Informácie o obsahu zabezpečenia systému macOS High Sierra 10.13.6, aktualizácie zabezpečenia 2018-004 Sierra a aktualizácie zabezpečenia 2018-004 El Capitan
Tento dokument popisuje obsah zabezpečenia systému macOS High Sierra 10.13.6, aktualizácie zabezpečenia 2018-004 Sierra a aktualizácie zabezpečenia 2018-004 El Capitan.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
macOS High Sierra 10.13.6, aktualizácia zabezpečenia 2018-004 Sierra a aktualizácia zabezpečenia 2018-004 El Capitan
Účty
Dostupné pre: macOS High Sierra 10.13.5
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať prístup k účtom Apple ID lokálnych používateľov
Popis: Pri spracúvaní záznamov Open Directory dochádzalo k problému s ochranou osobných údajov, ktorý bol vyriešený vylepšením indexovania.
CVE-2018-4470: Jacob Greenfield z Commonwealth School
AMD
Dostupné pre: macOS High Sierra 10.13.5
Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2018-4289: shrek_wzw z tímu Qihoo 360 Nirvan
APFS
Dostupné pre: macOS High Sierra 10.13.5
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4268: Mac v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
ATS
Dostupné pre: macOS High Sierra 10.13.5
Dopad: Škodlivá aplikácia môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4285: Mohamed Ghannam (@_simo36)
Bluetooth
Dostupné pre: MacBook Pro (15-palcový, 2018) a MacBook Pro (13-palcový, 2018, štyri porty Thunderbolt 3)
Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať prenosy cez Bluetooth
Popis: V rozhraní Bluetooth dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2018-5383: Lior Neumann a Eli Biham
CFNetwork
Dostupné pre: macOS High Sierra 10.13.5
Dopad: V prehliadači Safari môžu neočakávane zostávať súbory cookie
Popis: Dochádzalo k problému súvisiacemu so správou súborov cookie, ktorý bol vyriešený vylepšením kontrol.
CVE-2018-4293: Anonymný výskumník
CoreCrypto
Dostupné pre: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Dopad: Škodlivá aplikácia môže byť schopná pracovať mimo svojho izolovaného priestoru
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4269: Abraham Masri (@cheesecakeufo)
CUPS
Dostupné pre: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.5
Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby
Popis: Dochádzalo k problému s dereferenciou smerníka s hodnotou NULL, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4276: Jakub Jirasek z oddelenia Secunia Research spoločnosti Flexera
DesktopServices
Dostupné pre: macOS Sierra 10.12.6
Dopad: Lokálny používateľ môže byť schopný zobraziť citlivé používateľské informácie
Popis: Dochádzalo k problému s povoleniami, v dôsledku ktorého bolo nesprávne udelené povolenie na spustenie. Tento problém bol vyriešený vylepšením overovania povolení.
CVE-2018-4178: Arjen Hendrikse
Grafický ovládač Intel
Dostupné pre: macOS High Sierra 10.13.5
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4456: Tyler Bohan zo spoločnosti Cisco Talos
IOGraphics
Dostupné pre: macOS High Sierra 10.13.5
Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2018-4283: @panicall v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Jadro
Dostupné pre: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.5
Dopad: Systémy používajúce mikroprocesory založené na jadre Intel® Core môžu lokálnemu procesu potenciálne umožňovať odvodzovanie dát s využitím odloženého obnovenia stavu FP z iného procesu prostredníctvom vedľajšieho kanála špekulatívneho spúšťania
Popis: Odložené obnovenie stavu FP namiesto okamžitého uloženia a obnovenia stavu pri zmene kontextu. Stavy s odloženým obnovením sú potenciálne ohrozené škodlivým kódom, ktorý spôsobí, že jeden proces môže odvodzovať hodnoty registrov iných procesov prostredníctvom vedľajšieho kanála špekulatívneho spúšťania, ktorý hodnotu odvodí.
Problém s únikom informácií bol vyriešený čistením stavu registrov FP/SIMD.
CVE-2018-3665: Julian Stecklina zo spoločnosti Amazon Germany, Thomas Prescher zo spoločnosti Cyberus Technology GmbH (cyberus-technology.de), Zdenek Sojka zo spoločnosti SYSGO AG (sysgo.com) a Colin Percival
Jadro
Dostupné pre: macOS High Sierra 10.13.5
Dopad: Pripojenie škodlivého sieťového zdieľania NFS môže viesť k spusteniu ľubovoľného kódu so systémovými oprávneniami
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4259: Kevin Backhouse zo spoločnosti Semmle a LGTM.com
CVE-2018-4286: Kevin Backhouse zo spoločnosti Semmle a LGTM.com
CVE-2018-4287: Kevin Backhouse zo spoločnosti Semmle a LGTM.com
CVE-2018-4288: Kevin Backhouse zo spoločnosti Semmle a LGTM.com
CVE-2018-4291: Kevin Backhouse zo spoločnosti Semmle a LGTM.com
libxpc
Dostupné pre: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.5
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4280: Brandon Azad
libxpc
Dostupné pre: macOS High Sierra 10.13.5
Dopad: Škodlivá aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4248: Brandon Azad
LinkPresentation
Dostupné pre: macOS High Sierra 10.13.5
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Pri spracovávaní adries URL dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2018-4277: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)
Perl
Dostupné pre: macOS High Sierra 10.13.5
Dopad: V súčasti Perl dochádzalo k viacerým problémom s pretečením medzipamäte
Popis: V súčasti Perl dochádzalo k viacerým problémom, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-6797: Brian Carpenter
CVE-2018-6913: GwanYeong Kim
Ruby
Dostupné pre: macOS High Sierra 10.13.5
Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu
Popis: V tejto aktualizácii bolo vyriešených viacero problémov v súčasti Ruby.
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
WebKit
Dostupné pre: macOS High Sierra 10.13.5
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Pri spracovávaní adries URL dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2018-4274: Tomasz Bojarski
Ďalšie poďakovanie
App Store
Poďakovanie za pomoc si zaslúžia Jesse Endahl a Stevie Hryciw zo spoločnosti Fleetsmith a Max Bélanger zo spoločnosti Dropbox.
Prehliadač pomocníka
Poďakovanie za pomoc so štyrmi opravami si zaslúži Wojciech Reguła (@_r3ggi) zo spoločnosti SecuRing.
Jadro
Poďakovanie za pomoc si zaslúži juwei lin (@panicaII) zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.
Zabezpečenie
Poďakovanie za pomoc si zaslúži Brad Dahlsten z Iowskej štátnej univerzity.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.