Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
Дополнительные сведения о безопасности можно найти на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.
Документы Apple о безопасности идентифицируют уязвимости с помощью кода CVE-ID, когда это возможно.
ОС macOS High Sierra 10.13.6, обновление системы безопасности 2018-004 для ОС Sierra и обновление системы безопасности 2018-004 для ОС El Capitan
Дата выпуска: 9 июля 2018 г.
Учетные записи
Целевые продукты: ОС macOS High Sierra 10.13.5
Воздействие. Вредоносное приложение может получать доступ к идентификаторам Apple ID локальных пользователей.
Описание. Проблема с конфиденциальностью при обработке записей Open Directory устранена путем улучшенной индексации.
CVE-2018-4470: Джейкоб Гринфилд (Jacob Greenfield) из Commonwealth School
Запись добавлена 10 декабря 2018 г.
AMD
Целевые продукты: ОС macOS High Sierra 10.13.5
Воздействие. Вредоносное приложение может выявлять схему распределения памяти в ядре.
Описание. Проблема утечки информации решена посредством удаления уязвимого кода.
CVE-2018-4289: пользователь shrek_wzw из группы Nirvan в Qihoo 360
APFS
Целевые продукты: ОС macOS High Sierra 10.13.5
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4268: пользователь Mac, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Инфраструктура ATS
Целевые продукты: ОС macOS High Sierra 10.13.5
Воздействие. Вредоносное приложение может повышать уровень привилегий до корневого пользователя.
Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.
CVE-2018-4285: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)
Bluetooth
Целевые продукты: MacBook Pro (15 дюймов, 2018 г.) и MacBook Pro (13 дюймов, 2018 г., четыре порта Thunderbolt 3)
Проблемы на других моделях компьютеров Mac были устранены в версии macOS High Sierra 10.13.5.
Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может перехватывать трафик Bluetooth.
Описание. Возникала проблема проверки ввода Bluetooth. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2018-5383: Лиор Нойман (Lior Neumann) и Эли Бихам (Eli Biham)
Запись добавлена 23 июля 2018 г.
CFNetwork
Целевые продукты: ОС macOS High Sierra 10.13.5
Воздействие. В браузере Safari могут неожиданно сохраняться файлы cookie.
Описание. Проблема с управлением файлами cookie устранена путем улучшенной проверки.
CVE-2018-4293: анонимный исследователь
CoreCrypto
Целевые продукты: OS X El Capitan 10.11.6 и macOS Sierra 10.12.6
Воздействие. Вредоносное приложение может выходить за границы изолированной среды.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2018-4269: Абрахам Масри (Abraham Masri, @cheesecakeufo)
CUPS
Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.5
Воздействие. Злоумышленник с преимущественным положением в сети может вызвать отказ в обслуживании.
Описание. Проблема разыменования нулевого указателя решена посредством улучшения процедуры проверки.
CVE-2018-4276: Якуб Йирасек (Jakub Jirasek) из группы Secunia Research в компании Flexera
Запись добавлена 25 сентября 2018 г.
DesktopServices
Целевые продукты: ОС macOS Sierra 10.12.6
Воздействие. Локальный пользователь может просматривать конфиденциальные пользовательские данные.
Описание. Имела место проблема с разрешениями, в результате которой неправильно предоставлялось разрешение на выполнение. Она была устранена путем улучшенной проверки прав доступа.
CVE-2018-4178: Арьен Хендриксе (Arjen Hendrikse)
Драйвер видеокарты Intel
Целевые продукты: ОС macOS High Sierra 10.13.5
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2018-4456: Тайлер Боуэн (Tyler Bohan) из Cisco Talos
Запись обновлена 22 января 2019 г.
IOGraphics
Целевые продукты: ОС macOS High Sierra 10.13.5
Воздействие. Локальный пользователь может считывать память ядра.
Описание. Возникала проблема чтения за пределами выделенной области памяти, приводившая к утечке памяти ядра. Проблема устранена путем улучшенной проверки ввода.
CVE-2018-4283: пользователь @panicaII, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Ядро
Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.5
Воздействие. Системы на основе микропроцессоров Intel® Core потенциально могут позволять одному локальному процессу логически выводить данные из-за уязвимости Lazy FP State Restore в другом процессе через боковой канал спекулятивного выполнения.
Описание. Возникновение уязвимости Lazy FP State Restore вместо энергичного сохранения и восстановления состояния при переключении контекста. Пассивно восстанавливаемые состояния потенциально подвержены воздействию уязвимостей, когда один процесс может логически выводить регистрационные значения других процессов через боковой канал спекулятивного выполнения, который считывает их значение.
Проблема с утечкой информация устранена путем очистки состояния регистра FP/SIMD.
CVE-2018-3665: Джулиан Стеклина (Julian Stecklina) из Amazon Germany, Томас Прешер (Thomas Prescher) из Cyberus Technology GmbH (cyberus-technology.de), Зденек Сойка (Zdenek Sojka) из SYSGO AG (sysgo.com) и Колин Персиваль (Colin Percival)
Ядро
Целевые продукты: ОС macOS High Sierra 10.13.5
Воздействие. Подключение вредоносной сети NFS может привести к выполнению произвольного кода с системными привилегиями.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки обращений к памяти.
CVE-2018-4259: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com
CVE-2018-4286: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com
CVE-2018-4287: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com
CVE-2018-4288: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com
CVE-2018-4291: Кевин Бэкхаус (Kevin Backhouse) из компаний Semmle и LGTM.com
Запись добавлена 30 октября 2018 г.
libxpc
Целевые продукты: ОС OS X El Capitan 10.11.6, macOS Sierra 10.12.6 и macOS High Sierra 10.13.5
Воздействие. Приложение может получить повышенные привилегии.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки обращений к памяти.
CVE-2018-4280: Брэндон Азад (Brandon Azad)
libxpc
Целевые продукты: ОС macOS High Sierra 10.13.5
Воздействие. Вредоносное приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2018-4248: Брэндон Азад (Brandon Azad)
LinkPresentation
Целевые продукты: ОС macOS High Sierra 10.13.5
Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.
Описание. При обработке URL-адресов возникала проблема подмены URL-адресов. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2018-4277: пользователь xisigr из отдела Xuanwu Lab компании Tencent (tencent.com)
Perl
Целевые продукты: ОС macOS High Sierra 10.13.5
Воздействие. В Perl возникало несколько проблемы переполнения буфера.
Описание. Эти проблемы в Perl были устранены путем улучшенной обработки памяти.
CVE-2018-6797: Брайан Карпентер (Brian Carpenter)
CVE-2018-6913: Гуань Ёнг Ким (Gwan Yeong Kim)
Запись добавлена 30 октября 2018 г.
Ruby
Целевые продукты: ОС macOS High Sierra 10.13.5
Воздействие. Злоумышленник может удаленно вызвать неожиданное завершение работы приложения или выполнение произвольного кода.
Воздействие. В этом обновлении был устранен ряд проблем с Ruby.
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
Запись добавлена 30 октября 2018 г.
WebKit
Целевые продукты: ОС macOS High Sierra 10.13.5
Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.
Описание. При обработке URL-адресов возникала проблема подмены URL-адресов. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2018-4274: Томаш Боярский (Tomasz Bojarski)
Запись добавлена 28 июля 2020 г.
Дополнительные благодарности
Магазин App Store
Выражаем благодарность Джессе Эндалю (Jesse Endahl) и Стиви Грыцив (Stevie Hryciw) из Fleetsmith, а также Максу Белангеру (Max Bélanger) из Dropbox за оказанную помощь.
Запись добавлена 8 августа 2018 г.
Help Viewer
Выражаем благодарность Войцеху Регуле (Wojciech Reguła, @_r3ggi) из SecuRing за его помощь с четырьмя средствами защиты.
Ядро
Выражаем благодарность Цзювэю Линю (Juwei Lin, @panicaII) из компании Trend Micro, сотрудничающему с ней в рамках программы Zero Day Initiative, за оказанную помощь.
Безопасность
Выражаем благодарность Брэду Далстену (Brad Dahlsten) из Университета штата Айова за его помощь.