Despre conținutul de securitate din macOS Mojave 10.14

Acest document descrie conținutul de securitate din macOS Mojave 10.14

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

macOS Mojave 10.14

Publicare: 24 septembrie 2018

Bluetooth

Disponibilitate pentru: iMac (21,5 inchi, la sfârșitul anului 2012), iMac (27 inchi, la sfârșitul anului 2012), iMac (21,5 inchi, la sfârșitul anului 2013), iMac (21,5-inch, Mid 2014), iMac (Retina 5K, 27 inchi, la sfârșitul anului 2014), iMac (21,5 inchi, la sfârșitul anului 2015), Mac mini (la mijlocul anului 2011), Mac mini Server (la mijlocul anului 2011), Mac mini (la sfârșitul anului 2012), Mac mini Server (la sfârșitul anului 2012), Mac mini (la sfârșitul anului 2014), Mac Pro (la sfârșitul anului 2013), MacBook Air (11 inchi, la mijlocul anului 2011), MacBook Air (13 inchi, la mijlocul anului 2011), MacBook Air (11 inchi, la mijlocul anului 2012), MacBook Air (13 inchi, la mijlocul anului 2012), MacBook Air (11 inchi, la mijlocul anului 2013), MacBook Air (13 inchi, la mijlocul anului 2013), MacBook Air (11 inchi, la începutul anului 2015), MacBook Air (13 inchi, la începutul anului 2015), MacBook Pro (13 inchi, la mijlocul anului 2012), MacBook Pro (15 inchi, la mijlocul anului 2012), MacBook Pro (Retina, 13 inchi, la începutul anului 2013), MacBook Pro (Retina, 15 inchi, la începutul anului 2013), MacBook Pro (Retina, 13 inchi, la sfârșitul anului 2013) și MacBook Pro (Retina, 15 inchi, la sfârșitul anului 2013)

Impact: un atacator cu poziție privilegiată în rețea ar putea intercepta traficul Bluetooth

Descriere: în Bluetooth a existat o problemă de validare a intrărilor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-5383: Lior Neumann și Eli Biham

 

Actualizările de mai jos sunt disponibile pentru aceste modele de computere Mac: MacBook (modelul de la începutul lui 2015 și cele ulterioare), MacBook Air (modelul de la mijlocul lui 2012 și cele ulterioare), MacBook Pro (modelul de la mijlocul lui 2012 și cele ulterioare), Mac mini (modelul de la sfârșitul lui 2012 și cele ulterioare), iMac (modelul de la sfârșitul lui 2012 și cele ulterioare), iMac Pro (toate modelele), Mac Pro (modelele de la sfârșitul lui 2013, mijlocul lui 2010 și mijlocul lui 2012 cu procesor grafic compatibil cu API-ul Metal, inclusiv MSI Gaming Radeon RX 560 și Sapphire Radeon PULSE RX 580)

afpserver

Impact: este posibil ca un atacator de la distanță să poată ataca serverele AFP prin intermediul clienților HTTP

Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-4295: Jianjun Chen (@whucjj) (Universitatea Tsinghua și UC Berkeley)

Intrare adăugată la data de 30 octombrie 2018

App Store

Impact: este posibil ca o aplicație rea intenționată să poată determina ID-ul Apple al proprietarului computerului

Descriere: a existat o problemă de permisiune la tratarea ID-ului Apple. Această problemă a fost rezolvată prin îmbunătățirea controalelor accesului.

CVE-2018-4324: Sergii Kryvoblotskyi (MacPaw Inc.)

AppleGraphicsControl

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2018-4417: Lee de la Laboratorul pentru Securitatea Informațională (Universitatea Yonsei) în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată la data de 30 octombrie 2018

Application Firewall

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.

CVE-2018-4353: Abhinav Bansal (LinkedIn Inc.)

Intrare actualizată la data de 30 octombrie 2018

APR

Impact: au existat mai multe probleme de depășire a memoriei-tampon în Perl

Descriere: mai multe probleme în Perl au fost rezolvate prin îmbunătățirea tratării memoriei.

CVE-2017-12613: Craig Young (Tripwire VERT)

CVE-2017-12618: Craig Young (Tripwire VERT)

Intrare adăugată la data de 30 octombrie 2018

ATS

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-4411: lilang wu moony Li (Trend Micro) în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată la data de 30 octombrie 2018

ATS

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Intrare adăugată la data de 30 octombrie 2018

Auto-deblocare

Impact: o aplicație rău intenționată poate accesa ID-urile Apple ale utilizatorilor locali

Descriere: a existat o problemă de validare în verificarea drepturilor. Această problemă a fost rezolvată prin îmbunătățirea validării drepturilor de proces.

CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai (Alibaba Inc.)

CFNetwork

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4126: Bruno Keith (@bkth_) în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată la data de 30 octombrie 2018

CoreFoundation

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-4412: National Cyber Security Centre (NCSC) (Regatul Unit)

Intrare adăugată la data de 30 octombrie 2018

CoreFoundation

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-4414: National Cyber Security Centre (NCSC) (Regatul Unit)

Intrare adăugată la data de 30 octombrie 2018

CoreText

Impact: procesarea unui fișier text creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2018-4347: Vasyl Tkachuk (Readdle)

Intrare adăugată la 30 octombrie 2018 și actualizată pe 13 decembrie 2018

Crash Reporter

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2018-4333: Brandon Azad

CUPS

Impact: în cadrul anumitor configurații, este posibil ca un atacator de la distanță să înlocuiască conținutul mesajelor de pe serverul de imprimare cu un conținut arbitrar

Descriere: o problemă de injectare a fost rezolvată prin îmbunătățirea validării.

CVE-2018-4153: Michael Hanselmann (hansmi.ch)

Intrare adăugată la data de 30 octombrie 2018

CUPS

Impact: un atacator în poziție privilegiată ar putea iniția un atac de refuzare a serviciului

Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării.

CVE-2018-4406: Michael Hanselmann (hansmi.ch)

Intrare adăugată la data de 30 octombrie 2018

Dicționar

Impact: analizarea unui fișier Dicționar creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator

Descriere: a existat o problemă de validare care a permis accesul la fișierul local. Această problemă a fost rezolvată prin igienizarea intrării.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) (SecuRing)

Intrare adăugată la data de 30 octombrie 2018

DiskArbitration

Impact: este posibil ca o aplicație rea intenționată să poată schimba conținutul de pe partiția sistemului EFI și să execute un cod arbitrar cu privilegiile kernel dacă pornirea în siguranță a sistemului nu este activată

Descriere: a existat o problemă legată de permisiuni în DiskArbitration. Această problemă a fost rezolvată cu verificări suplimentare ale dreptului de proprietate.

CVE-2018-4296: Vitaly Cheptsov

Intrare actualizată la data de 22 ianuarie 2019

dyld

Impact: este posibil ca o aplicație rea intenționată să poată modifica părțile protejate ale sistemului de fișiere

Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.

CVE-2018-4433: Vitaly Cheptsov

Intrare actualizată la data de 22 ianuarie 2019

fdesetup

Impact: cheile de recuperare instituționale pot fi raportate incorect ca fiind prezente

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2019-8643: Arun Sharma (VMWare)

Intrare adăugată la data de 1 august 2019

Firmware

Impact: un atacator cu acces fizic la un dispozitiv ar putea să realizeze elevarea privilegiilor

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-5731: Intel și Eclypsium

CVE-2017-5732: Intel și Eclypsium

CVE-2017-5733: Intel și Eclypsium

CVE-2017-5734: Intel și Eclypsium

CVE-2017-5735: Intel și Eclypsium

Intrare adăugată la data de 24 iunie 2019

Grand Central Dispatch

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4426: Brandon Azad

Intrare adăugată la data de 30 octombrie 2018

Heimdal

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Intrare adăugată la data de 30 octombrie 2018

Hypervisor

Impact: sistemele cu microprocesoare care utilizează executarea speculativă și traducerile de adresă pot permite divulgarea neautorizată a informațiilor din memoria cache de date L1 unui atacator cu acces de utilizator local cu privilegii OS de invitat prin intermediul unei erori de pagină terminală și o analiză prin canal lateral

Descriere: o problemă de divulgare a informațiilor s-a rezolvat prin descărcarea stocului de memorie cache de date L1 la intrarea mașinii virtuale.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse și Thomas F. Wenisch (Universitatea din Michigan), Mark Silberstein și Marina Minkin (Technion), Raoul Strackx, Jo Van Bulck și Frank Piessens (KU Leuven), Rodrigo Branco, Henrique Kawakami, Ke Sun și Kekai Hu (Intel Corporation), Yuval Yarom (Universitatea din Adelaide)

Intrare adăugată la data de 30 octombrie 2018

iBooks

Impact: analizarea unui fișier iBooks creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator

Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.

CVE-2018-4355: evi1m0 (bilibili security team)

Intrare adăugată la data de 30 octombrie 2018

Driver video Intel

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2018-4396: Yu Wang (Didi Research America)

CVE-2018-4418: Yu Wang (Didi Research America)

Intrare adăugată la data de 30 octombrie 2018

Driver video Intel

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4351: echipa Appology @ Theori în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată la data de 30 octombrie 2018

Driver video Intel

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-4350: Yu Wang (Didi Research America)

Intrare adăugată la data de 30 octombrie 2018

Driver video Intel

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4334: Ian Beer (Google Project Zero)

Intrare adăugată la data de 30 octombrie 2018

Driver video Intel

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-4451: Tyler Bohan (Cisco Talos)

CVE-2018-4456: Tyler Bohan (Cisco Talos)

Intrare adăugată la 21 decembrie 2018 și actualizată pe 22 ianuarie 2019

IOHIDFamily

Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel

Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea validării intrării.

CVE-2018-4408: Ian Beer (Google Project Zero)

Intrare adăugată la 30 octombrie 2018 și actualizată pe joi, 1 august 2019

IOKit

Impact: o aplicație rău intenționată poate evada din sandbox

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4341: Ian Beer (Google Project Zero)

CVE-2018-4354: Ian Beer (Google Project Zero)

Intrare adăugată la data de 30 octombrie 2018

IOKit

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2018-4383: Apple

Intrare adăugată la data de 30 octombrie 2018

IOUserEthernet

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4401: Apple

Intrare adăugată la data de 30 octombrie 2018

Kernel

Impact: o aplicație rău intenționată poate scurge informații sensibile ale utilizatorilor

Descriere: a existat o problemă de acces la apelurile API privilegiate. Această problemă a fost rezolvată prin restricții suplimentare.

CVE-2018-4399: Fabiano Anemone (@anoane)

Intrare adăugată la data de 30 octombrie 2018

Kernel

Impact: un atacator cu poziție privilegiată în rețea poate executa un cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.

CVE-2018-4407: Kevin Backhouse (Semmle Ltd.)

Intrare adăugată la data de 30 octombrie 2018

Kernel

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer (Google Project Zero)

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: National Cyber Security Centre (NCSC) (Regatul Unit)

CVE-2018-4425: cc în colaborare cu Zero Day Initiative (Trend Micro), Juwei Lin (@panicaII) (Trend Micro) în colaborare cu Zero Day Initiative (Trend Micro)

Intrare actualizată la data de 30 octombrie 2018

LibreSSL

Impact: mai multe probleme în libressl au fost rezolvate în această actualizare

Descriere: mai multe probleme au fost rezolvate prin actualizarea libressl la versiunea 2.6.4.

CVE-2015-3194

CVE-2015-5333

CVE-2015-5334

CVE-2016-0702

Intrare adăugată la 30 octombrie 2018 și actualizată pe 13 decembrie 2018

Fereastră de login

Impact: un utilizator local poate provoca un refuz al serviciului

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2018-4348: Ken Gannon (MWR InfoSecurity) și Christian Demko (MWR InfoSecurity)

Intrare adăugată la data de 30 octombrie 2018

mDNSOffloadUserClient

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4326: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro), Zhuo Liang (echipa Qihoo 360 Nirvan)

Intrare adăugată la data de 30 octombrie 2018

MediaRemote

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2018-4310: CodeColorist (Ant-Financial LightYear Labs)

Intrare adăugată la data de 30 octombrie 2018

Microcode

Impact: sistemele cu microprocesoare care utilizează executarea speculativă și executarea speculativă a citirii de memorie înainte ca adresele tuturor scrierilor anterioare de memorie să fie cunoscute pot permite divulgarea neautorizată a informațiilor unui atacator cu acces de utilizator local prin intermediul unei analize de canal lateral

Descriere: o problemă de divulgare a informațiilor s-a rezolvat printr-o actualizare de microcod. Acest lucru asigură faptul că citirea datelor mai vechi din adresele la s-a scris recent nu poate fi efectuată prin intermediul unui canal lateral speculativ.

CVE-2018-3639: Jann Horn (@tehjh) (Google Project Zero (GPZ)), Ken Johnson (Microsoft Security Response Center (MSRC))

Intrare adăugată la data de 30 octombrie 2018

Securitate

Impact: un utilizator local poate provoca un refuz al serviciului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2018-4395: Patrick Wardle (Digita Security)

Intrare adăugată la data de 30 octombrie 2018

Securitate

Impact: un atacator poate exploata slăbiciuni din algoritmul criptografic RC4

Descriere: această problemă a fost rezolvată prin eliminarea algoritmului RC4.

CVE-2016-1777: Pepi Zawodsky

Spotlight

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4393: Lufeng Li

Intrare adăugată la data de 30 octombrie 2018

Symptom Framework

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2018-4203: Bruno Keith (@bkth_) în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată la data de 30 octombrie 2018

Text

Impact: procesarea unui fișier de text creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării.

CVE-2018-4304: jianan.huang (@Sevck)

Intrare adăugată la data de 30 octombrie 2018

Wi-Fi

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2018-4338: Lee @SECLAB, Yonsei University în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată la data de 23 octombrie 2018

Alte mențiuni

Cadru de accesibilitate

Dorim să-i mulțumim lui Ryan Govostes pentru asistența acordată.

Date de bază

Dorim să îi mulțumim lui Andreas Kurtz (@aykay) de la NESO Security Labs GmbH pentru asistența acordată.

CoreDAV

Dorim să îi mulțumim lui Matthew Thomas de la Verisign pentru asistența acordată.

Intrare adăugată la 13 decembrie 2018 și actualizată pe 21 decembrie 2018

CoreGraphics

Dorim să îi mulțumim lui Nitin Arya de la Roblox Corporation pentru asistența acordată.

CoreSymbolication

Dorim să îi mulțumim lui Brandon Azad pentru asistența acordată.

Intrare adăugată la data de 13 decembrie 2018

CUPS

Dorim să îi mulțumim lui Michael Hanselmann de la hansmi.ch pentru asistență.

Intrare adăugată la data de 1 august 2019

IOUSBHostFamily

Dorim să îi mulțumim lui Dragos Ruiu de la CanSecWest pentru asistența acordată.

Intrare adăugată la data de 13 decembrie 2018

Kernel

Dorim să îi mulțumim lui Brandon Azad pentru asistența acordată.

Intrare adăugată la data de 13 decembrie 2018

Mail

Dorim să îi mulțumim lui Alessandro Avagliano (Rocket Internet SE, John Whitehead (The New York Times), Kelvin Delbarre (Omicron Software Systems) și Zbyszek Żółkiewski pentru asistența acordată.

Quick Look

Dorim să îi mulțumim lui lokihardt (Google Project Zero), Wojciech Reguła (@_r3ggi) (SecuRing) și Patrick Wardle (Digita Security) pentru asistența acordată.

Intrare adăugată la data de 13 decembrie 2018

Securitate

Dorim să îi mulțumim lui Christoph Sinai, Daniel Dudek (@dannysapples) de la The Irish Times și Filip Klubička (@lemoncloak) de la ADAPT Centre, Dublin Institute of Technology, Horatiu Graur de la SoftVision, Istvan Csanady de la Shapr3D, Omar Barkawi de la ITG Software, Inc., Phil Caleno, Wilson Ding și unui cercetător anonim pentru asistența acordată.

Intrare actualizată la data de 24 iunie 2019

SQLite

Dorim să îi mulțumim lui Andreas Kurtz (@aykay) de la NESO Security Labs GmbH pentru asistența acordată.

Terminal

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Intrare adăugată la data de 13 decembrie 2018

Time Machine

Dorim să îi mulțumim lui Matthew Thomas de la Verisign pentru asistența acordată.

Intrare actualizată la data de 22 ianuarie 2019

WindowServer

Dorim să îi mulțumim lui Patrick Wardle de la Digita Security pentru asistența acordată.

Intrare adăugată la data de 13 decembrie 2018

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: