Сведения о проблемах системы безопасности, устраняемых обновлением macOS Mojave 10.14.1, обновлением системы безопасности 2018-002 для High Sierra и 2018-005 для Sierra
В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Mojave 10.14.1, обновлением системы безопасности 2018-002 для High Sierra и 2018-005 для Sierra.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
Документы Apple о безопасности идентифицируют уязвимости с помощью кода CVE-ID, когда это возможно.
macOS Mojave 10.14.1, обновление системы безопасности 2018-002 для High Sierra и 2018-005 для Sierra
Afpserver
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Удаленный злоумышленник может атаковать серверы AFP через клиенты HTTP.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2018-4295: Цзянцзюн Чен (Jianjun Chen, @whucjj) из университета Цинхуа и UC Berkeley
AppleGraphicsControl
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2018-4410: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
AppleGraphicsControl
Целевые продукты: macOS High Sierra 10.13.6
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшения обработки ввода.
CVE-2018-4417: пользователь Ли (Lee) из отдела информационной безопасности Университета Енсе, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
APR
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. В Perl возникало несколько проблемы переполнения буфера.
Описание. Эти проблемы в Perl были устранены путем улучшенной обработки памяти.
CVE-2017-12613: Крег Янг (Craig Young) из подразделения VERT компании Tripwire
CVE-2017-12618: Крег Янг (Craig Young) из подразделения VERT компании Tripwire
Инфраструктура ATS
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Вредоносное приложение может повышать уровень привилегий.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2018-4411: Лиланг Ву (Lilang Wu) и Муни Ли (Moony Li) из компании Trend Micro, сотрудничающие с ней в рамках программы Zero Day Initiative
Инфраструктура ATS
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2018-4308: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)
Automator
Целевые продукты: macOS Mojave 10.14
Воздействие. Вредоносное приложение может получить доступ к файлам, предназначенным для ограниченного использования.
Описание. Проблема устранена путем удаления дополнительных прав.
CVE-2018-4468: Джефф Джонсон (Jeff Johnson) из underpassapp.com
CFNetwork
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4126: Бруно Кит (Bruno Keith, @bkth_), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CoreAnimation
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4415: Лян Чжуо (Liang Zhuo), сотрудничающий с компанией Beyond Security в рамках программы SecuriTeam Secure Disclosure
CoreCrypto
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Злоумышленник может воспользоваться уязвимостью в тесте Миллера — Рабина для определения простых чисел, в результате чего последние определяются ошибочно.
Описание. Возникала проблема со способом определения простых чисел. Проблема была устранена путем использования псевдослучайных баз для определения простых чисел.
CVE-2018-4398: Мартин Альбрехт (Martin Albrecht), Джейк Массимо (Jake Massimo) и Кенни Патерсон (Kenny Paterson) из колледжа Ройал-Холлоуэй при Лондонском университете, а также Юрий Соморовский (Juraj Somorovsky) из Рурского университета в Бохуме
CoreFoundation
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Вредоносное приложение может повышать уровень привилегий.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2018-4412: Национальный центр кибербезопасности Великобритании (NCSC)
CUPS
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. В определенных конфигурациях удаленный злоумышленник может заменять содержимое сообщения от сервера печати произвольным содержимым.
Описание. Проблема внедрения устранена путем улучшенной проверки.
CVE-2018-4153: Микаэль Хансельманн (Michael Hanselmann, hansmi.ch)
CUPS
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Злоумышленник с преимущественным положением в сети может вызвать отказ в обслуживании.
Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки.
CVE-2018-4406: Микаэль Хансельманн (Michael Hanselmann, hansmi.ch)
Словарь
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Анализ вредоносного файла словаря может привести к разглашению информации пользователя.
Описание. Существовала проблема проверки, открывавшая доступ к локальным файлам. Она устранена путем улучшенной очистки ввода.
CVE-2018-4346: Войцех Регула (Wojciech Reguła, @_r3ggi) из компании SecuRing
Панель Dock
Целевые продукты: macOS Mojave 10.14
Воздействие. Вредоносное приложение может получить доступ к файлам, предназначенным для ограниченного использования.
Описание. Проблема устранена путем удаления дополнительных прав.
CVE-2018-4403: Патрик Уордл (Patrick Wardle) из компании Digita Security
dyld
Целевые продукты: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6
Воздействие. Вредоносное приложение может повышать уровень привилегий.
Описание. Проблема с логикой устранена путем улучшенной проверки.
CVE-2018-4423: Юфу Жанг (Youfu Zhang) из Chaitin Security Research Lab (@ChaitinTech)
EFI
Целевые продукты: macOS High Sierra 10.13.6
Воздействие. Системы, оснащенные микропроцессорами со спекулятивным выполнением команд и спекулятивным считыванием памяти до того, как станут известны все предыдущие случаи записи в память, могут допускать несанкционированное раскрытие информации злоумышленнику с локальным пользовательским доступом посредством анализа данных через сторонний канал.
Описание. Проблема с раскрытием информации была устранена путем обновления микрокоманд. Таким образом данные, полученные в результате более давнего считывания адресов, на которые недавно отправлялись сообщения, не могут быть считаны через сторонний канал.
CVE-2018-3639: Янн Хорн (Jann Horn, @tehjh) из подразделения Google Project Zero (GPZ) и Кен Джонсон (Ken Johnson) из центра Microsoft по реагированию на инциденты, связанные с безопасностью (MSRC)
EFI
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Локальный пользователь может изменять защищенные участки файловой системы.
Описание. Проблема конфигурации решена посредством добавления дополнительных ограничений.
CVE-2018-4342: Тимоти Перфитт (Timothy Perfitt) из компании Twocanoes Software
Платформа
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Обработка вредоносного текстового файла может приводить к отказу в обслуживании.
Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки.
CVE-2018-4304: Цзянань Хуан (Jianan Huang, @Sevck)
Grand Central Dispatch
Целевые продукты: macOS High Sierra 10.13.6
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4426: Брэндон Азад (Brandon Azad)
Heimdal
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4331: Брэндон Азад (Brandon Azad)
Гипервизор
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Системы, оснащенные микропроцессорами со спекулятивным выполнением команд и трансляцией адресов, могут допускать несанкционированное раскрытие информации, хранящейся в кэше данных L1, злоумышленнику с локальным пользовательским доступом и привилегированным положением в гостевой операционной системе в результате сбоя на конечной странице и путем анализа данных через сторонний канал.
Описание. Проблема с раскрытием информации устранена путем сброса кэша данных L1 на входе виртуальной машины.
CVE-2018-3646: Барис Касикчи (Baris Kasikci), Дэниэл Генкин (Daniel Genkin), Офир Вайссе (Ofir Weisse) и Томас Ф. Вениш (Thomas F. Wenisch) из Мичиганского университета, Марк Зилберштайн (Mark Silberstein) и Марина Минкин (Marina Minkin) из университета Technion, Рауль Штракс (Raoul Strackx), Йо Ван Булк (Jo Van Bulck) и Франк Писсенс (Frank Piessens) из Лёвенского католического университета, Родриго Бранко (Rodrigo Branco), Энрике Каваками (Henrique Kawakami), Ке Сун (Ke Sun) и Кекаи Ху (Kekai Hu) из корпорации Intel, Ювал Яром (Yuval Yarom) из Аделаидского университета
Гипервизор
Целевые продукты: ОС macOS Sierra 10.12.6
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Уязвимость, связанная с повреждением памяти, устранена путем улучшения блокировки.
CVE-2018-4242: Чжуо Лян (Zhuo Liang) из группы Nirvan компании Qihoo 360
ICU
Целевые продукты: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6
Воздействие. Обработка вредоносной строки может приводить к повреждению динамической памяти.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2018-4394: Эрик Фербругген (Erik Verbruggen) из The Qt Company
Драйвер видеокарты Intel
Целевые продукты: ОС macOS Sierra 10.12.6
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4334: Йен Бир (Ian Beer) из подразделения Google Project Zero
Драйвер видеокарты Intel
Целевые продукты: macOS High Sierra 10.13.6
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшения обработки ввода.
CVE-2018-4396: Ю Ван (Yu Wang) из Didi Research America
CVE-2018-4418: Ю Ван (Yu Wang) из Didi Research America
Драйвер видеокарты Intel
Целевые продукты: macOS High Sierra 10.13.6
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2018-4350: Ю Ван (Yu Wang) из Didi Research America
Драйвер видеокарты Intel
Целевые продукты: macOS Mojave 10.14
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.
CVE-2018-4421: Тайлер Боуэн (Tyler Bohan) из Cisco Talos
IOGraphics
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4422: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
IOHIDFamily
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2018-4408: Йен Бир (Ian Beer) из подразделения Google Project Zero
IOKit
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4402: пользователь Proteas из группы Nirvan в Qihoo 360
IOKit
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Вредоносное приложение может выходить за границы изолированной среды.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4341: Йен Бир (Ian Beer) из подразделения Google Project Zero
CVE-2018-4354: Йен Бир (Ian Beer) из подразделения Google Project Zero
IOUserEthernet
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4401: компания Apple
IPSec
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Приложение может получить повышенные привилегии.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2018-4371: Тим Мичауд (Tim Michaud, @TimGMichaud) из группы Leviathan Security
Ядро
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем удаления уязвимого кода.
CVE-2018-4420: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)
Ядро
Целевые продукты: macOS High Sierra 10.13.6
Воздействие. Вредоносная программа может вызвать утечку конфиденциальной информации пользователя.
Описание. При совершении вызовов интерфейса API с преимущественным правом возникала проблема доступа. Проблема устранена путем дополнительных ограничений.
CVE-2018-4399: Фабиано Анемоне (Fabiano Anemone, @anoane)
Ядро
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4340: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)
CVE-2018-4419: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)
CVE-2018-4425: пользователь cc, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative, Цзювей Лин (Juwei Lin, @panicaII) из компании Trend Micro, сотрудничающий с ней в рамках программы Zero Day Initiative
Ядро
Целевые продукты: ОС macOS Sierra 10.12.6
Воздействие. Подключение вредоносной сети NFS может привести к выполнению произвольного кода с системными привилегиями.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки обращений к памяти.
CVE-2018-4259: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com
CVE-2018-4286: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com
CVE-2018-4287: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com
CVE-2018-4288: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com
CVE-2018-4291: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com
Ядро
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.
CVE-2018-4413: Дзювей Лин (Juwei Lin, @panicaII) из отдела безопасности мобильных устройств в компании Trend Micro
Ядро
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить произвольный код
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.
CVE-2018-4407: Кевин Бэкхаус (Kevin Backhouse) из компании Semmle Ltd.
Ядро
Целевые продукты: macOS Mojave 10.14
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема переполнения буфера устранена путем улучшенной проверки размера.
CVE-2018-4424: Сильвио Цезаре (Dr. Silvio Cesare) из компании InfoSect
LinkPresentation
Целевые продукты: ОС macOS Sierra 10.12.6
Воздействие. Обработка вредоносного текстового сообщения может привести к подмене пользовательского интерфейса.
Описание. При обработке URL-адресов возникала проблема подмены URL-адресов. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2018-4187: Роман Мюллер (Roman Mueller, @faker_) и Чжиянг Цзенг (Zhiyang Zeng, @Wester) из подразделения Tencent по разработке платформы безопасности
Окно входа
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Локальный пользователь может вызвать отказ в обслуживании.
Описание. Проблема с проверкой устранена путем улучшения логики.
CVE-2018-4348: Кен Ганнон (Ken Gannon) и Кристиан Демко (Christian Demko) из компании MWR InfoSecurity
Почта
Целевые продукты: macOS Mojave 10.14
Воздействие. Обработка вредоносного почтового сообщения может привести к подмене пользовательского интерфейса.
Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.
CVE-2018-4389: отдел по борьбе с угрозами безопасности Dropbox, Теодор Рагнар Гисласон (Theodor Ragnar Gislason) из компании Syndis
mDNSOffloadUserClient
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4326: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative, Чжуо Лян (Zhuo Liang) из группы Nirvan в Qihoo 360
MediaRemote
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.
Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.
CVE-2018-4310: пользователь CodeColorist из Ant-Financial LightYear Labs
Микрокоманды
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Системы, оснащенные микропроцессорами со спекулятивным выполнением команд и спекулятивным считыванием системных реестров, могут допускать несанкционированное раскрытие системных параметров злоумышленнику с локальным пользовательским доступом посредством анализа данных через сторонний канал.
Описание. Проблема с раскрытием информации была устранена путем обновления микрокоманд. Таким образом при работе с отдельными системными реестрами исключена утечка данных через сторонний канал спекулятивного выполнения.
CVE-2018-3640: Иннокентий Сенновский (Innokentiy Sennovskiy) из компании BiZone LLC (bi.zone), Зденек Сойка (Zdenek Sojka), Рудольф Марек (Rudolf Marek) и Алекс Зуэпке (Alex Zuepke) из компании SYSGO AG (sysgo.com)
NetworkExtension
Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Подключение к VPN-серверу может приводить к утечке запросов DNS в адрес прокси-сервера с поддержкой DNS.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2018-4369: анонимный исследователь
Perl
Целевые продукты: ОС macOS Sierra 10.12.6
Воздействие. В Perl возникало несколько проблемы переполнения буфера.
Описание. Эти проблемы в Perl были устранены путем улучшенной обработки памяти.
CVE-2018-6797: Брайан Карпентер (Brian Carpenter)
Ruby
Целевые продукты: ОС macOS Sierra 10.12.6
Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Воздействие. В этом обновлении был устранен ряд проблем с Ruby.
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
Безопасность
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Обработка вредоносного сообщения с подписью S/MIME может приводить к отказу в обслуживании.
Описание. Проблема с проверкой устранена путем улучшения логики.
CVE-2018-4400: Юкинобу Нагаясу (Yukinobu Nagayasu) из компании LAC Co., Ltd.
Безопасность
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Локальный пользователь может вызвать отказ в обслуживании.
Описание. Проблема устранена путем улучшения проверок.
CVE-2018-4395: Патрик Уордл (Patrick Wardle) из компании Digita Security
Spotlight
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4393: Луфен Ли (Lufeng Li)
Symptom Framework
Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2018-4203: Бруно Кит (Bruno Keith, @bkth_), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Wi-Fi
Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14
Воздействие. Злоумышленник с преимущественным положением в сети может вызвать отказ в обслуживании.
Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки.
CVE-2018-4368: Милан Штуте (Milan Stute) и Алекс Мариотто (Alex Mariotto) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете
Дополнительные благодарности
Календарь
Выражаем благодарность Мэттью Томасу (Matthew Thomas) из Verisign за оказанную помощь.
coreTLS
Выражаем благодарность за помощь Эйялу Ронену (Eyal Ronen) и Ади Шамиру (Adi Shamir) из Института Вейцмана, Роберту Гиллхэму (Robert Gillham) из Аделаидского университета, Дэниелу Генкину (Daniel Genkin) из Мичиганского университета, Дэвиду Вонгу (David Wong) из компании NCC Group и Ювалу Ярому (Yuval Yarom) из Аделаидского университета и группы Data61.
iBooks
Выражаем благодарность за помощь Сему Войгтлэндеру (Sem Voigtländer) из компании Fontys Hogeschool ICT.
Ядро
Выражаем благодарность Брэндону Азаду (Brandon Azad) за помощь.
LaunchServices
Выражаем благодарность за помощь Алоку Менгхраджани (Alok Menghrajani) из компании Square.
Быстрый просмотр
Выражаем благодарность за помощь пользователю lokihardt из подразделения Google Project Zero.
Безопасность
Выражаем благодарность за помощь Мариносу Бернитсасу (Marinos Bernitsas) из компании Parachute.
Терминал
Выражаем благодарность Федерико Бенто (Federico Bento) за помощь.
Time Machine
Выражаем благодарность Мэттью Томасу (Matthew Thomas) из Verisign за оказанную помощь.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.