE-2018-4235: Anurodh Pokharel (Salesforce.com)

Mesaje

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: această problemă a fost rezolvată prin îmbunătățirea validării mesajelor.

CVE-2018-4240: Sriram (@Sri_Hxor) (PrimeFort Pvt.) Ltd

Drivere video NVIDIA

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2018-4230: Ian Beer (Google Project Zero)

Securitate

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: utilizatorii pot fi urmăriți de site-uri web rău intenționate utilizând certificate de client

Descriere: a existat o problemă la tratarea certificatelor S-MIME. Această problemă a fost rezolvată prin îmbunătățirea validării certificatelor S-MIME.

CVE-2018-4221: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum), Jörg Schwenk (Ruhr University Bochum)

Securitate

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: un utilizator local poate citi un identificator de cont persistent

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

Securitate

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: un utilizator local poate citi un identificator de dispozitiv persistent

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Securitate

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: un utilizator local poate modifica starea caracteristicii Portchei

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2018-4225: Abraham Masri (@cheesecakeufo)

Securitate

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: se poate ca un utilizator local să vizualizeze informații sensibile despre utilizator

Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2018-4226: Abraham Masri (@cheesecakeufo)

Vorbire

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: a existat o problemă legată de sandbox la gestionarea accesului la microfon. Această problemă a fost rezolvată printr-o gestionare îmbunătățită a accesului la microfon.

CVE-2018-4184: Jakob Rieck (@0xdead10cc) (Security in Distributed Systems Group, University of Hamburg)

UIKit

Disponibilitate pentru: macOS High Sierra 10.13.4

Impact: procesarea unui fișier de text creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: a existat o problemă de validare la tratarea textului. Această problemă a fost rezolvată prin îmbunătățirea validării textului.

CVE-2018-4198: Hunter Byrnes

Server Windows

Disponibilitate pentru: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4193: Markus Gaasedelen, Amy Burnett și Patrick Biernat (Ret2 Systems, Inc) în colaborare cu Zero Day Initiative (Trend Micro), Richard Zhu (fluorescence) în colaborrare cu Zero Day Initiative (Trend Micro)