Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
macOS Mojave 10.14.2, actualizarea de securitate 2018-003 High Sierra și actualizarea de securitate 2018-006 Sierra.
Publicare: 5 decembrie 2018
AirPort
Disponibilitate pentru: macOS Mojave 10.14.1
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2018-4303: Mohamed Ghannam (@_simo36)
Intrare actualizată pe 21 decembrie 2018
AMD
Disponibilitate pentru: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2018-4462: cocoahuke, Lilang Wu și Moony Li din TrendMicro Mobile Security Research Team în colaborare cu Zero Day Initiative (Trend Micro)
Intrare actualizată pe 21 decembrie 2018
Carbon Core
Disponibilitate pentru: macOS Mojave 10.14.1
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)
Disk Images
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4465: echipa Pangu
Hypervisor
Disponibilitate pentru: macOS Mojave 10.14.1
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise și Fred Jacobs (Virtual Machine Monitor Group – VMware, Inc.)
Intrare adăugată pe 22 ianuarie 2019
Driver video Intel
Disponibilitate pentru: macOS Mojave 10.14.1
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de consumare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4452: Liu Long (Qihoo 360 Vulcan Team)
Intrare adăugată pe 22 ianuarie 2019
Driver video Intel
Disponibilitate pentru: macOS Mojave 10.14.1
Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2018-4434: Zhuo Liang de la Qihoo 360 Nirvan Team
Driver video Intel
Disponibilitate pentru : macOS Sierra 10.12.6
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4456: Tyler Bohan (Cisco Talos)
Intrare adăugată la 21 decembrie 2018 și actualizată pe 22 ianuarie 2019
Driver video Intel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4421: Tyler Bohan de la Cisco Talos
Intrare adăugată pe 21 decembrie 2018
IOHIDFamily
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4427: echipa Pangu
Kernel
Disponibilitate pentru: macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Impact: un utilizator local poate citi memoria kernel
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4431: un cercetător independent din domeniul securității a raportat această vulnerabilitate către programul SecuriTeam Secure Disclosure (Beyond Security)
CVE-2018-4448: Brandon Azad
Intrare adăugată pe 24 iunie 2019
Kernel
Disponibilitate pentru: macOS Mojave 10.14.1
Impact: un atacator în poziție privilegiată ar putea iniția un atac de refuzare a serviciului
Descriere: o problemă de refuzare a serviciului a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2018-4460: Kevin Backhouse (Semmle Security Research Team)
Kernel
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.1
Impact: un utilizator local poate citi memoria kernel
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4431: un cercetător independent din domeniul securității a raportat această vulnerabilitate către programul SecuriTeam Secure Disclosure (Beyond Security)
Kernel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2018-4447: Juwei Lin(@panicaII) și Zhengyu Dong (TrendMicro Mobile Security Team), în colaborare cu Zero Day Initiative (Trend Micro)
Intrare actualizată pe 18 decembrie 2018
Kernel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2018-4435: Jann Horn (Google Project Zero), Juwei Lin(@panicaII) și Junzhi Lu (TrendMicro Mobile Security Team), în colaborare cu Zero Day Initiative (Trend Micro)
Intrare actualizată pe 18 decembrie 2018
Kernel
Disponibilitate pentru: macOS Mojave 10.14.1
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-4461: Ian Beer (Google Project Zero)
WindowServer
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4449: Hanqing Zhao, Yufeng Ruan și Kun Yang de la Chaitin Security Research Lab
CVE-2018-4450: Hanqing Zhao, Yufeng Ruan și Kun Yang de la Chaitin Security Research Lab
Alte mențiuni
LibreSSL
Dorim să ne exprimăm recunoștința față de Keegan Ryan de la NCC Group pentru ajutorul său.
NetAuth
Dorim să ne exprimăm recunoștința față de Vladimir Ivanov de la Digital Security pentru ajutorul său.
Protocol simplu de înregistrare a certificatului (SCEP)
Dorim să ne exprimăm recunoștința față de Tim Cappalli de la Aruba și pentru compania Hewlett Packard Enterprise pentru ajutorul lor.
Time Machine
Dorim să îi mulțumim lui Matthew Thomas de la Verisign pentru asistența acordată.
Intrare adăugată pe 22 ianuarie 2019