Obsah zabezpečenia v systéme macOS Mojave 10.14.1, aktualizácii zabezpečenia 2018-002 High Sierra a aktualizácii zabezpečenia 2018-005 Sierra

V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Mojave 10.14.1, aktualizácii zabezpečenia 2018-002 High Sierra a aktualizácii zabezpečenia 2018-005 Sierra.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

macOS Mojave 10.14.1, aktualizácia zabezpečenia 2018-002 High Sierra a aktualizácia zabezpečenia 2018-005 Sierra

afpserver

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Vzdialený útočník môže byť schopný útočiť na servery AFP cez klientov protokolu HTTP

Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4295: Jianjun Chen (@whucjj) z univerzity Čching-chua a UC Berkeley

AppleGraphicsControl

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4410: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

AppleGraphicsControl

Dostupné pre: macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2018-4417: Lee z tímu Information Security Lab univerzity Yonsei University v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

APR

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: V súčasti Perl dochádzalo k viacerým problémom s pretečením medzipamäte

Popis: V súčasti Perl dochádzalo k viacerým problémom, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-12613: Craig Young zo spoločnosti Tripwire VERT

CVE-2017-12618: Craig Young zo spoločnosti Tripwire VERT

ATS

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4411: lilang wu moony Li zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ATS

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Automator

Dostupné pre: macOS Mojave 10.14

Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom

Popis: Tento problém bol vyriešený odstránením dodatočných oprávnení.

CVE-2018-4468: Jeff Johnson z underpassapp.com

CFNetwork

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4126: Bruno Keith (@bkth_) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreAnimation

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4415: Liang Zhuo v spolupráci s programom SecuriTeam Secure Disclosure spoločnosti Beyond Security

CoreCrypto

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Útočník môže byť schopný zneužiť nedostatočne zabezpečené miesto v Miller-Rabinovom teste prvočíselnosti a nesprávne identifikovať prvočísla

Popis: V spôsobe určovania prvočísel dochádzalo k problému. Tento problém bol vyriešený používaním pseudonáhodných základov pri testovaní prvočísel.

CVE-2018-4398: Martin Albrecht, Jake Massimo a Kenny Paterson z univerzity Royal Holloway, University of London, a Juraj Somorovsky z Porúrskej univerzity v Bochume

CoreFoundation

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4412: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)

CUPS

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: V určitých konfiguráciách môže byť vzdialený útočník schopný nahradiť obsah správy z tlačového servera ľubovoľným obsahom

Popis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4153: Michael Hanselmann z tímu hansmi.ch

CUPS

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4406: Michael Hanselmann z tímu hansmi.ch

Slovník

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Analýza súboru slovníka so škodlivým kódom môže viesť k sprístupneniu používateľských informácií

Popis: Dochádzalo k problému s overovaním, ktorý umožňoval prístup k lokálnym súborom. Tento problém bol vyriešený vylepšením čistenia vstupu.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) zo spoločnosti SecuRing

Dock

Dostupné pre: macOS Mojave 10.14

Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom

Popis: Tento problém bol vyriešený odstránením dodatočných oprávnení.

CVE-2018-4403: Patrick Wardle zo spoločnosti Digita Security

dyld

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4423: Youfu Zhang z tímu Chaitin Security Research Lab (@ChaitinTech)

EFI

Dostupné pre: macOS High Sierra 10.13.6

Dopad: Systémy s mikroprocesormi, ktoré používajú špekulatívne vykonávanie kódu a špekulatívne čítanie pamäte skôr, ako sú známe adresy všetkých predchádzajúcich zápisov do pamäte, môžu útočníkovi s prístupom lokálneho používateľa umožňovať neoprávnené získanie informácií prostredníctvom analýzy vedľajšieho kanálu

Popis: Problém s únikom informácií bol vyriešený aktualizáciou mikrokódu. Zaistilo sa tým, že staršie dáta načítané z adries, na ktoré sa nedávno zapisovalo, nie je možné čítať prostredníctvom špekulatívneho vykonávania kódu v bočnom kanáli.

CVE-2018-3639: Jann Horn (@tehjh) z tímu Google Project Zero (GPZ), Ken Johnson z tímu Microsoft Security Response Center (MSRC)

EFI

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému

Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2018-4342: Timothy Perfitt zo spoločnosti Twocanoes Software

Foundation

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4304: jianan.huang (@Sevck)

Grand Central Dispatch

Dostupné pre: macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4426: Brandon Azad

Heimdal

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4331: Brandon Azad

Hypervízor

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Systémy s mikroprocesormi, ktoré používajú špekulatívne vykonávanie kódu a preklady adries, môžu útočníkovi s prístupom lokálneho používateľa a s povolením hosťa v operačnom systéme umožňovať neoprávnené získanie informácií uložených vo vyrovnávacej pamäti dát L1 prostredníctvom zlyhania stránky terminálu a analýzy vedľajšieho kanálu

Popis: Problém s únikom informácií bol vyriešený vyprázdnením vyrovnávacej pamäte dát L1 pri zadaní údajov z virtuálneho počítača.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse a Thomas F. Wenisch z Michiganskej univerzity, Mark Silberstein a Marina Minkin zo spoločnosti Technion, Raoul Strackx, Jo Van Bulck a Frank Piessens z univerzity KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun a Kekai Hu zo spoločnosti Intel Corporation, Yuval Yarom z Adelaidskej univerzity

Hypervízor

Dostupné pre: macOS Sierra 10.12.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.

CVE-2018-4242: Zhuo Liang z tímu Qihoo 360 Nirvan

ICU

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6

Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4394: Erik Verbruggen zo spoločnosti The Qt Company

Grafický ovládač Intel

Dostupné pre: macOS Sierra 10.12.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4334: Ian Beer z tímu Google Project Zero

Grafický ovládač Intel

Dostupné pre: macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2018-4396: Yu Wang z tímu Didi Research America

CVE-2018-4418: Yu Wang z tímu Didi Research America

Grafický ovládač Intel

Dostupné pre: macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4350: Yu Wang z tímu Didi Research America

Grafický ovládač Intel

Dostupné pre: macOS Mojave 10.14

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4421: Tyler Bohan zo spoločnosti Cisco Talos

IOGraphics

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4422: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

IOHIDFamily

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4408: Ian Beer z tímu Google Project Zero

IOKit

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4402: Proteas z tímu Qihoo 360 Nirvan

IOKit

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Škodlivá aplikácia môže byť schopná pracovať mimo svojho izolovaného priestoru

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4341: Ian Beer z tímu Google Project Zero

CVE-2018-4354: Ian Beer z tímu Google Project Zero

IOUserEthernet

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4401: Apple

IPSec

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4371: Tim Michaud (@TimGMichaud) z tímu Leviathan Security Group

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Jadro

Dostupné pre: macOS High Sierra 10.13.6

Dopad: Aplikácia so škodlivým kódom môže byť schopná spôsobiť únik citlivých používateľských informácií

Popis: Vo volaniach rozhrania API s oprávneniami dochádzalo k problému s prístupom. Tento problém bol vyriešený používaním ďalších obmedzení.

CVE-2018-4399: Fabiano Anemone (@anoane)

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4419: Mohamed Ghannam (@_simo36)

CVE-2018-4425: cc v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Juwei Lin (@panicaII) zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Jadro

Dostupné pre: macOS Sierra 10.12.6

Dopad: Pripojenie škodlivého sieťového zdieľania NFS môže viesť k spusteniu ľubovoľného kódu so systémovými oprávneniami

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2018-4259: Kevin Backhouse zo spoločnosti Semmle a LGTM.com

CVE-2018-4286: Kevin Backhouse zo spoločnosti Semmle a LGTM.com

CVE-2018-4287: Kevin Backhouse zo spoločnosti Semmle a LGTM.com

CVE-2018-4288: Kevin Backhouse zo spoločnosti Semmle a LGTM.com

CVE-2018-4291: Kevin Backhouse zo spoločnosti Semmle a LGTM.com

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4413: Juwei Lin (@panicaII) z tímu TrendMicro Mobile Security Team

Jadro

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4407: Kevin Backhouse zo spoločnosti Semmle Ltd.

Jadro

Dostupné pre: macOS Mojave 10.14

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.

CVE-2018-4424: Dr. Silvio Cesare zo spoločnosti InfoSect

LinkPresentation

Dostupné pre: macOS Sierra 10.12.6

Dopad: Spracovanie textovej správy so škodlivým kódom môže viesť k sfalšovaniu používateľského rozhrania

Popis: Pri spracovávaní adries URL dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) z oddelenia Tencent Security Platform Department

Prihlasovacie okno

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Lokálny používateľ môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2018-4348: Ken Gannon zo spoločnosti MWR InfoSecurity a Christian Demko zo spoločnosti MWR InfoSecurity

Mail

Dostupné pre: macOS Mojave 10.14

Dopad: Spracovanie e-mailovej správy so škodlivým kódom môže viesť k sfalšovaniu používateľského rozhrania

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason zo spoločnosti Syndis

mDNSOffloadUserClient

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4326: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Zhuo Liang z tímu Qihoo 360 Nirvan Team

MediaRemote

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru.

CVE-2018-4310: CodeColorist z tímu Ant-Financial LightYear Labs

Mikrokód

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Systémy s mikroprocesormi, ktoré používajú špekulatívne vykonávanie kódu a špekulatívne čítanie systémových registrov, môžu útočníkovi s prístupom lokálneho používateľa umožňovať neoprávnené získanie systémových parametrov prostredníctvom analýzy bočného kanálu

Popis: Problém s únikom informácií bol vyriešený aktualizáciou mikrokódu. Zaistilo sa tým, že systémové registre špecifické pre implementáciu nie je možné získať prostredníctvom špekulatívneho vykonávania kódu v bočnom kanáli.

CVE-2018-3640: Innokentiy Sennovskiy zo spoločnosti BiZone LLC (bi.zone), Zdenek Sojka, Rudolf Marek a Alex Zuepke zo spoločnosti SYSGO AG (sysgo.com)

NetworkExtension

Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Pripojenie k serveru VPN môže spôsobiť únik dotazov DNS na proxy server DNS

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4369: Anonymný výskumník

Perl

Dostupné pre: macOS Sierra 10.12.6

Dopad: V súčasti Perl dochádzalo k viacerým problémom s pretečením medzipamäte

Popis: V súčasti Perl dochádzalo k viacerým problémom, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2018-6797: Brian Carpenter

Ruby

Dostupné pre: macOS Sierra 10.12.6

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

Popis: V tejto aktualizácii bolo vyriešených viacero problémov v súčasti Ruby.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

Zabezpečenie

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Spracovanie podpísanej správy S/MIME so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2018-4400: Yukinobu Nagayasu zo spoločnosti LAC Co., Ltd.

Zabezpečenie

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Lokálny používateľ môže byť schopný spôsobiť odmietnutie služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2018-4395: Patrick Wardle zo spoločnosti Digita Security

Spotlight

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4393: Lufeng Li

Zostava symptómov

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2018-4203: Bruno Keith (@bkth_) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Wi-Fi

Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4368: Milan Stute a Alex Mariotto z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte

Ďalšie poďakovanie

Kalendár

Poďakovanie za pomoci si zaslúži Matthew Thomas zo spoločnosti Verisign.

coreTLS

Poďakovanie za pomoc si zaslúži Eyal Ronen (z Weizmannovho inštitútu), Robert Gillham (z Adelaidskej univerzity), Daniel Genkin (z Michiganskej univerzity), Adi Shamir (z Weizmannovho inštitútu), David Wong (zo spoločnosti NCC Group) a Yuval Yarom (z Adelaidskej univerzity a spoločnosti Data61).

iBooks

Poďakovanie za pomoc si zaslúži Sem Voigtländer z univerzity Fontys Hogeschool ICT.

Jadro

Poďakovanie za pomoc si zaslúži Brandon Azad.

LaunchServices

Poďakovanie za pomoc si zaslúži Alok Menghrajani zo spoločnosti Square.

Rýchly náhľad

Poďakovanie za pomoc si zaslúži lokihardt z tímu Google Project Zero.

Zabezpečenie

Poďakovanie za pomoci si zaslúži Marinos Bernitsas zo spoločnosti Parachute.

Terminál

Poďakovanie za pomoc si zaslúži Federico Bento.

Time Machine

Poďakovanie za pomoci si zaslúži Matthew Thomas zo spoločnosti Verisign.