เกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13.4, รายการอัพเดทความปลอดภัย 2018-002 Sierra และรายการอัพเดทความปลอดภัย 2018-002 El Capitan

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13.4, รายการอัพเดทความปลอดภัย 2018-002 Sierra และรายการอัพเดทความปลอดภัย 2018-002 El Capitan

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

macOS High Sierra 10.13.4, รายการอัพเดทความปลอดภัย 2018-002 Sierra และรายการอัพเดทความปลอดภัย 2018-002 El Capitan

เปิดตัวเมื่อวันที่ 29 มีนาคม 2018

Admin Framework

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: รหัสผ่านที่ส่งให้ sysadminctl อาจถูกเปิดเผยให้กับผู้ใช้เฉพาะเครื่องรายอื่น

คำอธิบาย: เครื่องมือบรรทัดคำสั่ง sysadminctl กำหนดว่าต้องส่งรหัสผ่านไปให้ในอาร์กิวเมนต์ของเครื่องมือ ซึ่งอาจทำให้เกิดการเปิดเผยรหัสผ่านกับผู้ใช้เฉพาะเครื่องรายอื่น การอัพเดทนี้ทำให้พารามิเตอร์รหัสผ่านกลายเป็นตัวเลือกที่ไม่บังคับ และ sysadminctl จะแจ้งให้ป้อนรหัสผ่าน หากจำเป็น

CVE-2018-4170: นักวิจัยนิรนาม

APFS

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: รหัสผ่านโวลุ่ม APFS อาจถูกตัดทอนโดยไม่คาดคิด

คำอธิบาย: ปัญหาการป้อนได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4105: David J Beitey (@davidjb_), Geoffrey Bugniot

ATS

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลผู้ใช้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น

CVE-2018-4112: Haik Aftandilian จาก Mozilla

CFNetwork Session

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2018-4166: Samuel Groß (@5aelo)

CoreFoundation

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: การประมวลผลสตริงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4142: Robin Leroy จาก Google Switzerland GmbH

อัพเดทรายการเมื่อวันที่ 3 เมษายน 2019

CoreTypes

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

ผลกระทบ: การประมวลผลหน้าเว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้มีการต่อเชื่อมดิสก์อิมเมจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2017-13890: Apple, Theodor Ragnar Gislason จาก Syndis

curl

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

ผลกระทบ: มีปัญหาหลายประการใน curl

คำอธิบาย: มีจำนวนเต็มล้นอยู่ใน curl ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-8816: Alex Nichols

อัพเดทรายการเมื่อวันที่ 3 เมษายน 2019

ภาพดิสก์

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: การต่อเชื่อมดิสก์อิมเมจที่ประสงค์ร้ายอาจส่งผลให้มีการเปิดแอพพลิเคชั่น

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4176: Theodor Ragnar Gislason จาก Syndis

การจัดการดิสก์

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: รหัสผ่านโวลุ่ม APFS อาจถูกตัดทอนโดยไม่คาดคิด

คำอธิบาย: ปัญหาการป้อนได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4108: Kamatham Chaitanya จาก ShiftLeft Inc., นักวิจัยนิรนาม

EFI

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจบังคับให้มีการใช้ซ้ำตัวเลขที่ใช้ครั้งเดียวในไคลเอนต์ WPA ได้ (Key Reinstallation Attacks - KRACK)

คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-13080: Mathy Vanhoef จากกลุ่ม imec-DistriNet ของ KU Leuven

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

กิจกรรมระบบไฟล์

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2018-4167: Samuel Groß (@5aelo)

iCloud Drive

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2018-4151: Samuel Groß (@5aelo)

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4132: Axis และ pjf จาก IceSword Lab ของ Qihoo 360

IOFireWireFamily

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4135: Xiaolong Bai และ Min (Spark) Zheng จาก Alibaba Inc.

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4150: นักวิจัยนิรนาม

เคอร์เนล

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2018-4104: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4143: derrek (@derrekr6)

เคอร์เนล

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2018-4136: Jonas Jensen จาก lgtm.com และ Semmle

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2018-4160: Jonas Jensen จาก lgtm.com และ Semmle

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลในการเปลี่ยนสถานะโปรแกรม ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4185: Brandon Azad

เพิ่มรายการเมื่อวันที่ 19 กรกฎาคม 2018

เครื่องมือ kexts

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: มีปัญหาตรรกะที่ส่งผลให้หน่วยความจำเสียหาย ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4139: Ian Beer จาก Google Project Zero

LaunchServices

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นที่ออกแบบมาเพื่อประสงค์ร้ายอาจสามารถบายพาสการบังคับใช้การเซ็นชื่อรหัสได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4175: Theodor Ragnar Gislason จาก Syndis

libxml2

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.3, OS X El Capitan 10.11.6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ Safari ล่มโดยไม่คาดหมาย

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-15412: Nick Wellnhofer

อัพเดทรายการเมื่อวันที่ 18 ตุลาคม 2018

LinkPresentation

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: การประมวลผลข้อความตัวอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การปลอมแปลง UI

คำอธิบาย: มีปัญหาการเลียนแบบในการจัดการ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) จาก Tencent Security Platform Department

เพิ่มรายการเมื่อวันที่ 3 เมษายน 2019

การรับรองความถูกต้องในระบบ

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถดูข้อมูลที่สำคัญของผู้ใช้ได้

คำอธิบาย: มีปัญหาเกี่ยวกับการจัดการ PIN ของสมาร์ทการ์ด ปัญหานี้ได้รับการแก้ไขแล้วด้วยการใช้ตรรกะเพิ่มเติม

CVE-2018-4179: David Fuhrmann

เพิ่มรายการเมื่อวันที่ 13 เมษายน 2018

เมล

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถถอนคอนเทนต์ของอีเมลที่เข้ารหัส S/MIME ได้

คำอธิบาย: มีปัญหาในการจัดการอีเมล HTML แบบ S/MIME ปัญหานี้ได้รับการแก้ไขแล้วโดยการไม่โหลดแหล่งข้อมูลระยะไกลบนข้อความที่เข้ารหัส S/MIME ตามค่าเริ่มต้นหากข้อความดังกล่าวมีลายเซ็น S/MIME ที่ไม่ถูกต้องหรือไม่มีลายเซ็น

CVE-2018-4111: Damian Poddebniak จาก Münster University of Applied Sciences, Christian Dresen จาก Münster University of Applied Sciences, Jens Müller จาก Ruhr University Bochum, Fabian Ising จาก Münster University of Applied Sciences, Sebastian Schinzel จาก Münster University of Applied Sciences, Simon Friedberger จาก KU Leuven, Juraj Somorovsky จาก Ruhr University Bochum, Jörg Schwenk จาก Ruhr University Bochum

อัพเดทรายการเมื่อวันที่ 13 เมษายน 2018

เมล

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับคอนเทนต์ของอีเมลที่เข้ารหัส S/MIME ได้

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4174: John McCombs จาก Integrated Mapping Ltd, McClain Looney จาก LoonSoft Inc.

อัพเดทรายการเมื่อวันที่ 13 เมษายน 2018

หมายเหตุ

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2018-4152: Samuel Groß (@5aelo)

หมายเหตุ

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2017-7151: Samuel Groß (@5aelo)

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

NSURLSession

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2018-4166: Samuel Groß (@5aelo)

ไดรเวอร์กราฟิก NVIDIA

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2018-4138: Axis และ pjf จาก IceSword Lab ของ Qihoo 360

PDFKit

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: การคลิก URL ใน PDF อาจทำให้เข้าไปยังเว็บไซต์ที่ประสงค์ร้าย

คำอธิบาย: มีปัญหาในการแยกวิเคราะห์ URL ใน PDF ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4107: Nick Safford จาก Innovia Technology

อัพเดทรายการเมื่อวันที่ 9 เมษายน 2018

PluginKit

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2018-4156: Samuel Groß (@5aelo)

Quick Look

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2018-4157: Samuel Groß (@5aelo)

การจัดการระยะไกล

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: ผู้ใช้ระยะไกลอาจสามารถรับสิทธิ์ในระดับรากได้

คำอธิบาย: มีปัญหาเกี่ยวกับสิทธิ์อนุญาตในการจัดการระยะไกล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

CVE-2018-4298: Tim van der Werff จาก SupCloud

เพิ่มรายการเมื่อวันที่ 19 กรกฎาคม 2018

ความปลอดภัย

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

SIP

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาในการกำหนดค่าได้รับการแก้ไขแล้วด้วยข้อจำกัดเพิ่มเติม

CVE-2017-13911: Timothy Perfitt จาก Twocanoes Software

เพิ่มรายการเมื่อวันที่ 8 สิงหาคม 2018, อัพเดทเมื่อวันที่ 25 กันยายน 2018

แถบสถานะ

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถเข้าถึงไมโครโฟนได้โดยไม่มีการแจ้งให้ผู้ใช้ทราบ

คำอธิบาย: มีปัญหาความสอดคล้องในการตัดสินใจว่าเมื่อใดจะแสดงสถานะการใช้ไมโครโฟน ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบความสามารถให้ดียิ่งขึ้น

CVE-2018-4173: Joshua Pokotilow จาก pingmd

เพิ่มรายการเมื่อวันที่ 9 เมษายน 2018

พื้นที่เก็บข้อมูล

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2018-4154: Samuel Groß (@5aelo)

การตั้งค่าระบบ

มีให้สำหรับ: macOS High Sierra 10.13.3

ผลกระทบ: โปรไฟล์การกำหนดค่าอาจมีผลใช้ต่อไปอย่างไม่ถูกต้องหลังจากที่ลบออกแล้ว

คำอธิบาย: มีปัญหาใน CFPreferences ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการล้างข้อมูลการตั้งค่าให้ดียิ่งขึ้น

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov และ Matt Vlasach จาก Wandera

อัพเดทรายการเมื่อวันที่ 3 เมษายน 2019

Terminal

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: การวางคอนเทนต์ที่ประสงค์ร้ายอาจทำให้เกิดการใช้คำสั่งโดยอำเภอใจ

คำอธิบาย: มีปัญหาการป้อนคำสั่งในการจัดการโหมดการวางพร้อมวงเล็บ ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบอักขระพิเศษให้ดียิ่งขึ้น

CVE-2018-4106: Simon Hosie

อัพเดทรายการเมื่อวันที่ 15 พฤษภาคม 2019

WindowServer

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

ผลกระทบ: แอพพลิเคชั่นที่ไม่มีสิทธิ์อาจสามารถบันทึกการกดปุ่มที่ป้อนเข้าไปในแอพพลิเคชั่นอื่นแม้ในขณะที่เปิดใช้งานโหมดป้อนการข้อมูลอย่างปลอดภัย

คำอธิบาย: การสแกนสถานะที่สำคัญอาจทำให้แอพพลิเคชั่นที่ไม่มีสิทธิ์สามารถบันทึกการกดปุ่มที่ป้อนลงในแอพพลิเคชั่นอื่นๆ ได้แม้ว่าจะเปิดใช้งานโหมดการป้อนข้อมูลอย่างปลอดภัยอยู่ก็ตาม ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4131: Andreas Hegenberg จาก folivora.AI GmbH

อัพเดทรายการเมื่อวันที่ 3 เมษายน 2019

คำขอบคุณพิเศษ

เมล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Sabri Haddouche (@pwnsdx) จาก Wire Swiss GmbH

เพิ่มรายการเมื่อวันที่ 21 มิถุนายน 2018

การป้อนข้อมูลอัตโนมัติในการเข้าสู่ระบบของ Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Jun Kokatsu (@shhnjk)

เพิ่มรายการเมื่อวันที่ 3 เมษายน 2019

ความปลอดภัย

เราขอขอบคุณสำหรับความช่วยเหลือจาก Abraham Masri (@cheesecakeufo)

เพิ่มรายการเมื่อวันที่ 13 เมษายน 2018

บานหน้าต่างการตั้งค่าการแชร์

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 3 เมษายน 2019

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: