Сведения о проблемах системы безопасности, устраняемых обновлением macOS Mojave 10.14.2, а также обновлениями системы безопасности 2018-003 для High Sierra и 2018-006 для Sierra
В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Mojave 10.14.2, а также обновлениями системы безопасности 2018-003 для High Sierra и 2018-006 для Sierra.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
macOS Mojave 10.14.2, обновления системы безопасности 2018-003 для High Sierra и 2018-006 для Sierra
AirPort
Целевые продукты: macOS Mojave 10.14.1
Воздействие. Вредоносная программа может повышать уровень привилегий.
Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.
CVE-2018-4303: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)
AMD
Целевые продукты: macOS Sierra 10.12.6, macOS Mojave 10.14.1 и macOS High Sierra 10.13.6
Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.
CVE-2018-4462: cocoahuke, Лиланг Ву (Lilang Wu) и Муни Ли (Moony Li) из отдела исследования безопасности мобильных устройств компании TrendMicro, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
Carbon Core
Целевые продукты: macOS Mojave 10.14.1
Воздействие. Программа может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2018-4463: Максимилиан Арцемовиц (Maksymilian Arciemowicz, cxsecurity.com)
Образы дисков
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.1
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2018-4465: группа Pangu
Гипервизор
Целевые продукты: macOS Mojave 10.14.1
Воздействие. Вредоносная программа может повышать уровень привилегий.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенного управления состояниями.
CVE-2018-4467: Мартим Карбоун (Martim Carbone), Давид Верне (David Vernet), Сэм Скалайс (Sam Scalise) и Фред Якобс (Fred Jacobs) из группы мониторинга виртуальных машин корпорации VMware, Inc.
Драйвер видеокарты Intel
Целевые продукты: macOS Mojave 10.14.1
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. Проблема с использованием памяти устранена путем улучшенной обработки памяти.
CVE-2018-4452: Лю Лун (Liu Long) из группы Vulcan в Qihoo 360
Драйвер видеокарты Intel
Целевые продукты: macOS Mojave 10.14.1
Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2018-4434: Чжуо Лиан (Zhuo Liang) из группы Nirvan в Qihoo 360
Драйвер видеокарты Intel
Целевые продукты: ОС macOS Sierra 10.12.6
Воздействие. Программа может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2018-4456: Тайлер Боуэн (Tyler Bohan) из Cisco Talos
Драйвер видеокарты Intel
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.
CVE-2018-4421: Тайлер Боуэн (Tyler Bohan) из Cisco Talos
IOHIDFamily
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2018-4427: группа Pangu
Ядро
Целевые продукты: macOS Mojave 10.14.1 и macOS High Sierra 10.13.6
Воздействие. Локальный пользователь может считывать память ядра.
Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.
CVE-2018-4431: независимый исследователь в области безопасности сообщил об этой уязвимости в рамках программы SecuriTeam Secure Disclosure, проводимой компанией Beyond Security.
CVE-2018-4448: Брэндон Азад (Brandon Azad)
Ядро
Целевые продукты: macOS Mojave 10.14.1
Воздействие. Злоумышленник с преимущественным положением в сети может вызвать отказ в обслуживании.
Описание. Проблема с отказом в обслуживании устранена путем удаления уязвимого кода.
CVE-2018-4460: Кевин Бэкхаус (Kevin Backhouse) из подразделения Semmle Security Research Team
Ядро
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.1
Воздействие. Локальный пользователь может считывать память ядра.
Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.
CVE-2018-4431: независимый исследователь в области безопасности сообщил об этой уязвимости в рамках программы SecuriTeam Secure Disclosure, проводимой компанией Beyond Security.
Ядро
Целевые продукты: macOS Sierra 10.12.6, macOS Mojave 10.14.1 и macOS High Sierra 10.13.6
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенного управления состояниями.
CVE-2018-4447: Ювей Лин (Juwei Lin, @panicaII) и Дженгью Донг (Zhengyu Dong) из отдела безопасности мобильных устройств компании TrendMicro, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
Ядро
Целевые продукты: macOS Sierra 10.12.6, macOS Mojave 10.14.1 и macOS High Sierra 10.13.6
Воздействие. Вредоносная программа может повышать уровень привилегий.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2018-4435: Янн Хорн (Jann Horn) из подразделения Google Project Zero, Ювей Лин (Juwei Lin, @panicaII) и Юнджи Лу (Junzhi Lu) из отдела безопасности мобильных устройств компании TrendMicro, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative
Ядро
Целевые продукты: macOS Mojave 10.14.1
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2018-4461: Йен Бир (Ian Beer) из подразделения Google Project Zero
WindowServer
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.1
Воздействие. Программа может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2018-4449: Ханкинг Чжао (Hanqing Zhao), Юфенг Руан (Yufeng Ruan) и Кун Янг (Kun Yang) из группы Chaitin Security Research Lab
CVE-2018-4450: Ханкинг Чжао (Hanqing Zhao), Юфенг Руан (Yufeng Ruan) и Кун Янг (Kun Yang) из группы Chaitin Security Research Lab
Дополнительные благодарности
LibreSSL
Выражаем благодарность за помощь Кигану Райану (Keegan Ryan) из компании NCC Group.
NetAuth
Выражаем благодарность Владимиру Иванову (Vladimir Ivanov) из компании Digital Security за помощь.
Протокол простой регистрации сертификатов (SCEP)
Выражаем благодарность за помощь Тиму Каппалли (Tim Cappalli) из Арубы и компании Hewlett Packard Enterprise.
Time Machine
Выражаем благодарность Мэттью Томасу (Matthew Thomas) из Verisign за оказанную помощь.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.