เกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13.4, รายการอัพเดทความปลอดภัย 2018-002 Sierra และรายการอัพเดทความปลอดภัย 2018-002 El Capitan
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13.4, รายการอัพเดทความปลอดภัย 2018-002 Sierra และรายการอัพเดทความปลอดภัย 2018-002 El Capitan
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
macOS High Sierra 10.13.4, รายการอัพเดทความปลอดภัย 2018-002 Sierra และรายการอัพเดทความปลอดภัย 2018-002 El Capitan
Admin Framework
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: รหัสผ่านที่ส่งให้ sysadminctl อาจถูกเปิดเผยให้กับผู้ใช้เฉพาะเครื่องรายอื่น
คำอธิบาย: เครื่องมือบรรทัดคำสั่ง sysadminctl กำหนดว่าต้องส่งรหัสผ่านไปให้ในอาร์กิวเมนต์ของเครื่องมือ ซึ่งอาจทำให้เกิดการเปิดเผยรหัสผ่านกับผู้ใช้เฉพาะเครื่องรายอื่น การอัพเดทนี้ทำให้พารามิเตอร์รหัสผ่านกลายเป็นตัวเลือกที่ไม่บังคับ และ sysadminctl จะแจ้งให้ป้อนรหัสผ่าน หากจำเป็น
CVE-2018-4170: นักวิจัยนิรนาม
APFS
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: รหัสผ่านโวลุ่ม APFS อาจถูกตัดทอนโดยไม่คาดคิด
คำอธิบาย: ปัญหาการป้อนได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4105: David J Beitey (@davidjb_), Geoffrey Bugniot
ATS
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลผู้ใช้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น
CVE-2018-4112: Haik Aftandilian จาก Mozilla
CFNetwork Session
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2018-4166: Samuel Groß (@5aelo)
CoreFoundation
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2018-4155: Samuel Groß (@5aelo)
CVE-2018-4158: Samuel Groß (@5aelo)
CoreText
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: การประมวลผลสตริงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้
คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4142: Robin Leroy จาก Google Switzerland GmbH
CoreTypes
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
ผลกระทบ: การประมวลผลหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการต่อเชื่อมดิสก์อิมเมจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2017-13890: Apple, Theodor Ragnar Gislason จาก Syndis
curl
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
ผลกระทบ: มีปัญหาหลายประการใน curl
คำอธิบาย: มีจำนวนเต็มล้นอยู่ใน curl ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2017-8816: Alex Nichols
ภาพดิสก์
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: การต่อเชื่อมดิสก์อิมเมจที่ประสงค์ร้ายอาจส่งผลให้มีการเปิดแอพพลิเคชั่น
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4176: Theodor Ragnar Gislason จาก Syndis
การจัดการดิสก์
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: รหัสผ่านโวลุ่ม APFS อาจถูกตัดทอนโดยไม่คาดคิด
คำอธิบาย: ปัญหาการป้อนได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4108: Kamatham Chaitanya จาก ShiftLeft Inc., นักวิจัยนิรนาม
EFI
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์ WPA ได้ (Key Reinstallation Attacks - KRACK)
คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-13080: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven
กิจกรรมระบบไฟล์
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2018-4167: Samuel Groß (@5aelo)
iCloud Drive
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2018-4151: Samuel Groß (@5aelo)
ไดรเวอร์กราฟิกของ Intel
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4132: Axis และ pjf จาก IceSword Lab ของ Qihoo 360
IOFireWireFamily
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4135: Xiaolong Bai และ Min (Spark) Zheng จาก Alibaba Inc.
เคอร์เนล
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4150: นักวิจัยนิรนาม
เคอร์เนล
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2018-4104: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร
เคอร์เนล
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4143: derrek (@derrekr6)
เคอร์เนล
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2018-4136: Jonas Jensen จาก lgtm.com และ Semmle
เคอร์เนล
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2018-4160: Jonas Jensen จาก lgtm.com และ Semmle
เคอร์เนล
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลในการเปลี่ยนสถานะโปรแกรม ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4185: Brandon Azad
เครื่องมือ kexts
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาตรรกะที่ส่งผลให้หน่วยความจำเสียหาย ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4139: Ian Beer จาก Google Project Zero
LaunchServices
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถบายพาสการบังคับใช้การเซ็นชื่อรหัสได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2018-4175: Theodor Ragnar Gislason จาก Syndis
libxml2
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.3, OS X El Capitan 10.11.6
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย
คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2017-15412: Nick Wellnhofer
LinkPresentation
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: การประมวลผลข้อความตัวอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การปลอมแปลง UI
คำอธิบาย: มีปัญหาการเลียนแบบในการจัดการ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) จาก Tencent Security Platform Department
การรับรองความถูกต้องในระบบ
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถดูข้อมูลที่สำคัญของผู้ใช้ได้
คำอธิบาย: มีปัญหาเกี่ยวกับการจัดการ PIN ของสมาร์ทการ์ด ปัญหานี้ได้รับการแก้ไขแล้วด้วยการใช้ตรรกะเพิ่มเติม
CVE-2018-4179: David Fuhrmann
เมล
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถถอนคอนเทนต์ของอีเมลที่เข้ารหัส S/MIME ได้
คำอธิบาย: มีปัญหาในการจัดการอีเมล HTML แบบ S/MIME ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่โหลดแหล่งข้อมูลระยะไกลบนข้อความที่เข้ารหัส S/MIME ตามค่าเริ่มต้นหากข้อความดังกล่าวมีลายเซ็น S/MIME ที่ไม่ถูกต้องหรือไม่มีลายเซ็น
CVE-2018-4111: Damian Poddebniak จาก Münster University of Applied Sciences, Christian Dresen จาก Münster University of Applied Sciences, Jens Müller จาก Ruhr University Bochum, Fabian Ising จาก Münster University of Applied Sciences, Sebastian Schinzel จาก Münster University of Applied Sciences, Simon Friedberger จาก KU Leuven, Juraj Somorovsky จาก Ruhr University Bochum, Jörg Schwenk จาก Ruhr University Bochum
เมล
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับคอนเทนต์ของอีเมลที่เข้ารหัส S/MIME ได้
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4174: John McCombs จาก Integrated Mapping Ltd, McClain Looney จาก LoonSoft Inc.
หมายเหตุ
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2018-4152: Samuel Groß (@5aelo)
หมายเหตุ
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2017-7151: Samuel Groß (@5aelo)
NSURLSession
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2018-4166: Samuel Groß (@5aelo)
ไดรเวอร์กราฟิก NVIDIA
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2018-4138: Axis และ pjf จาก IceSword Lab ของ Qihoo 360
PDFKit
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: การคลิก URL ใน PDF อาจทำให้เข้าไปยังเว็บไซต์ที่ประสงค์ร้าย
คำอธิบาย: มีปัญหาในการแยกวิเคราะห์ URL ใน PDF ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-4107: Nick Safford จาก Innovia Technology
PluginKit
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2018-4156: Samuel Groß (@5aelo)
Quick Look
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2018-4157: Samuel Groß (@5aelo)
การจัดการระยะไกล
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: ผู้ใช้ระยะไกลอาจสามารถรับสิทธิ์ในระดับรากได้
คำอธิบาย: มีปัญหาเกี่ยวกับสิทธิ์อนุญาตในการจัดการระยะไกล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น
CVE-2018-4298: Tim van der Werff จาก SupCloud
ความปลอดภัย
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
SIP
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาในการกำหนดค่าได้รับการแก้ไขแล้วด้วยข้อจำกัดเพิ่มเติม
CVE-2017-13911: Timothy Perfitt จาก Twocanoes Software
แถบสถานะ
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถเข้าถึงไมโครโฟนได้โดยไม่มีการแจ้งให้ผู้ใช้ทราบ
คำอธิบาย: มีปัญหาความสอดคล้องในการตัดสินใจว่าเมื่อใดจะแสดงสถานะการใช้ไมโครโฟน ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความสามารถให้ดียิ่งขึ้น
CVE-2018-4173: Joshua Pokotilow จาก pingmd
พื้นที่เก็บข้อมูล
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม
CVE-2018-4154: Samuel Groß (@5aelo)
การตั้งค่าระบบ
มีให้สำหรับ: macOS High Sierra 10.13.3
ผลกระทบ: โปรไฟล์การกำหนดค่าอาจมีผลใช้ต่อไปอย่างไม่ถูกต้องหลังจากที่ลบออกแล้ว
คำอธิบาย: มีปัญหาใน CFPreferences ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการล้างข้อมูลการตั้งค่าให้ดียิ่งขึ้น
CVE-2018-4115: Johann Thalakada, Vladimir Zubkov และ Matt Vlasach จาก Wandera
Terminal
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: การวางคอนเทนต์ที่ประสงค์ร้ายอาจทำให้เกิดการใช้คำสั่งโดยอำเภอใจ
คำอธิบาย: มีปัญหาการป้อนคำสั่งในการจัดการโหมดการวางพร้อมวงเล็บ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอักขระพิเศษให้ดียิ่งขึ้น
CVE-2018-4106: Simon Hosie
WindowServer
มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
ผลกระทบ: แอพพลิเคชั่นที่ไม่มีสิทธิ์อาจสามารถบันทึกการกดปุ่มที่ป้อนเข้าไปในแอพพลิเคชั่นอื่นแม้ในขณะที่เปิดใช้งานโหมดป้อนการข้อมูลอย่างปลอดภัย
คำอธิบาย: การสแกนสถานะที่สำคัญอาจทำให้แอพพลิเคชั่นที่ไม่มีสิทธิ์สามารถบันทึกการกดปุ่มที่ป้อนลงในแอพพลิเคชั่นอื่นๆ ได้แม้ว่าจะเปิดใช้งานโหมดการป้อนข้อมูลอย่างปลอดภัยอยู่ก็ตาม ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2018-4131: Andreas Hegenberg จาก folivora.AI GmbH
คำขอบคุณพิเศษ
เมล
เราขอขอบคุณสำหรับความช่วยเหลือจาก Sabri Haddouche (@pwnsdx) จาก Wire Swiss GmbH
การป้อนข้อมูลอัตโนมัติในการเข้าสู่ระบบของ Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก Jun Kokatsu (@shhnjk)
ความปลอดภัย
เราขอขอบคุณสำหรับความช่วยเหลือจาก Abraham Masri (@cheesecakeufo)
บานหน้าต่างการตั้งค่าการแชร์
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม