Despre conținutul de securitate al macOS Mojave 10.14.2, actualizarea de securitate 2018-003 High Sierra și actualizarea de securitate 2018-006 Sierra.

Acest document descrie conținutul de securitate al macOS Mojave 10.14.2, actualizarea de securitate 2018-003 High Sierra și actualizarea de securitate 2018-006 Sierra.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

macOS Mojave 10.14.2, actualizarea de securitate 2018-003 High Sierra și actualizarea de securitate 2018-006 Sierra.

Publicare: 5 decembrie 2018

AirPort

Disponibilitate pentru: macOS Mojave 10.14.1

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

CVE-2018-4303: Mohamed Ghannam (@_simo36)

Intrare actualizată pe 21 decembrie 2018

AMD

Disponibilitate pentru: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2018-4462: cocoahuke, Lilang Wu și Moony Li din TrendMicro Mobile Security Research Team în colaborare cu Zero Day Initiative (Trend Micro)

Intrare actualizată pe 21 decembrie 2018

Carbon Core

Disponibilitate pentru: macOS Mojave 10.14.1

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)

Disk Images

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4465: echipa Pangu

Hypervisor

Disponibilitate pentru: macOS Mojave 10.14.1

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise și Fred Jacobs (Virtual Machine Monitor Group – VMware, Inc.)

Intrare adăugată pe 22 ianuarie 2019

Driver video Intel

Disponibilitate pentru: macOS Mojave 10.14.1

Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de consumare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4452: Liu Long (Qihoo 360 Vulcan Team)

Intrare adăugată pe 22 ianuarie 2019

Driver video Intel

Disponibilitate pentru: macOS Mojave 10.14.1

Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2018-4434: Zhuo Liang de la Qihoo 360 Nirvan Team

Driver video Intel

Disponibilitate pentru : macOS Sierra 10.12.6

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4456: Tyler Bohan (Cisco Talos)

Intrare adăugată la 21 decembrie 2018 și actualizată pe 22 ianuarie 2019

Driver video Intel

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4421: Tyler Bohan de la Cisco Talos

Intrare adăugată pe 21 decembrie 2018

IOHIDFamily

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4427: echipa Pangu

Kernel

Disponibilitate pentru: macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Impact: un utilizator local poate citi memoria kernel

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4431: un cercetător independent din domeniul securității a raportat această vulnerabilitate către programul SecuriTeam Secure Disclosure (Beyond Security)

CVE-2018-4448: Brandon Azad

Intrare adăugată pe 24 iunie 2019

Kernel

Disponibilitate pentru: macOS Mojave 10.14.1

Impact: un atacator în poziție privilegiată ar putea iniția un atac de refuzare a serviciului

Descriere: o problemă de refuzare a serviciului a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2018-4460: Kevin Backhouse (Semmle Security Research Team)

Kernel

Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.1

Impact: un utilizator local poate citi memoria kernel

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4431: un cercetător independent din domeniul securității a raportat această vulnerabilitate către programul SecuriTeam Secure Disclosure (Beyond Security)

Kernel

Disponibilitate pentru: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2018-4447: Juwei Lin(@panicaII) și Zhengyu Dong (TrendMicro Mobile Security Team), în colaborare cu Zero Day Initiative (Trend Micro)

Intrare actualizată pe 18 decembrie 2018

Kernel

Disponibilitate pentru: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2018-4435: Jann Horn (Google Project Zero), Juwei Lin(@panicaII) și Junzhi Lu (TrendMicro Mobile Security Team), în colaborare cu Zero Day Initiative (Trend Micro)

Intrare actualizată pe 18 decembrie 2018

Kernel

Disponibilitate pentru: macOS Mojave 10.14.1

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2018-4461: Ian Beer (Google Project Zero)

WindowServer

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4449: Hanqing Zhao, Yufeng Ruan și Kun Yang de la Chaitin Security Research Lab

CVE-2018-4450: Hanqing Zhao, Yufeng Ruan și Kun Yang de la Chaitin Security Research Lab

Alte mențiuni

LibreSSL

Dorim să ne exprimăm recunoștința față de Keegan Ryan de la NCC Group pentru ajutorul său.

NetAuth

Dorim să ne exprimăm recunoștința față de Vladimir Ivanov de la Digital Security pentru ajutorul său.

Protocol simplu de înregistrare a certificatului (SCEP)

Dorim să ne exprimăm recunoștința față de Tim Cappalli de la Aruba și pentru compania Hewlett Packard Enterprise pentru ajutorul lor.

Time Machine

Dorim să îi mulțumim lui Matthew Thomas de la Verisign pentru asistența acordată.

Intrare adăugată pe 22 ianuarie 2019

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: