Сведения о проблемах системы безопасности, устраняемых обновлением macOS Mojave 10.14.1, обновлением системы безопасности 2018-002 для High Sierra и 2018-005 для Sierra

В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Mojave 10.14.1, обновлением системы безопасности 2018-002 для High Sierra и 2018-005 для Sierra.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

Документы Apple о безопасности идентифицируют уязвимости с помощью кода CVE-ID, когда это возможно.

macOS Mojave 10.14.1, обновление системы безопасности 2018-002 для High Sierra и 2018-005 для Sierra

Afpserver

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Удаленный злоумышленник может атаковать серверы AFP через клиенты HTTP.

Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.

CVE-2018-4295: Цзянцзюн Чен (Jianjun Chen, @whucjj) из университета Цинхуа и UC Berkeley

AppleGraphicsControl

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4410: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

AppleGraphicsControl

Целевые продукты: macOS High Sierra 10.13.6

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшения обработки ввода.

CVE-2018-4417: пользователь Ли (Lee) из отдела информационной безопасности Университета Енсе, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

APR

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. В Perl возникало несколько проблемы переполнения буфера.

Описание. Эти проблемы в Perl были устранены путем улучшенной обработки памяти.

CVE-2017-12613: Крег Янг (Craig Young) из подразделения VERT компании Tripwire

CVE-2017-12618: Крег Янг (Craig Young) из подразделения VERT компании Tripwire

Инфраструктура ATS

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Вредоносное приложение может повышать уровень привилегий.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4411: Лиланг Ву (Lilang Wu) и Муни Ли (Moony Li) из компании Trend Micro, сотрудничающие с ней в рамках программы Zero Day Initiative

Инфраструктура ATS

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2018-4308: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)

Automator

Целевые продукты: macOS Mojave 10.14

Воздействие. Вредоносное приложение может получить доступ к файлам, предназначенным для ограниченного использования.

Описание. Проблема устранена путем удаления дополнительных прав.

CVE-2018-4468: Джефф Джонсон (Jeff Johnson) из underpassapp.com

CFNetwork

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2018-4126: Бруно Кит (Bruno Keith, @bkth_), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CoreAnimation

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2018-4415: Лян Чжуо (Liang Zhuo), сотрудничающий с компанией Beyond Security в рамках программы SecuriTeam Secure Disclosure

CoreCrypto

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Злоумышленник может воспользоваться уязвимостью в тесте Миллера — Рабина для определения простых чисел, в результате чего последние определяются ошибочно.

Описание. Возникала проблема со способом определения простых чисел. Проблема была устранена путем использования псевдослучайных баз для определения простых чисел.

CVE-2018-4398: Мартин Альбрехт (Martin Albrecht), Джейк Массимо (Jake Massimo) и Кенни Патерсон (Kenny Paterson) из колледжа Ройал-Холлоуэй при Лондонском университете, а также Юрий Соморовский (Juraj Somorovsky) из Рурского университета в Бохуме

CoreFoundation

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Вредоносное приложение может повышать уровень привилегий.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4412: Национальный центр кибербезопасности Великобритании (NCSC)

CUPS

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. В определенных конфигурациях удаленный злоумышленник может заменять содержимое сообщения от сервера печати произвольным содержимым.

Описание. Проблема внедрения устранена путем улучшенной проверки.

CVE-2018-4153: Микаэль Хансельманн (Michael Hanselmann, hansmi.ch)

CUPS

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Злоумышленник с преимущественным положением в сети может вызвать отказ в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки.

CVE-2018-4406: Микаэль Хансельманн (Michael Hanselmann, hansmi.ch)

Словарь

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Анализ вредоносного файла словаря может привести к разглашению информации пользователя.

Описание. Существовала проблема проверки, открывавшая доступ к локальным файлам. Она устранена путем улучшенной очистки ввода.

CVE-2018-4346: Войцех Регула (Wojciech Reguła, @_r3ggi) из компании SecuRing

Панель Dock

Целевые продукты: macOS Mojave 10.14

Воздействие. Вредоносное приложение может получить доступ к файлам, предназначенным для ограниченного использования.

Описание. Проблема устранена путем удаления дополнительных прав.

CVE-2018-4403: Патрик Уордл (Patrick Wardle) из компании Digita Security

dyld

Целевые продукты: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6

Воздействие. Вредоносное приложение может повышать уровень привилегий.

Описание. Проблема с логикой устранена путем улучшенной проверки.

CVE-2018-4423: Юфу Жанг (Youfu Zhang) из Chaitin Security Research Lab (@ChaitinTech)

EFI

Целевые продукты: macOS High Sierra 10.13.6

Воздействие. Системы, оснащенные микропроцессорами со спекулятивным выполнением команд и спекулятивным считыванием памяти до того, как станут известны все предыдущие случаи записи в память, могут допускать несанкционированное раскрытие информации злоумышленнику с локальным пользовательским доступом посредством анализа данных через сторонний канал.

Описание. Проблема с раскрытием информации была устранена путем обновления микрокоманд. Таким образом данные, полученные в результате более давнего считывания адресов, на которые недавно отправлялись сообщения, не могут быть считаны через сторонний канал.

CVE-2018-3639: Янн Хорн (Jann Horn, @tehjh) из подразделения Google Project Zero (GPZ) и Кен Джонсон (Ken Johnson) из центра Microsoft по реагированию на инциденты, связанные с безопасностью (MSRC)

EFI

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Локальный пользователь может изменять защищенные участки файловой системы.

Описание. Проблема конфигурации решена посредством добавления дополнительных ограничений.

CVE-2018-4342: Тимоти Перфитт (Timothy Perfitt) из компании Twocanoes Software

Платформа

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Обработка вредоносного текстового файла может приводить к отказу в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки.

CVE-2018-4304: Цзянань Хуан (Jianan Huang, @Sevck)

Grand Central Dispatch

Целевые продукты: macOS High Sierra 10.13.6

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2018-4426: Брэндон Азад (Brandon Azad)

Heimdal

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2018-4331: Брэндон Азад (Brandon Azad)

Гипервизор

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Системы, оснащенные микропроцессорами со спекулятивным выполнением команд и трансляцией адресов, могут допускать несанкционированное раскрытие информации, хранящейся в кэше данных L1, злоумышленнику с локальным пользовательским доступом и привилегированным положением в гостевой операционной системе в результате сбоя на конечной странице и путем анализа данных через сторонний канал.

Описание. Проблема с раскрытием информации устранена путем сброса кэша данных L1 на входе виртуальной машины.

CVE-2018-3646: Барис Касикчи (Baris Kasikci), Дэниэл Генкин (Daniel Genkin), Офир Вайссе (Ofir Weisse) и Томас Ф. Вениш (Thomas F. Wenisch) из Мичиганского университета, Марк Зилберштайн (Mark Silberstein) и Марина Минкин (Marina Minkin) из университета Technion, Рауль Штракс (Raoul Strackx), Йо Ван Булк (Jo Van Bulck) и Франк Писсенс (Frank Piessens) из Лёвенского католического университета, Родриго Бранко (Rodrigo Branco), Энрике Каваками (Henrique Kawakami), Ке Сун (Ke Sun) и Кекаи Ху (Kekai Hu) из корпорации Intel, Ювал Яром (Yuval Yarom) из Аделаидского университета

Гипервизор

Целевые продукты: ОС macOS Sierra 10.12.6

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Уязвимость, связанная с повреждением памяти, устранена путем улучшения блокировки.

CVE-2018-4242: Чжуо Лян (Zhuo Liang) из группы Nirvan компании Qihoo 360

ICU

Целевые продукты: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6

Воздействие. Обработка вредоносной строки может приводить к повреждению динамической памяти.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4394: Эрик Фербругген (Erik Verbruggen) из The Qt Company

Драйвер видеокарты Intel

Целевые продукты: ОС macOS Sierra 10.12.6

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2018-4334: Йен Бир (Ian Beer) из подразделения Google Project Zero

Драйвер видеокарты Intel

Целевые продукты: macOS High Sierra 10.13.6

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшения обработки ввода.

CVE-2018-4396: Ю Ван (Yu Wang) из Didi Research America

CVE-2018-4418: Ю Ван (Yu Wang) из Didi Research America

Драйвер видеокарты Intel

Целевые продукты: macOS High Sierra 10.13.6

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4350: Ю Ван (Yu Wang) из Didi Research America

Драйвер видеокарты Intel

Целевые продукты: macOS Mojave 10.14

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.

CVE-2018-4421: Тайлер Боуэн (Tyler Bohan) из Cisco Talos

IOGraphics

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2018-4422: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

IOHIDFamily

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4408: Йен Бир (Ian Beer) из подразделения Google Project Zero

IOKit

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2018-4402: пользователь Proteas из группы Nirvan в Qihoo 360

IOKit

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Вредоносное приложение может выходить за границы изолированной среды.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2018-4341: Йен Бир (Ian Beer) из подразделения Google Project Zero

CVE-2018-4354: Йен Бир (Ian Beer) из подразделения Google Project Zero

IOUserEthernet

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2018-4401: компания Apple

IPSec

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Приложение может получить повышенные привилегии.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2018-4371: Тим Мичауд (Tim Michaud, @TimGMichaud) из группы Leviathan Security

Ядро

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем удаления уязвимого кода.

CVE-2018-4420: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)

Ядро

Целевые продукты: macOS High Sierra 10.13.6

Воздействие. Вредоносная программа может вызвать утечку конфиденциальной информации пользователя.

Описание. При совершении вызовов интерфейса API с преимущественным правом возникала проблема доступа. Проблема устранена путем дополнительных ограничений.

CVE-2018-4399: Фабиано Анемоне (Fabiano Anemone, @anoane)

Ядро

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2018-4340: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)

CVE-2018-4419: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)

CVE-2018-4425: пользователь cc, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative, Цзювей Лин (Juwei Lin, @panicaII) из компании Trend Micro, сотрудничающий с ней в рамках программы Zero Day Initiative

Ядро

Целевые продукты: ОС macOS Sierra 10.12.6

Воздействие. Подключение вредоносной сети NFS может привести к выполнению произвольного кода с системными привилегиями.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки обращений к памяти.

CVE-2018-4259: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com

CVE-2018-4286: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com

CVE-2018-4287: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com

CVE-2018-4288: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com

CVE-2018-4291: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com

Ядро

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.

CVE-2018-4413: Дзювей Лин (Juwei Lin, @panicaII) из отдела безопасности мобильных устройств в компании Trend Micro

Ядро

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить произвольный код

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2018-4407: Кевин Бэкхаус (Kevin Backhouse) из компании Semmle Ltd.

Ядро

Целевые продукты: macOS Mojave 10.14

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема переполнения буфера устранена путем улучшенной проверки размера.

CVE-2018-4424: Сильвио Цезаре (Dr. Silvio Cesare) из компании InfoSect

LinkPresentation

Целевые продукты: ОС macOS Sierra 10.12.6

Воздействие. Обработка вредоносного текстового сообщения может привести к подмене пользовательского интерфейса.

Описание. При обработке URL-адресов возникала проблема подмены URL-адресов. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2018-4187: Роман Мюллер (Roman Mueller, @faker_) и Чжиянг Цзенг (Zhiyang Zeng, @Wester) из подразделения Tencent по разработке платформы безопасности

Окно входа

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Локальный пользователь может вызвать отказ в обслуживании.

Описание. Проблема с проверкой устранена путем улучшения логики.

CVE-2018-4348: Кен Ганнон (Ken Gannon) и Кристиан Демко (Christian Demko) из компании MWR InfoSecurity

Почта

Целевые продукты: macOS Mojave 10.14

Воздействие. Обработка вредоносного почтового сообщения может привести к подмене пользовательского интерфейса.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2018-4389: отдел по борьбе с угрозами безопасности Dropbox, Теодор Рагнар Гисласон (Theodor Ragnar Gislason) из компании Syndis

mDNSOffloadUserClient

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2018-4326: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative, Чжуо Лян (Zhuo Liang) из группы Nirvan в Qihoo 360

MediaRemote

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.

Описание. Проблема доступа устранена путем ввода дополнительных ограничений изолированной среды.

CVE-2018-4310: пользователь CodeColorist из Ant-Financial LightYear Labs

Микрокоманды

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Системы, оснащенные микропроцессорами со спекулятивным выполнением команд и спекулятивным считыванием системных реестров, могут допускать несанкционированное раскрытие системных параметров злоумышленнику с локальным пользовательским доступом посредством анализа данных через сторонний канал.

Описание. Проблема с раскрытием информации была устранена путем обновления микрокоманд. Таким образом при работе с отдельными системными реестрами исключена утечка данных через сторонний канал спекулятивного выполнения.

CVE-2018-3640: Иннокентий Сенновский (Innokentiy Sennovskiy) из компании BiZone LLC (bi.zone), Зденек Сойка (Zdenek Sojka), Рудольф Марек (Rudolf Marek) и Алекс Зуэпке (Alex Zuepke) из компании SYSGO AG (sysgo.com)

NetworkExtension

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Подключение к VPN-серверу может приводить к утечке запросов DNS в адрес прокси-сервера с поддержкой DNS.

Описание. Логическая проблема устранена путем улучшенного управления состояниями.

CVE-2018-4369: анонимный исследователь

Perl

Целевые продукты: ОС macOS Sierra 10.12.6

Воздействие. В Perl возникало несколько проблемы переполнения буфера.

Описание. Эти проблемы в Perl были устранены путем улучшенной обработки памяти.

CVE-2018-6797: Брайан Карпентер (Brian Carpenter)

Ruby

Целевые продукты: ОС macOS Sierra 10.12.6

Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.

Воздействие. В этом обновлении был устранен ряд проблем с Ruby.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

Безопасность

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Обработка вредоносного сообщения с подписью S/MIME может приводить к отказу в обслуживании.

Описание. Проблема с проверкой устранена путем улучшения логики.

CVE-2018-4400: Юкинобу Нагаясу (Yukinobu Nagayasu) из компании LAC Co., Ltd.

Безопасность

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Локальный пользователь может вызвать отказ в обслуживании.

Описание. Проблема устранена путем улучшения проверок.

CVE-2018-4395: Патрик Уордл (Patrick Wardle) из компании Digita Security

Spotlight

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Приложение может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2018-4393: Луфен Ли (Lufeng Li)

Symptom Framework

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2018-4203: Бруно Кит (Bruno Keith, @bkth_), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Wi-Fi

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14

Воздействие. Злоумышленник с преимущественным положением в сети может вызвать отказ в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки.

CVE-2018-4368: Милан Штуте (Milan Stute) и Алекс Мариотто (Alex Mariotto) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете

Дополнительные благодарности

Календарь

Выражаем благодарность Мэттью Томасу (Matthew Thomas) из Verisign за оказанную помощь.

coreTLS

Выражаем благодарность за помощь Эйялу Ронену (Eyal Ronen) и Ади Шамиру (Adi Shamir) из Института Вейцмана, Роберту Гиллхэму (Robert Gillham) из Аделаидского университета, Дэниелу Генкину (Daniel Genkin) из Мичиганского университета, Дэвиду Вонгу (David Wong) из компании NCC Group и Ювалу Ярому (Yuval Yarom) из Аделаидского университета и группы Data61.

iBooks

Выражаем благодарность за помощь Сему Войгтлэндеру (Sem Voigtländer) из компании Fontys Hogeschool ICT.

Ядро

Выражаем благодарность Брэндону Азаду (Brandon Azad) за помощь.

LaunchServices

Выражаем благодарность за помощь Алоку Менгхраджани (Alok Menghrajani) из компании Square.

Быстрый просмотр

Выражаем благодарность за помощь пользователю lokihardt из подразделения Google Project Zero.

Безопасность

Выражаем благодарность за помощь Мариносу Бернитсасу (Marinos Bernitsas) из компании Parachute.

Терминал

Выражаем благодарность Федерико Бенто (Federico Bento) за помощь.

Time Machine

Выражаем благодарность Мэттью Томасу (Matthew Thomas) из Verisign за оказанную помощь.