Obsah zabezpečenia v systéme macOS Mojave 10.14.1, aktualizácii zabezpečenia 2018-002 High Sierra a aktualizácii zabezpečenia 2018-005 Sierra
V tomto dokumente sa popisuje obsah zabezpečenia v systéme macOS Mojave 10.14.1, aktualizácii zabezpečenia 2018-002 High Sierra a aktualizácii zabezpečenia 2018-005 Sierra.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
macOS Mojave 10.14.1, aktualizácia zabezpečenia 2018-002 High Sierra a aktualizácia zabezpečenia 2018-005 Sierra
afpserver
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Vzdialený útočník môže byť schopný útočiť na servery AFP cez klientov protokolu HTTP
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4295: Jianjun Chen (@whucjj) z univerzity Čching-chua a UC Berkeley
AppleGraphicsControl
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4410: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
AppleGraphicsControl
Dostupné pre: macOS High Sierra 10.13.6
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2018-4417: Lee z tímu Information Security Lab univerzity Yonsei University v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
APR
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: V súčasti Perl dochádzalo k viacerým problémom s pretečením medzipamäte
Popis: V súčasti Perl dochádzalo k viacerým problémom, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-12613: Craig Young zo spoločnosti Tripwire VERT
CVE-2017-12618: Craig Young zo spoločnosti Tripwire VERT
ATS
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4411: lilang wu moony Li zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
ATS
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2018-4308: Mohamed Ghannam (@_simo36)
Automator
Dostupné pre: macOS Mojave 10.14
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom
Popis: Tento problém bol vyriešený odstránením dodatočných oprávnení.
CVE-2018-4468: Jeff Johnson z underpassapp.com
CFNetwork
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4126: Bruno Keith (@bkth_) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreAnimation
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4415: Liang Zhuo v spolupráci s programom SecuriTeam Secure Disclosure spoločnosti Beyond Security
CoreCrypto
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Útočník môže byť schopný zneužiť nedostatočne zabezpečené miesto v Miller-Rabinovom teste prvočíselnosti a nesprávne identifikovať prvočísla
Popis: V spôsobe určovania prvočísel dochádzalo k problému. Tento problém bol vyriešený používaním pseudonáhodných základov pri testovaní prvočísel.
CVE-2018-4398: Martin Albrecht, Jake Massimo a Kenny Paterson z univerzity Royal Holloway, University of London, a Juraj Somorovsky z Porúrskej univerzity v Bochume
CoreFoundation
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4412: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)
CUPS
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: V určitých konfiguráciách môže byť vzdialený útočník schopný nahradiť obsah správy z tlačového servera ľubovoľným obsahom
Popis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4153: Michael Hanselmann z tímu hansmi.ch
CUPS
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4406: Michael Hanselmann z tímu hansmi.ch
Slovník
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Analýza súboru slovníka so škodlivým kódom môže viesť k sprístupneniu používateľských informácií
Popis: Dochádzalo k problému s overovaním, ktorý umožňoval prístup k lokálnym súborom. Tento problém bol vyriešený vylepšením čistenia vstupu.
CVE-2018-4346: Wojciech Reguła (@_r3ggi) zo spoločnosti SecuRing
Dock
Dostupné pre: macOS Mojave 10.14
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k súborom s obmedzeným prístupom
Popis: Tento problém bol vyriešený odstránením dodatočných oprávnení.
CVE-2018-4403: Patrick Wardle zo spoločnosti Digita Security
dyld
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4423: Youfu Zhang z tímu Chaitin Security Research Lab (@ChaitinTech)
EFI
Dostupné pre: macOS High Sierra 10.13.6
Dopad: Systémy s mikroprocesormi, ktoré používajú špekulatívne vykonávanie kódu a špekulatívne čítanie pamäte skôr, ako sú známe adresy všetkých predchádzajúcich zápisov do pamäte, môžu útočníkovi s prístupom lokálneho používateľa umožňovať neoprávnené získanie informácií prostredníctvom analýzy vedľajšieho kanálu
Popis: Problém s únikom informácií bol vyriešený aktualizáciou mikrokódu. Zaistilo sa tým, že staršie dáta načítané z adries, na ktoré sa nedávno zapisovalo, nie je možné čítať prostredníctvom špekulatívneho vykonávania kódu v bočnom kanáli.
CVE-2018-3639: Jann Horn (@tehjh) z tímu Google Project Zero (GPZ), Ken Johnson z tímu Microsoft Security Response Center (MSRC)
EFI
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.
CVE-2018-4342: Timothy Perfitt zo spoločnosti Twocanoes Software
Foundation
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4304: jianan.huang (@Sevck)
Grand Central Dispatch
Dostupné pre: macOS High Sierra 10.13.6
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4426: Brandon Azad
Heimdal
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4331: Brandon Azad
Hypervízor
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Systémy s mikroprocesormi, ktoré používajú špekulatívne vykonávanie kódu a preklady adries, môžu útočníkovi s prístupom lokálneho používateľa a s povolením hosťa v operačnom systéme umožňovať neoprávnené získanie informácií uložených vo vyrovnávacej pamäti dát L1 prostredníctvom zlyhania stránky terminálu a analýzy vedľajšieho kanálu
Popis: Problém s únikom informácií bol vyriešený vyprázdnením vyrovnávacej pamäte dát L1 pri zadaní údajov z virtuálneho počítača.
CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse a Thomas F. Wenisch z Michiganskej univerzity, Mark Silberstein a Marina Minkin zo spoločnosti Technion, Raoul Strackx, Jo Van Bulck a Frank Piessens z univerzity KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun a Kekai Hu zo spoločnosti Intel Corporation, Yuval Yarom z Adelaidskej univerzity
Hypervízor
Dostupné pre: macOS Sierra 10.12.6
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.
CVE-2018-4242: Zhuo Liang z tímu Qihoo 360 Nirvan
ICU
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6
Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4394: Erik Verbruggen zo spoločnosti The Qt Company
Grafický ovládač Intel
Dostupné pre: macOS Sierra 10.12.6
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4334: Ian Beer z tímu Google Project Zero
Grafický ovládač Intel
Dostupné pre: macOS High Sierra 10.13.6
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2018-4396: Yu Wang z tímu Didi Research America
CVE-2018-4418: Yu Wang z tímu Didi Research America
Grafický ovládač Intel
Dostupné pre: macOS High Sierra 10.13.6
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4350: Yu Wang z tímu Didi Research America
Grafický ovládač Intel
Dostupné pre: macOS Mojave 10.14
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4421: Tyler Bohan zo spoločnosti Cisco Talos
IOGraphics
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4422: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
IOHIDFamily
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4408: Ian Beer z tímu Google Project Zero
IOKit
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4402: Proteas z tímu Qihoo 360 Nirvan
IOKit
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Škodlivá aplikácia môže byť schopná pracovať mimo svojho izolovaného priestoru
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4341: Ian Beer z tímu Google Project Zero
CVE-2018-4354: Ian Beer z tímu Google Project Zero
IOUserEthernet
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4401: Apple
IPSec
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4371: Tim Michaud (@TimGMichaud) z tímu Leviathan Security Group
Jadro
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2018-4420: Mohamed Ghannam (@_simo36)
Jadro
Dostupné pre: macOS High Sierra 10.13.6
Dopad: Aplikácia so škodlivým kódom môže byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Vo volaniach rozhrania API s oprávneniami dochádzalo k problému s prístupom. Tento problém bol vyriešený používaním ďalších obmedzení.
CVE-2018-4399: Fabiano Anemone (@anoane)
Jadro
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4419: Mohamed Ghannam (@_simo36)
CVE-2018-4425: cc v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Juwei Lin (@panicaII) zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Jadro
Dostupné pre: macOS Sierra 10.12.6
Dopad: Pripojenie škodlivého sieťového zdieľania NFS môže viesť k spusteniu ľubovoľného kódu so systémovými oprávneniami
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4259: Kevin Backhouse zo spoločnosti Semmle a LGTM.com
CVE-2018-4286: Kevin Backhouse zo spoločnosti Semmle a LGTM.com
CVE-2018-4287: Kevin Backhouse zo spoločnosti Semmle a LGTM.com
CVE-2018-4288: Kevin Backhouse zo spoločnosti Semmle a LGTM.com
CVE-2018-4291: Kevin Backhouse zo spoločnosti Semmle a LGTM.com
Jadro
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4413: Juwei Lin (@panicaII) z tímu TrendMicro Mobile Security Team
Jadro
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Útočník s oprávneniami v sieti môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4407: Kevin Backhouse zo spoločnosti Semmle Ltd.
Jadro
Dostupné pre: macOS Mojave 10.14
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.
CVE-2018-4424: Dr. Silvio Cesare zo spoločnosti InfoSect
LinkPresentation
Dostupné pre: macOS Sierra 10.12.6
Dopad: Spracovanie textovej správy so škodlivým kódom môže viesť k sfalšovaniu používateľského rozhrania
Popis: Pri spracovávaní adries URL dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) z oddelenia Tencent Security Platform Department
Prihlasovacie okno
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Lokálny používateľ môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2018-4348: Ken Gannon zo spoločnosti MWR InfoSecurity a Christian Demko zo spoločnosti MWR InfoSecurity
Dostupné pre: macOS Mojave 10.14
Dopad: Spracovanie e-mailovej správy so škodlivým kódom môže viesť k sfalšovaniu používateľského rozhrania
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason zo spoločnosti Syndis
mDNSOffloadUserClient
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4326: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Zhuo Liang z tímu Qihoo 360 Nirvan Team
MediaRemote
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru.
CVE-2018-4310: CodeColorist z tímu Ant-Financial LightYear Labs
Mikrokód
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Systémy s mikroprocesormi, ktoré používajú špekulatívne vykonávanie kódu a špekulatívne čítanie systémových registrov, môžu útočníkovi s prístupom lokálneho používateľa umožňovať neoprávnené získanie systémových parametrov prostredníctvom analýzy bočného kanálu
Popis: Problém s únikom informácií bol vyriešený aktualizáciou mikrokódu. Zaistilo sa tým, že systémové registre špecifické pre implementáciu nie je možné získať prostredníctvom špekulatívneho vykonávania kódu v bočnom kanáli.
CVE-2018-3640: Innokentiy Sennovskiy zo spoločnosti BiZone LLC (bi.zone), Zdenek Sojka, Rudolf Marek a Alex Zuepke zo spoločnosti SYSGO AG (sysgo.com)
NetworkExtension
Dostupné pre: macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Pripojenie k serveru VPN môže spôsobiť únik dotazov DNS na proxy server DNS
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4369: Anonymný výskumník
Perl
Dostupné pre: macOS Sierra 10.12.6
Dopad: V súčasti Perl dochádzalo k viacerým problémom s pretečením medzipamäte
Popis: V súčasti Perl dochádzalo k viacerým problémom, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-6797: Brian Carpenter
Ruby
Dostupné pre: macOS Sierra 10.12.6
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: V tejto aktualizácii bolo vyriešených viacero problémov v súčasti Ruby.
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
Zabezpečenie
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Spracovanie podpísanej správy S/MIME so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2018-4400: Yukinobu Nagayasu zo spoločnosti LAC Co., Ltd.
Zabezpečenie
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Lokálny používateľ môže byť schopný spôsobiť odmietnutie služby
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4395: Patrick Wardle zo spoločnosti Digita Security
Spotlight
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4393: Lufeng Li
Zostava symptómov
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2018-4203: Bruno Keith (@bkth_) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Wi-Fi
Dostupné pre: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4368: Milan Stute a Alex Mariotto z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
Ďalšie poďakovanie
Kalendár
Poďakovanie za pomoci si zaslúži Matthew Thomas zo spoločnosti Verisign.
coreTLS
Poďakovanie za pomoc si zaslúži Eyal Ronen (z Weizmannovho inštitútu), Robert Gillham (z Adelaidskej univerzity), Daniel Genkin (z Michiganskej univerzity), Adi Shamir (z Weizmannovho inštitútu), David Wong (zo spoločnosti NCC Group) a Yuval Yarom (z Adelaidskej univerzity a spoločnosti Data61).
iBooks
Poďakovanie za pomoc si zaslúži Sem Voigtländer z univerzity Fontys Hogeschool ICT.
Jadro
Poďakovanie za pomoc si zaslúži Brandon Azad.
LaunchServices
Poďakovanie za pomoc si zaslúži Alok Menghrajani zo spoločnosti Square.
Rýchly náhľad
Poďakovanie za pomoc si zaslúži lokihardt z tímu Google Project Zero.
Zabezpečenie
Poďakovanie za pomoci si zaslúži Marinos Bernitsas zo spoločnosti Parachute.
Terminál
Poďakovanie za pomoc si zaslúži Federico Bento.
Time Machine
Poďakovanie za pomoci si zaslúži Matthew Thomas zo spoločnosti Verisign.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.