เกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13.3, รายการอัพเดทความปลอดภัย 2018-001 Sierra และรายการอัพเดทความปลอดภัย 2018-001 El Capitan

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13.3, รายการอัพเดทความปลอดภัย 2018-001 Sierra และรายการอัพเดทความปลอดภัย 2018-001 El Capitan

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

macOS High Sierra 10.13.3, รายการอัพเดทความปลอดภัย 2018-001 Sierra และรายการอัพเดทความปลอดภัย 2018-001 El Capitan

เปิดตัวเมื่อวันที่ 23 มกราคม 2018

เสียง

มีให้สำหรับ: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4094: Mingi Cho, MinSik Shin, Seoyoung Kim, Yeongho Lee และ Taekyoung Kwon จาก Information Security Lab, Yonsei University

curl

มีให้สำหรับ: macOS High Sierra 10.13.2

ผลกระทบ: มีปัญหาหลายประการใน curl

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตใน curl ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2017-8817: พบโดย OSS-Fuzz

EFI

มีให้สำหรับ: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

คำอธิบาย: มีปัญหาบัฟเฟอร์ล้นจำนวนมากในเคอร์เนลใน Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 ส่งผลให้ผู้โจมตีสามารถเข้าถึงภายในไปยังระบบเพื่อใช้รหัสได้โดยอำเภอใจ 

CVE-2017- 5705: Mark Ermolov และ Maxim Goryachy จาก Positive Technologies

เพิ่มรายการเมื่อวันที่ 30 มกราคม 2018

EFI

มีให้สำหรับ: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

คำอธิบาย: มีการยกระดับสิทธิ์หลายรายการในเคอร์เนลใน Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 ส่งผลให้กระบวนการที่ไม่ได้รับอนุญาตสามารถเข้าถึงคอนเทนต์ที่มีสิทธิ์ผ่านทางเว็คเตอร์ที่ไม่ได้ระบุได้

CVE-2017- 5708: Mark Ermolov และ Maxim Goryachy จาก Positive Technologies

เพิ่มรายการเมื่อวันที่ 30 มกราคม 2018

IOHIDFamily

มีให้สำหรับ: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4098: Siguza

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำเคอร์เนลได้ (Meltdown)

คำอธิบาย: ระบบที่มีไมโครโปรเซสเซอร์ที่ใช้ Speculative Execution (การดำเนินการเชิงคาดเดา) และ Indirect Branch Prediction อาจทำให้เกิดการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตต่อผู้โจมตีที่มีสิทธิ์เข้าใช้ของผู้ใช้เฉพาะเครื่องผ่านการวิเคราะห์แคชข้อมูลโดยอาศัยผลข้างเคียง

CVE-2017-5754: Jann Horn จาก Google Project Zero, Moritz Lipp จาก Graz University of Technology, Michael Schwarz จาก Graz University of Technology, Daniel Gruss จาก Graz University of Technology, Thomas Prescher จาก Cyberus Technology GmbH, Werner Haas จาก Cyberus Technology GmbH, Stefan Mangard จาก Graz University of Technology, Paul Kocher, Daniel Genkin จาก University of Pennsylvania และ University of Maryland, Yuval Yarom จาก University of Adelaide และ Data61 และ Mike Hamburg จาก Rambus (แผนก Cryptography Research)

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.2

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4090: Jann Horn จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.2

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4092: Stefan Esser จาก Antid0te UG

อัพเดทรายการเมื่อวันที่ 8 กุมภาพันธ์ 2018

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4082: Russ Cox จาก Google

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4097: Resecurity, Inc.

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.2

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2018-4093: Jann Horn จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.2

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4189: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

เคอร์เนล

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.2

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4169: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 2 พฤษภาคม 2018

LinkPresentation

มีให้สำหรับ: macOS High Sierra 10.13.2, macOS Sierra 10.12.6.2

ผลกระทบ: การประมวลผลข้อความตัวอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้แอพพลิเคชั่นปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4100: Abraham Masri (@cheesecakeufo)

QuartzCore

มีให้สำหรับ: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการประมวลผลคอนเทนต์เว็บ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4085: Ret2 Systems Inc. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

การจัดการระยะไกล

มีให้สำหรับ: macOS Sierra 10.12.6

ผลกระทบ: ผู้ใช้ระยะไกลอาจสามารถรับสิทธิ์ในระดับรากได้

คำอธิบาย: มีปัญหาเกี่ยวกับสิทธิ์อนุญาตในการจัดการระยะไกล ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการตรวจสอบการอนุญาตให้ดียิ่งขึ้น

CVE-2018-4298: Tim van der Werff จาก SupCloud

เพิ่มรายการเมื่อวันที่ 19 กรกฎาคม 2018

Sandbox

มีให้สำหรับ: macOS High Sierra 10.13.2

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วผ่านข้อจำกัดเพิ่มเติมของ Sandbox

CVE-2018-4091: Alex Gaynor จาก Mozilla

ความปลอดภัย

มีให้สำหรับ: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

ผลกระทบ: ใบรับรองอาจมีการปรับใช้ข้อจำกัดเกี่ยวกับชื่อไม่ถูกต้อง

คำอธิบาย: มีปัญหาการประเมินใบรับรองในการจัดการข้อจำกัดเกี่ยวกับชื่อ ปัญหานี้ได้รับการแก้ไขแล้วผ่านการปรับปรุงการประเมินความน่าเชื่อถือของใบรับรองให้ดียิ่งขึ้น

CVE-2018-4086: Ian Haken จาก Netflix

ความปลอดภัย

มีให้สำหรับ: macOS High Sierra 10.13.2

ผลกระทบ: ผู้โจมตีอาจสามารถบายพาสการรับรองความถูกต้องของผู้ดูแลระบบได้โดยไม่ต้องให้รหัสผ่านผู้ดูแลระบบ

คำอธิบาย: มีข้อผิดพลาดตรรกะในการตรวจสอบข้อมูลประจำตัว ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบข้อมูลประจำตัวให้ดียิ่งขึ้น

CVE-2017-13889: Glenn G. Bruckno, P.E. จาก Automation Engineering, James Barnes, Kevin Manca จาก Computer Engineering Politecnico di Milano, Rene Malenfant จาก University of New Brunswick

เพิ่มรายการเมื่อวันที่ 21 มิถุนายน 2018

บริการช่วยเหลือ Touch Bar

มีให้สำหรับ: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4083: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 9 กุมภาพันธ์ 2018

WebKit

มีให้สำหรับ: macOS High Sierra 10.13.2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4088: Jeonghoon Shin จาก Theori

CVE-2018-4089: Ivan Fratric จาก Google Project Zero

CVE-2018-4096: พบโดย OSS-Fuzz

WebKit

มีให้สำหรับ: macOS High Sierra 10.13.2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4147: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

การโหลดหน้า WebKit

มีให้สำหรับ: macOS High Sierra 10.13.2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-7830: Jun Kokatsu (@shhnjk)

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

Wi-Fi

มีให้สำหรับ: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2018-4084: Hyung Sup Lee จาก Minionz, You Chan Lee จาก Hanyang University

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: