เกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13.5, รายการอัพเดทความปลอดภัย 2018-003 Sierra และรายการอัพเดทความปลอดภัย 2018-003 El Capitan

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS High Sierra 10.13.5, รายการอัพเดทความปลอดภัย 2018-003 Sierra, รายการอัพเดทความปลอดภัย 2018-003 El Capitan

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

macOS High Sierra 10.13.5, รายการอัพเดทความปลอดภัย 2018-003 Sierra, รายการอัพเดทความปลอดภัย 2018-003 El Capitan

เปิดตัวเมื่อวันที่ 1 มิถุนายน 2018

เฟรมเวิร์กการช่วยการเข้าถึง

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: มีปัญหาการเปิดเผยข้อมูลในเฟรมเวิร์กการช่วยการเข้าถึง ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4196: Alex Plaskett, Georgi Geshev และ Fabian Beterke จาก MWR Labs ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro และ WanderingGlitch จาก Zero Day Initiative ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 19 กรกฎาคม 2018

AMD

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4253: shrek_wzw จาก Qihoo 360 Nirvan Team

AMD

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4256: shrek_wzw จาก Qihoo 360 Nirvan Team

เพิ่มรายการเมื่อวันที่ 19 กรกฎาคม 2018

AMD

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4255: shrek_wzw จาก Qihoo 360 Nirvan Team

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018 อัพเดทเมื่อวันที่ 14 ธันวาคม 2018

AMD

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4254: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

AMD

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4254: shrek_wzw จาก Qihoo 360 Nirvan Team

เพิ่มรายการเมื่อวันที่ 24 ตุลาคม 2018

AppleGraphicsControl

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2018-4258: shrek_wzw จาก Qihoo 360 Nirvan Team

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

AppleGraphicsPowerManagement

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2018-4257: shrek_wzw จาก Qihoo 360 Nirvan Team

เพิ่มรายการเมื่อวันที่ 18 ตุลาคม 2018

apache_mod_php

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ปัญหาใน PHP ได้รับการแก้ไขแล้วในการอัพเดทนี้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัพเดทเป็น PHP เวอร์ชั่น 7.1.16

CVE-2018-7584: Wei Lei และ Liu Yang จาก Nanyang Technological University

ATS

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4219: Mohamed Ghannam (@_simo36)

บลูทูธ

มีให้สำหรับ: MacBook Pro (Retina 15 นิ้ว กลางปี 2015), MacBook Pro (Retina 15 นิ้ว ปี 2015), MacBook Pro (Retina 13 นิ้ว ต้นปี 2015), MacBook Pro (15 นิ้ว ปี 2017), MacBook Pro (15 นิ้ว ปี 2016), MacBook Pro (13 นิ้ว ปลายปี 2016 พอร์ต Thunderbolt 3 จำนวนสองพอร์ต), MacBook Pro (13 นิ้ว ปลายปี 2016 พอร์ต Thunderbolt 3 จำนวนสี่พอร์ต), MacBook Pro (13 นิ้ว ปี 2017 พอร์ต Thunderbolt 3 จำนวนสี่พอร์ต), MacBook (Retina 12 นิ้ว ต้นปี 2016), MacBook (Retina 12 นิ้ว ต้นปี 2015), MacBook (Retina 12 นิ้ว ปี 2017), iMac Pro, iMac (Retina 5K 27 นิ้ว ปลายปี 2015), iMac (Retina 5K 27 นิ้ว ปี 2017), iMac (Retina 4K 21.5 นิ้ว ปลายปี 2015), iMac (Retina 4K 21.5 นิ้ว ปี 2017), iMac (21.5 นิ้ว ปลายปี 2015) และ iMac (21.5 นิ้ว ปี 2017)

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับการรับส่งข้อมูลทางบลูทูธได้

คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในบลูทูธ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-5383: Lior Neumann และ Eli Biham

เพิ่มรายการเมื่อวันที่ 23 กรกฎาคม 2018

บลูทูธ

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

ผลกระทบ: มีปัญหาการเปิดเผยข้อมูลในคุณสมบัติของอุปกรณ์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการวัตถุให้ดียิ่งขึ้น

CVE-2018-4171: shrek_wzw จาก Qihoo 360 Nirvan Team

CoreGraphics

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4194: Jihui Lu จาก Tencent KeenLab, Yu Zhou จาก Ant-financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 21 มิถุนายน 2018

CUPS

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: กระบวนการในระบบอาจปรับเปลี่ยนกระบวนการอื่นๆ โดยไม่ต้องตรวจสอบสิทธิ์

คำอธิบาย: มีปัญหาใน CUPS ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2018-4180: Dan Bastone จาก Gotham Digital Science

เพิ่มรายการเมื่อวันที่ 11 กรกฎาคม 2018

CUPS

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านไฟล์เป็นรากตามอำเภอใจได้

คำอธิบาย: มีปัญหาใน CUPS ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงข้อจำกัดการเข้าถึงให้ดียิ่งขึ้น

CVE-2018-4181: Eric Rafaloff และ John Dunlap จาก Gotham Digital Science

เพิ่มรายการเมื่อวันที่ 11 กรกฎาคม 2018

CUPS

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัดของ Sandbox เพิ่มเติมบน CUPS

CVE-2018-4182: Dan Bastone จาก Gotham Digital Science

เพิ่มรายการเมื่อวันที่ 11 กรกฎาคม 2018

CUPS

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัด Sandbox เพิ่มเติม

CVE-2018-4183: Dan Bastone และ Eric Rafaloff จาก Gotham Digital Science

เพิ่มรายการเมื่อวันที่ 11 กรกฎาคม 2018

EFI

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ผู้โจมตีที่เข้าถึงอุปกรณ์อาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2018-4478: นักวิจัยนิรนาม, นักวิจัยนิรนาม, Ben Erickson จาก Trusted Computer Consulting, LLC

เพิ่มรายการเมื่อวันที่ 15 กุมภาพันธ์ 2019

เฟิร์มแวร์

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายที่มีสิทธิ์ในระดับรากอาจสามารถปรับเปลี่ยนพื้นที่หน่วยความจำแฟลช EFI ได้

คำอธิบาย: ปัญหาการกำหนดค่าอุปกรณ์ได้รับการแก้ไขแล้วด้วยการกำหนดค่าที่อัพเดทแล้ว

CVE-2018-4251: Maxim Goryachy และ Mark Ermolov

FontParser

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

ผลกระทบ: การประมวลผลไฟล์แบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4211: Proteas จาก Qihoo 360 Nirvan Team

Grand Central Dispatch

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: มีปัญหาในการแยกวิเคราะห์สิทธิ์ plist ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4229: Jakob Rieck (@0xdead10cc) จาก Security in Distributed Systems Group, University of Hamburg

ไดรเวอร์กราฟิก

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2018-4159: Axis และ pjf จาก IceSword Lab ของ Qihoo 360

Hypervisor

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2018-4242: Zhuo Liang จาก Qihoo 360 Nirvan Team

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

iBooks

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถปลอมการขอรหัสผ่านใน iBooks ได้

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4202: Jerry Decime

บริการระบุตัวตน

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถเข้าถึง Apple ID ของผู้ใช้เครื่อง

คำอธิบาย: ปัญหาความเป็นส่วนตัวในการจัดการกับบันทึก Open Directory ได้รับการจัดการด้วยการปรับปรุงการทำดัชนี

CVE-2018-4217: Jacob Greenfield จาก Commonwealth School

เพิ่มรายการเมื่อวันที่ 10 ธันวาคม 2018

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2018-4141: นักวิจัยนิรนาม, Zhao Qixun (@S0rryMybad) จาก Qihoo 360 Vulcan Team

IOFireWireAVC

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2018-4228: Benjamin Gnahm (@mitp0sh) จาก Mentor Graphics

IOGraphics

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4236: Zhao Qixun(@S0rryMybad) จาก Qihoo 360 Vulcan Team

IOHIDFamily

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4234: Proteas จาก Qihoo 360 Nirvan Team

เคอร์เนล

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4249: Kevin Backhouse จาก Semmle Ltd.

อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2018

เคอร์เนล

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ในบางสถานการณ์ ระบบปฏิบัติการบางระบบอาจไม่สามารถคาดการณ์หรือจัดการข้อยกเว้นการดีบักสถาปัตยกรรม Intel ได้อย่างเหมาะสมหลังจากได้รับคำสั่งบางประการ ปัญหานี้ดูเหมือนจะมาจากผลข้างเคียงของคำสั่งที่ไม่ได้มีการบันทึกไว้ ผู้โจมตีอาจใช้ประโยชน์จากข้อยกเว้นนี้ในการเข้าถึง Ring 0 และเข้าถึงหน่วยความจำที่สำคัญ หรือควบคุมกระบวนการของระบบปฏิบัติการ

CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox) จาก Everdox Tech LLC

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2018-4241: Ian Beer จาก Google Project Zero

CVE-2018-4243: Ian Beer จาก Google Project Zero

libxpc

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4237: Samuel Groß (@5aelo) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

libxpc

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4404: Samuel Groß (@5aelo) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

เมล

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ผู้โจมตีอาจสามารถถอนคอนเทนต์ของอีเมลที่เข้ารหัส S/MIME ได้

คำอธิบาย: มีปัญหาในการจัดการเมลที่เข้ารหัส ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการแยก MIME ในเมลให้ดียิ่งขึ้น

CVE-2018-4227: Damian Poddebniak จาก Münster University of Applied Sciences, Christian Dresen จาก Münster University of Applied Sciences, Jens Müller จาก Ruhr University Bochum, Fabian Ising จาก Münster University of Applied Sciences, Sebastian Schinzel จาก Münster University of Applied Sciences, Simon Friedberger จาก KU Leuven, Juraj Somorovsky จาก Ruhr University Bochum, Jörg Schwenk จาก Ruhr University Bochum

ข้อความ

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถโจมตีโดยการปลอมตัวได้

คำอธิบาย: ปัญหาการป้อนข้อมูลได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4235: Anurodh Pokharel จาก Salesforce.com

ข้อความ

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: การประมวลผลข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบข้อความให้ดียิ่งขึ้น

CVE-2018-4240: Sriram (@Sri_Hxor) จาก PrimeFort Pvt. Ltd

ไดรเวอร์กราฟิก NVIDIA

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2018-4230: Ian Beer จาก Google Project Zero

ความปลอดภัย

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ผู้ใช้อาจถูกเว็บไซต์ที่มุ่งร้ายติดตามรอยโดยอาศัยใบรับรองฝั่งไคลเอนต์

คำอธิบาย: มีปัญหาในการจัดการใบรับรอง S-MIME ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบใบรับรอง S-MIME ให้ดียิ่งขึ้น

CVE-2018-4221: Damian Poddebniak จาก Münster University of Applied Sciences, Christian Dresen จาก Münster University of Applied Sciences, Jens Müller จาก Ruhr University Bochum, Fabian Ising จาก Münster University of Applied Sciences, Sebastian Schinzel จาก Münster University of Applied Sciences, Simon Friedberger จาก KU Leuven, Juraj Somorovsky จาก Ruhr University Bochum, Jörg Schwenk จาก Ruhr University Bochum

ความปลอดภัย

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านตัวระบุบัญชีที่ยังคงอยู่ได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

ความปลอดภัย

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านตัวระบุอุปกรณ์ที่ยังคงอยู่ได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

ความปลอดภัย

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถแก้ไขสถานะของพวงกุญแจได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4225: Abraham Masri (@cheesecakeufo)

ความปลอดภัย

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถดูข้อมูลที่สำคัญของผู้ใช้ได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4226: Abraham Masri (@cheesecakeufo)

เสียงพูด

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: มีปัญหาเกี่ยวกับ Sandbox ในการจัดการการเข้าถึงไมโครโฟน ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการการเข้าถึงไมโครโฟนให้ดียิ่งขึ้น

CVE-2018-4184: Jakob Rieck (@0xdead10cc) จาก Security in Distributed Systems Group, University of Hamburg

UIKit

มีให้สำหรับ: macOS High Sierra 10.13.4

ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการข้อความ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบข้อความให้ดียิ่งขึ้น

CVE-2018-4198: Hunter Byrnes

Windows Server

มีให้สำหรับ: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4193: Markus Gaasedelen, Amy Burnett และ Patrick Biernat จาก Ret2 Systems, Inc ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Richard Zhu (fluorescence) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 8 ตุลาคม 2019

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: