Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
macOS Mojave 10.14
Publicare: 24 septembrie 2018
Bluetooth
Disponibilitate pentru: iMac (21,5 inchi, la sfârșitul anului 2012), iMac (27 inchi, la sfârșitul anului 2012), iMac (21,5 inchi, la sfârșitul anului 2013), iMac (21,5-inch, Mid 2014), iMac (Retina 5K, 27 inchi, la sfârșitul anului 2014), iMac (21,5 inchi, la sfârșitul anului 2015), Mac mini (la mijlocul anului 2011), Mac mini Server (la mijlocul anului 2011), Mac mini (la sfârșitul anului 2012), Mac mini Server (la sfârșitul anului 2012), Mac mini (la sfârșitul anului 2014), Mac Pro (la sfârșitul anului 2013), MacBook Air (11 inchi, la mijlocul anului 2011), MacBook Air (13 inchi, la mijlocul anului 2011), MacBook Air (11 inchi, la mijlocul anului 2012), MacBook Air (13 inchi, la mijlocul anului 2012), MacBook Air (11 inchi, la mijlocul anului 2013), MacBook Air (13 inchi, la mijlocul anului 2013), MacBook Air (11 inchi, la începutul anului 2015), MacBook Air (13 inchi, la începutul anului 2015), MacBook Pro (13 inchi, la mijlocul anului 2012), MacBook Pro (15 inchi, la mijlocul anului 2012), MacBook Pro (Retina, 13 inchi, la începutul anului 2013), MacBook Pro (Retina, 15 inchi, la începutul anului 2013), MacBook Pro (Retina, 13 inchi, la sfârșitul anului 2013) și MacBook Pro (Retina, 15 inchi, la sfârșitul anului 2013)
Impact: un atacator cu poziție privilegiată în rețea ar putea intercepta traficul Bluetooth
Descriere: în Bluetooth a existat o problemă de validare a intrărilor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-5383: Lior Neumann și Eli Biham
Actualizările de mai jos sunt disponibile pentru aceste modele de computere Mac: MacBook (modelul de la începutul lui 2015 și cele ulterioare), MacBook Air (modelul de la mijlocul lui 2012 și cele ulterioare), MacBook Pro (modelul de la mijlocul lui 2012 și cele ulterioare), Mac mini (modelul de la sfârșitul lui 2012 și cele ulterioare), iMac (modelul de la sfârșitul lui 2012 și cele ulterioare), iMac Pro (toate modelele), Mac Pro (modelele de la sfârșitul lui 2013, mijlocul lui 2010 și mijlocul lui 2012 cu procesor grafic compatibil cu API-ul Metal, inclusiv MSI Gaming Radeon RX 560 și Sapphire Radeon PULSE RX 580)
afpserver
Impact: este posibil ca un atacator de la distanță să poată ataca serverele AFP prin intermediul clienților HTTP
Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-4295: Jianjun Chen (@whucjj) (Universitatea Tsinghua și UC Berkeley)
Intrare adăugată la data de 30 octombrie 2018
App Store
Impact: este posibil ca o aplicație rea intenționată să poată determina ID-ul Apple al proprietarului computerului
Descriere: a existat o problemă de permisiune la tratarea ID-ului Apple. Această problemă a fost rezolvată prin îmbunătățirea controalelor accesului.
CVE-2018-4324: Sergii Kryvoblotskyi (MacPaw Inc.)
AppleGraphicsControl
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2018-4417: Lee de la Laboratorul pentru Securitatea Informațională (Universitatea Yonsei) în colaborare cu Zero Day Initiative (Trend Micro)
Intrare adăugată la data de 30 octombrie 2018
Application Firewall
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.
CVE-2018-4353: Abhinav Bansal (LinkedIn Inc.)
Intrare actualizată la data de 30 octombrie 2018
APR
Impact: au existat mai multe probleme de depășire a memoriei-tampon în Perl
Descriere: mai multe probleme în Perl au fost rezolvate prin îmbunătățirea tratării memoriei.
CVE-2017-12613: Craig Young (Tripwire VERT)
CVE-2017-12618: Craig Young (Tripwire VERT)
Intrare adăugată la data de 30 octombrie 2018
ATS
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-4411: lilang wu moony Li (Trend Micro) în colaborare cu Zero Day Initiative (Trend Micro)
Intrare adăugată la data de 30 octombrie 2018
ATS
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2018-4308: Mohamed Ghannam (@_simo36)
Intrare adăugată la data de 30 octombrie 2018
Auto-deblocare
Impact: o aplicație rău intenționată poate accesa ID-urile Apple ale utilizatorilor locali
Descriere: a existat o problemă de validare în verificarea drepturilor. Această problemă a fost rezolvată prin îmbunătățirea validării drepturilor de proces.
CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai (Alibaba Inc.)
CFNetwork
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4126: Bruno Keith (@bkth_) în colaborare cu Zero Day Initiative (Trend Micro)
Intrare adăugată la data de 30 octombrie 2018
CoreFoundation
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-4412: National Cyber Security Centre (NCSC) (Regatul Unit)
Intrare adăugată la data de 30 octombrie 2018
CoreFoundation
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-4414: National Cyber Security Centre (NCSC) (Regatul Unit)
Intrare adăugată la data de 30 octombrie 2018
CoreText
Impact: procesarea unui fișier text creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2018-4347: Vasyl Tkachuk (Readdle)
Intrare adăugată la 30 octombrie 2018 și actualizată pe 13 decembrie 2018
Crash Reporter
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2018-4333: Brandon Azad
CUPS
Impact: în cadrul anumitor configurații, este posibil ca un atacator de la distanță să înlocuiască conținutul mesajelor de pe serverul de imprimare cu un conținut arbitrar
Descriere: o problemă de injectare a fost rezolvată prin îmbunătățirea validării.
CVE-2018-4153: Michael Hanselmann (hansmi.ch)
Intrare adăugată la data de 30 octombrie 2018
CUPS
Impact: un atacator în poziție privilegiată ar putea iniția un atac de refuzare a serviciului
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării.
CVE-2018-4406: Michael Hanselmann (hansmi.ch)
Intrare adăugată la data de 30 octombrie 2018
Dicționar
Impact: analizarea unui fișier Dicționar creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator
Descriere: a existat o problemă de validare care a permis accesul la fișierul local. Această problemă a fost rezolvată prin igienizarea intrării.
CVE-2018-4346: Wojciech Reguła (@_r3ggi) (SecuRing)
Intrare adăugată la data de 30 octombrie 2018
DiskArbitration
Impact: este posibil ca o aplicație rea intenționată să poată schimba conținutul de pe partiția sistemului EFI și să execute un cod arbitrar cu privilegiile kernel dacă pornirea în siguranță a sistemului nu este activată
Descriere: a existat o problemă legată de permisiuni în DiskArbitration. Această problemă a fost rezolvată cu verificări suplimentare ale dreptului de proprietate.
CVE-2018-4296: Vitaly Cheptsov
Intrare actualizată la data de 22 ianuarie 2019
dyld
Impact: este posibil ca o aplicație rea intenționată să poată modifica părțile protejate ale sistemului de fișiere
Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.
CVE-2018-4433: Vitaly Cheptsov
Intrare actualizată la data de 22 ianuarie 2019
fdesetup
Impact: cheile de recuperare instituționale pot fi raportate incorect ca fiind prezente
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2019-8643: Arun Sharma (VMWare)
Intrare adăugată la data de 1 august 2019
Firmware
Impact: un atacator cu acces fizic la un dispozitiv ar putea să realizeze elevarea privilegiilor
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2017-5731: Intel și Eclypsium
CVE-2017-5732: Intel și Eclypsium
CVE-2017-5733: Intel și Eclypsium
CVE-2017-5734: Intel și Eclypsium
CVE-2017-5735: Intel și Eclypsium
Intrare adăugată la data de 24 iunie 2019
Grand Central Dispatch
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4426: Brandon Azad
Intrare adăugată la data de 30 octombrie 2018
Heimdal
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4331: Brandon Azad
CVE-2018-4332: Brandon Azad
CVE-2018-4343: Brandon Azad
Intrare adăugată la data de 30 octombrie 2018
Hypervisor
Impact: sistemele cu microprocesoare care utilizează executarea speculativă și traducerile de adresă pot permite divulgarea neautorizată a informațiilor din memoria cache de date L1 unui atacator cu acces de utilizator local cu privilegii OS de invitat prin intermediul unei erori de pagină terminală și o analiză prin canal lateral
Descriere: o problemă de divulgare a informațiilor s-a rezolvat prin descărcarea stocului de memorie cache de date L1 la intrarea mașinii virtuale.
CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse și Thomas F. Wenisch (Universitatea din Michigan), Mark Silberstein și Marina Minkin (Technion), Raoul Strackx, Jo Van Bulck și Frank Piessens (KU Leuven), Rodrigo Branco, Henrique Kawakami, Ke Sun și Kekai Hu (Intel Corporation), Yuval Yarom (Universitatea din Adelaide)
Intrare adăugată la data de 30 octombrie 2018
iBooks
Impact: analizarea unui fișier iBooks creat cu rea intenție poate cauza divulgarea informațiilor despre utilizator
Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.
CVE-2018-4355: evi1m0 (bilibili security team)
Intrare adăugată la data de 30 octombrie 2018
Driver video Intel
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2018-4396: Yu Wang (Didi Research America)
CVE-2018-4418: Yu Wang (Didi Research America)
Intrare adăugată la data de 30 octombrie 2018
Driver video Intel
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4351: echipa Appology @ Theori în colaborare cu Zero Day Initiative (Trend Micro)
Intrare adăugată la data de 30 octombrie 2018
Driver video Intel
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-4350: Yu Wang (Didi Research America)
Intrare adăugată la data de 30 octombrie 2018
Driver video Intel
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4334: Ian Beer (Google Project Zero)
Intrare adăugată la data de 30 octombrie 2018
Driver video Intel
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-4451: Tyler Bohan (Cisco Talos)
CVE-2018-4456: Tyler Bohan (Cisco Talos)
Intrare adăugată la 21 decembrie 2018 și actualizată pe 22 ianuarie 2019
IOHIDFamily
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea validării intrării.
CVE-2018-4408: Ian Beer (Google Project Zero)
Intrare adăugată la 30 octombrie 2018 și actualizată pe joi, 1 august 2019
IOKit
Impact: o aplicație rău intenționată poate evada din sandbox
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4341: Ian Beer (Google Project Zero)
CVE-2018-4354: Ian Beer (Google Project Zero)
Intrare adăugată la data de 30 octombrie 2018
IOKit
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2018-4383: Apple
Intrare adăugată la data de 30 octombrie 2018
IOUserEthernet
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4401: Apple
Intrare adăugată la data de 30 octombrie 2018
Kernel
Impact: o aplicație rău intenționată poate scurge informații sensibile ale utilizatorilor
Descriere: a existat o problemă de acces la apelurile API privilegiate. Această problemă a fost rezolvată prin restricții suplimentare.
CVE-2018-4399: Fabiano Anemone (@anoane)
Intrare adăugată la data de 30 octombrie 2018
Kernel
Impact: un atacator cu poziție privilegiată în rețea poate executa un cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2018-4407: Kevin Backhouse (Semmle Ltd.)
Intrare adăugată la data de 30 octombrie 2018
Kernel
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4336: Brandon Azad
CVE-2018-4337: Ian Beer (Google Project Zero)
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4344: National Cyber Security Centre (NCSC) (Regatul Unit)
CVE-2018-4425: cc în colaborare cu Zero Day Initiative (Trend Micro), Juwei Lin (@panicaII) (Trend Micro) în colaborare cu Zero Day Initiative (Trend Micro)
Intrare actualizată la data de 30 octombrie 2018
LibreSSL
Impact: mai multe probleme în libressl au fost rezolvate în această actualizare
Descriere: mai multe probleme au fost rezolvate prin actualizarea libressl la versiunea 2.6.4.
CVE-2015-3194
CVE-2015-5333
CVE-2015-5334
CVE-2016-0702
Intrare adăugată la 30 octombrie 2018 și actualizată pe 13 decembrie 2018
Fereastră de login
Impact: un utilizator local poate provoca un refuz al serviciului
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
CVE-2018-4348: Ken Gannon (MWR InfoSecurity) și Christian Demko (MWR InfoSecurity)
Intrare adăugată la data de 30 octombrie 2018
mDNSOffloadUserClient
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4326: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro), Zhuo Liang (echipa Qihoo 360 Nirvan)
Intrare adăugată la data de 30 octombrie 2018
MediaRemote
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2018-4310: CodeColorist (Ant-Financial LightYear Labs)
Intrare adăugată la data de 30 octombrie 2018
Microcode
Impact: sistemele cu microprocesoare care utilizează executarea speculativă și executarea speculativă a citirii de memorie înainte ca adresele tuturor scrierilor anterioare de memorie să fie cunoscute pot permite divulgarea neautorizată a informațiilor unui atacator cu acces de utilizator local prin intermediul unei analize de canal lateral
Descriere: o problemă de divulgare a informațiilor s-a rezolvat printr-o actualizare de microcod. Acest lucru asigură faptul că citirea datelor mai vechi din adresele la s-a scris recent nu poate fi efectuată prin intermediul unui canal lateral speculativ.
CVE-2018-3639: Jann Horn (@tehjh) (Google Project Zero (GPZ)), Ken Johnson (Microsoft Security Response Center (MSRC))
Intrare adăugată la data de 30 octombrie 2018
Securitate
Impact: un utilizator local poate provoca un refuz al serviciului
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2018-4395: Patrick Wardle (Digita Security)
Intrare adăugată la data de 30 octombrie 2018
Securitate
Impact: un atacator poate exploata slăbiciuni din algoritmul criptografic RC4
Descriere: această problemă a fost rezolvată prin eliminarea algoritmului RC4.
CVE-2016-1777: Pepi Zawodsky
Spotlight
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4393: Lufeng Li
Intrare adăugată la data de 30 octombrie 2018
Symptom Framework
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2018-4203: Bruno Keith (@bkth_) în colaborare cu Zero Day Initiative (Trend Micro)
Intrare adăugată la data de 30 octombrie 2018
Text
Impact: procesarea unui fișier de text creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării.
CVE-2018-4304: jianan.huang (@Sevck)
Intrare adăugată la data de 30 octombrie 2018
Wi-Fi
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2018-4338: Lee @SECLAB, Yonsei University în colaborare cu Zero Day Initiative (Trend Micro)
Intrare adăugată la data de 23 octombrie 2018
Alte mențiuni
Cadru de accesibilitate
Dorim să-i mulțumim lui Ryan Govostes pentru asistența acordată.
Date de bază
Dorim să îi mulțumim lui Andreas Kurtz (@aykay) de la NESO Security Labs GmbH pentru asistența acordată.
CoreDAV
Dorim să îi mulțumim lui Matthew Thomas de la Verisign pentru asistența acordată.
Intrare adăugată la 13 decembrie 2018 și actualizată pe 21 decembrie 2018
CoreGraphics
Dorim să îi mulțumim lui Nitin Arya de la Roblox Corporation pentru asistența acordată.
CoreSymbolication
Dorim să îi mulțumim lui Brandon Azad pentru asistența acordată.
Intrare adăugată la data de 13 decembrie 2018
CUPS
Dorim să îi mulțumim lui Michael Hanselmann de la hansmi.ch pentru asistență.
Intrare adăugată la data de 1 august 2019
IOUSBHostFamily
Dorim să îi mulțumim lui Dragos Ruiu de la CanSecWest pentru asistența acordată.
Intrare adăugată la data de 13 decembrie 2018
Kernel
Dorim să îi mulțumim lui Brandon Azad pentru asistența acordată.
Intrare adăugată la data de 13 decembrie 2018
Dorim să îi mulțumim lui Alessandro Avagliano (Rocket Internet SE, John Whitehead (The New York Times), Kelvin Delbarre (Omicron Software Systems) și Zbyszek Żółkiewski pentru asistența acordată.
Quick Look
Dorim să îi mulțumim lui lokihardt (Google Project Zero), Wojciech Reguła (@_r3ggi) (SecuRing) și Patrick Wardle (Digita Security) pentru asistența acordată.
Intrare adăugată la data de 13 decembrie 2018
Securitate
Dorim să îi mulțumim lui Christoph Sinai, Daniel Dudek (@dannysapples) de la The Irish Times și Filip Klubička (@lemoncloak) de la ADAPT Centre, Dublin Institute of Technology, Horatiu Graur de la SoftVision, Istvan Csanady de la Shapr3D, Omar Barkawi de la ITG Software, Inc., Phil Caleno, Wilson Ding și unui cercetător anonim pentru asistența acordată.
Intrare actualizată la data de 24 iunie 2019
SQLite
Dorim să îi mulțumim lui Andreas Kurtz (@aykay) de la NESO Security Labs GmbH pentru asistența acordată.
Terminal
Dorim să îi mulțumim lui Federico Bento pentru asistență.
Intrare adăugată pe 13 decembrie 2018 și actualizată pe 3 februarie 2020
Time Machine
Dorim să îi mulțumim lui Matthew Thomas de la Verisign pentru asistența acordată.
Intrare actualizată la data de 22 ianuarie 2019
WindowServer
Dorim să îi mulțumim lui Patrick Wardle de la Digita Security pentru asistența acordată.
Intrare adăugată la data de 13 decembrie 2018