Проблемы системы безопасности, устраняемые обновлением ОС macOS High Sierra 10.13.3 и обновлениями системы безопасности 2018-001 для ОС Sierra и 2018-001 для ОС El Capitan

В этой статье описываются проблемы системы безопасности, устраняемые обновлением ОС macOS High Sierra 10.13.3, а также обновлениями системы безопасности 2018-001 для ОС Sierra и 2018-001 для ОС El Capitan.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

macOS High Sierra 10.13.3, обновление системы безопасности 2018-001 для ОС Sierra и обновление системы безопасности 2018-001 для ОС El Capitan

Дата выпуска 23 января 2018 г.

Звук

Целевые продукты: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4094: Мини Чо (Mingi Cho), Минщик Шин (MinSik Shin), Соён Ким (Seoyoung Kim), Ёнхо Ли (Yeong-Ho Lee) и Тхэкён Квон (Taekyoung Kwon) из отдела информационной безопасности Университета Ёнсе

Запись обновлена 16 ноября 2018 г.

curl

Целевые продукты: ОС macOS High Sierra 10.13.2

Воздействие. Обнаружен ряд проблем в curl.

Описание. В curl возникало целочисленное переполнение. Проблема устранена путем улучшенной проверки границ памяти.

CVE-2017-8816: Алекс Николс (Alex Nichols)

Запись добавлена 16 ноября 2018 г.

curl

Целевые продукты: ОС macOS High Sierra 10.13.2

Воздействие. Обнаружен ряд проблем в curl.

Описание. В curl существовала проблема чтения за пределами выделенной памяти. Проблема устранена путем улучшенной проверки границ памяти.

CVE-2017-8817: обнаружено с помощью инструмента OSS-Fuzz

Запись обновлена 16 ноября 2018 г.

EFI

Целевые продукты: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Описание. Несколько проблем с переполнением буфера в ядре в прошивке Intel Manageability Engine версий 11.0/11.5/11.6/11.7/11.10/11.20 позволяют злоумышленнику с локальным доступом к системе выполнять производный код.

CVE-2017-5705: Марк Ермолов (Mark Ermolov) и Максим Горячий (Maxim Goryachy) из Positive Technologies

Запись добавлена 30 января 2018 г.

EFI

Целевые продукты: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Описание. Несколько проблем с эскалацией привилегий в ядре в прошивке Intel Manageability Engine версии 11.0/11.5/11.6/11.7/11.10/11.20 позволяют неавторизованному процессу получить привилегированное содержимое посредством незаданного вектора.

CVE-2017-5708: Марк Ермолов (Mark Ermolov) и Максим Горячий (Maxim Goryachy) из Positive Technologies

Запись добавлена 30 января 2018 г.

IOHIDFamily

Целевые продукты: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2018-4098: пользователь Siguza

Ядро

Целевые продукты: ОС macOS Sierra 10.12.6 и OS X El Capitan 10.11.6

Воздействие. Программа могла прочитать данные из памяти ядра (Meltdown)

Описание. Системы, оснащенные микропроцессорами со спекулятивным выполнением команд и непрямым прогнозированием ветвлений, могут допускать несанкционированное раскрытие информации злоумышленнику с локальным пользовательским доступом посредством анализа кэша данных через сторонний канал.

CVE-2017-5754: Янн Хорн (Jann Horn) из подразделения Google Project Zero, Мориц Липп (Moritz Lipp) из Грацского технического университета, Михаэль Шварц (Michael Schwarz) из Грацского технического университета, Даниэль Грусс (Daniel Gruss) из Грацского технического университета, Томас Прешер (Thomas Prescher) из компании Cyberus Technology GmbH, Вернер Хаас (Werner Haas) из компании Cyberus Technology GmbH, Штефан Мангард (Stefan Mangard) из Грацского технического университета, Пауль Кохер (Paul Kocher), Даниэль Дженкин (Daniel Genkin) из Пенсильванского и Мэрилендского университетов, Ювал Яром (Yuval Yarom) из Аделаидского университета и группы Data61 и Майк Хамбург (Mike Hamburg) из Rambus (подразделение криптографических исследований).

Ядро

Целевые продукты: ОС macOS High Sierra 10.13.2

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.

CVE-2018-4090: Янн Хорн (Jann Horn) из подразделения Google Project Zero

Запись обновлена 16 ноября 2018 г.

Ядро

Целевые продукты: ОС macOS High Sierra 10.13.2

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с возникновением условия состязания устранена путем улучшенной блокировки.

CVE-2018-4092: Штефан Эссер (Stefan Esser) из Antid0te UG

Запись обновлена 8 февраля 2018 г., обновлена 16 ноября 2018 г.

Ядро

Целевые продукты: ОС macOS High Sierra 10.13.2

Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4082: Расс Кокс (Russ Cox) из Google

Запись обновлена 16 ноября 2018 г.

Ядро

Целевые продукты: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с логикой устранена путем улучшенной проверки.

CVE-2018-4097: Resecurity, Inc.

Ядро

Целевые продукты: ОС macOS High Sierra 10.13.2

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2018-4093: Янн Хорн (Jann Horn) из подразделения Google Project Zero

Ядро

Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.2

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2018-4189: анонимный исследователь

Запись добавлена 2 мая 2018 г.

Ядро

Целевые продукты: ОС macOS High Sierra 10.13.2

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2018-4169: анонимный исследователь

Запись добавлена 2 мая 2018 г., обновлена 16 ноября 2018 г.

LinkPresentation

Целевые продукты: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Воздействие. Обработка вредоносного текстового сообщения может приводить к отказу в обслуживании в программе.

Описание. Проблема с исчерпанием ресурсов устранена путем улучшенной проверки ввода.

CVE-2018-4100: Абрахам Масри (Abraham Masri, @cheesecakeufo)

Запись обновлена 16 ноября 2018 г.

QuartzCore

Целевые продукты: OS X El Capitan 10.11.6, macOS High Sierra 10.13.2 и macOS Sierra 10.12.6

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. При обработке веб-содержимого возникала проблема повреждения памяти. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2018-4085: Ret2 Systems Inc. в рамках сотрудничества с компанией Trend Micro по программе Zero Day Initiative

Запись обновлена 16 ноября 2018 г.

Функция удаленного управления

Целевые продукты: ОС macOS Sierra 10.12.6

Воздействие. Удаленный пользователь может получить привилегии корневого пользователя.

Описание. В модуле «Удаленное управление» возникала проблема с разрешениями. Проблема устранена путем улучшенной проверки разрешений.

CVE-2018-4298: Тим ван дер Верф (Tim van der Werff) из SupCloud

Запись добавлена 19 июля 2018 г.

Изолированная среда

Целевые продукты: ОС macOS High Sierra 10.13.2

Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2018-4091: Алекс Гэйнор (Alex Gaynor) из Mozilla

Запись обновлена 16 ноября 2018 г.

Безопасность

Целевые продукты: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Воздействие. К сертификату могут некорректно применяться ограничения имени

Описание. При обработке ограничений имени возникала проблема с оценкой сертификата. Проблема решена путем улучшенной оценки надежности сертификатов.

CVE-2018-4086: Иэн Хэйкен (Ian Haken) из Netflix

Запись обновлена 16 ноября 2018 г.

Безопасность

Целевые продукты: ОС macOS High Sierra 10.13.2

Воздействие. Злоумышленник может обойти процедуру аутентификации администратора без ввода пароля администратора.

Описание. При проверке учетных данных возникала логическая ошибка. Проблема устранена путем улучшенной проверки учетных данных.

CVE-2017-13889: Гленн Дж. Бракно (Glenn G. Bruckno), инженер по автоматизации, Джеймс Барнс (James Barnes), Кевин Манка (Kevin Manca) из Миланского технического университета, Рене МАленфант (Rene Malenfant) из Университета Нью-Брансуика

Запись добавлена 21 июня 2018 г.

Поддержка Touch Bar

Целевые продукты: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

Описание. Проблема повреждения памяти устранена путем улучшенного управления состоянием.

CVE-2018-4083: Йен Бир (Ian Beer) из Google Project Zero

Запись добавлена 9 февраля 2018 г.

WebKit

Целевые продукты: ОС macOS High Sierra 10.13.2

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4088: Чонхун Шин (Jeonghoon Shin) из Theori

CVE-2018-4089: Иван Фратрик (Ivan Fratric) из подразделения Google Project Zero

CVE-2018-4096: обнаружено с помощью инструмента OSS-Fuzz

WebKit

Целевые продукты: ОС macOS High Sierra 10.13.2

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4147: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 18 октября 2018 г.

Загрузка страниц WebKit

Целевые продукты: ОС macOS High Sierra 10.13.2

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2017-7830: Дзюн Кокатсу (Jun Kokatsu, @shhnjk)

Запись добавлена 18 октября 2018 г.

Wi-Fi

Целевые продукты: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2018-4084: Хён Щуп Ли (Hyung Sup Lee) из Minionz, Ё Чхан Ли (You Chan Lee) из Университета Ханян

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: