เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Mojave 10.14

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Mojave 10.14.

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

macOS Mojave 10.14

เปิดตัวเมื่อวันที่ 24 กันยายน 2018

บลูทูธ

มีให้สำหรับ: iMac (21.5 นิ้ว ปลายปี 2012), iMac (27 นิ้ว ปลายปี 2012), iMac (21.5 นิ้ว ปลายปี 2013), iMac (21.5 นิ้ว กลางปี 2014), iMac (Retina 5K 27 นิ้ว ปลายปี 2014), iMac (21.5 นิ้ว ปลายปี 2015), Mac mini (กลางปี 2011), Mac mini Server (กลางปี 2011), Mac mini (ปลายปี 2012), Mac mini Server (ปลายปี 2012), Mac mini (ปลายปี 2014), Mac Pro (ปลายปี 2013), MacBook Air (11 นิ้ว กลางปี 2011), MacBook Air (13 นิ้ว กลางปี 2011), MacBook Air (11 นิ้ว กลางปี 2012), MacBook Air (13 นิ้ว กลางปี 2012), MacBook Air (11 นิ้ว กลางปี 2013), MacBook Air (13 นิ้ว กลางปี 2013), MacBook Air (11 นิ้ว ต้นปี 2015), MacBook Air (13 นิ้ว ต้นปี 2015), MacBook Pro (13 นิ้ว กลางปี 2012), MacBook Pro (15 นิ้ว กลางปี 2012), MacBook Pro (Retina 13 นิ้ว ต้นปี 2013), MacBook Pro (Retina 15 นิ้ว ต้นปี 2013), MacBook Pro (Retina 13 นิ้ว ปลายปี 2013) และ MacBook Pro (Retina 15 นิ้ว ปลายปี 2013)

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับการรับส่งข้อมูลทางบลูทูธได้

คำอธิบาย: มีปัญหาการตรวจสอบอินพุตในบลูทูธ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-5383: Lior Neumann และ Eli Biham

 

อัพเดทด้านล่างมีให้ใช้งานสำหรับรุ่น Mac ต่อไปนี้: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (รุ่นปลายปี 2013, กลางปี 2010 และกลางปี 2012 ที่มีหน่วยประมวลผลกราฟิกที่สามารถใช้งาน Metal ตามที่แนะนำ ซึ่งรวมถึง MSI Gaming Radeon RX 560 และ Sapphire Radeon PULSE RX 580)

afpserver

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถโจมตีเซิร์ฟเวอร์ AFP ผ่านไคลเอนต์ HTTP

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4295: Jianjun Chen (@whucjj) จาก Tsinghua University และ UC Berkeley

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

App Store

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถระบุ Apple ID ของเจ้าของคอมพิวเตอร์ได้

คำอธิบาย: มีปัญหาสิทธิ์อนุญาตในการจัดการ Apple ID ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการควบคุมการเข้าถึงให้ดียิ่งขึ้น

CVE-2018-4324: Sergii Kryvoblotskyi จาก MacPaw Inc.

AppleGraphicsControl

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2018-4417: Lee จาก Information Security Lab, Yonsei University ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

แอพพลิเคชั่นไฟร์วอลล์

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาในการกำหนดค่าได้รับการแก้ไขแล้วด้วยข้อจำกัดเพิ่มเติม

CVE-2018-4353: Abhinav Bansal จาก LinkedIn Inc.

อัพเดทรายการเมื่อวันที่ 30 ตุลาคม 2018

APR

ผลกระทบ: มีปัญหาบัฟเฟอร์ล้นแบบพอกพูนใน Perl

คำอธิบาย: ปัญหาหลายประการใน Perl ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2017-12613: Craig Young จาก Tripwire VERT

CVE-2017-12618: Craig Young จาก Tripwire VERT

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

ATS

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4411: lilang wu moony Li จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

ATS

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2018-4308: Mohamed Ghannam (@_simo36)

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

ปลดล็อคโดยอัตโนมัติ

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถเข้าถึง Apple ID ของผู้ใช้เครื่อง

คำอธิบาย: มีปัญหาเกี่ยวกับการตรวจสอบในการตรวจสอบยืนยันสิทธิ์ ปัญหาได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบกระบวนการให้ดียิ่งขึ้น

CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai จาก Alibaba Inc.

CFNetwork

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4126: Bruno Keith (@bkth_) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

CoreFoundation

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4412: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

CoreFoundation

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4414: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

CoreText

ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4347: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

ตัวรายงานการล่ม

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2018-4333: Brandon Azad

CUPS

ผลกระทบ: ในการกำหนดค่าบางอย่าง ผู้โจมตีระยะไกลอาจสามารถเปลี่ยนคอนเทนต์ข้อความจากเซิร์ฟเวอร์การพิมพ์ด้วยคอนเทนต์โดยอำเภอใจ

คำอธิบาย: ปัญหาการป้อนได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4153: Michael Hanselmann จาก hansmi.ch

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

CUPS

ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4406: Michael Hanselmann จาก hansmi.ch

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

พจนานุกรม

ผลกระทบ: การแยกวิเคราะห์ไฟล์พจนานุกรมที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การเปิดเผยข้อมูลของผู้ใช้งานได้

คำอธิบาย: มีปัญหาการตรวจสอบที่ทำให้เข้าถึงไฟล์ในระบบได้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการดูแลอินพุต

CVE-2018-4346: Wojciech Reguła (@_r3ggi) จาก SecuRing

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

Grand Central Dispatch

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4426: Brandon Azad

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

Heimdal

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

Hypervisor

ผลกระทบ: ระบบที่มีไมโครโปรเซสเซอร์ที่ใช้การดำเนินการเชิงคาดเดาและการแปลที่อยู่อาจทำให้เกิดการเปิดเผยข้อมูลที่อยู่ในแคชข้อมูล L1 โดยไม่ได้รับอนุญาตแก่ผู้โจมตีที่มีสิทธิ์เข้าใช้ของผู้ใช้เฉพาะเครื่องด้วยสิทธิ์พิเศษของผู้ใช้ทั่วไปของ OS ผ่านหน้าความผิดพลาดของหน้าเทอร์มินัลและการวิเคราะห์โดยอาศัยผลข้างเคียง

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการล้างแคชข้อมูล L1 ที่รายการเครื่องเสมือน

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse และ Thomas F. Wenisch จาก University of Michigan, Mark Silberstein และ Marina Minkin จาก Technion, Raoul Strackx, Jo Van Bulck และ Frank Piessens จาก KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun และ Kekai Hu จาก Intel Corporation, Yuval Yarom จาก The University of Adelaide

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

iBooks

ผลกระทบ: การแยกวิเคราะห์ไฟล์ iBooks ที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหาในการกำหนดค่าได้รับการแก้ไขแล้วด้วยข้อจำกัดเพิ่มเติม

CVE-2018-4355: evi1m0 จาก bilibili security team

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

ไดรเวอร์กราฟิกของ Intel

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2018-4396: Yu Wang จาก Didi Research America

CVE-2018-4418: Yu Wang จาก Didi Research America

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

ไดรเวอร์กราฟิกของ Intel

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4351: Appology Team @ Theori ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

ไดรเวอร์กราฟิกของ Intel

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4350: Yu Wang จาก Didi Research America

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

ไดรเวอร์กราฟิกของ Intel

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4334: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

IOHIDFamily

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4408: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

IOKit

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4341: Ian Beer จาก Google Project Zero

CVE-2018-4354: Ian Beer จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

IOKit

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4383: Apple

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

IOUserEthernet

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4401: Apple

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

เคอร์เนล

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถทำให้ข้อมูลผู้ใช้ที่มีความสำคัญรั่วไหลได้

คำอธิบาย: มีปัญหาในการเข้าถึงด้วยการเรียก API ที่มีสิทธิ์ ปัญหานี้ได้รับการแก้ไขแล้วด้วยข้อจำกัดเพิ่มเติม

CVE-2018-4399: Fabiano Anemone (@anoane)

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

เคอร์เนล

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถใช้รหัสได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4407: Kevin Backhouse จาก Semmle Ltd.

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

เคอร์เนล

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer จาก Google Project Zero

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร

CVE-2018-4425: cc ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Juwei Lin (@panicaII) จาก Trend Micro ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 30 ตุลาคม 2018

LibreSSL

ผลกระทบ: ปัญหาหลายประการใน libressl ได้รับการแก้ไขแล้วในการอัพเดทครั้งนี้

คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขด้วยการอัพเดทเป็น libressl เวอร์ชั่น 2.6.4

CVE-2015-3194

CVE-2015-5333

CVE-2015-5334

CVE-2016-702

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

หน้าต่างเข้าสู่ระบบ

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2018-4348: Ken Gannon จาก MWR InfoSecurity และ Christian Demko จาก MWR InfoSecurity

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

mDNSOffloadUserClient

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4326: นักวิจัยนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Zhuo Liang จาก Qihoo 360 Nirvan Team

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

MediaRemote

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัด Sandbox เพิ่มเติม

CVE-2018-4310: CodeColorist จาก Ant-Financial LightYear Labs

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

Microcode

ผลกระทบ: ระบบที่มีไมโครโปรเซสเซอร์ที่ใช้การดำเนินการเชิงคาดเดาและการดำเนินการเชิงคาดเดาในการอ่านหน่วยความจำก่อนจะรู้จักที่อยู่ของการเขียนหน่วยความจำหลักทั้งหมด อาจทำให้เกิดการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตแก่ผู้โจมตีที่มีสิทธิ์เข้าใช้ของผู้ใช้เฉพาะเครื่องผ่านการวิเคราะห์โดยอาศัยผลข้างเคียง

คำอธิบาย: ปัญหาการเปิดเผยข้อมูลได้รับการแก้ไขแล้วด้วยการอัพเดท microcode เพื่อให้แน่ใจว่าข้อมูลเก่าที่อ่านจากที่อยู่ที่เขียนถึงล่าสุดไม่สามารถอ่านได้ผ่านการคาดเดาผลข้างเคียง

CVE-2018-3639: Jann Horn (@tehjh) จาก Google Project Zero (GPZ) Ken Johnson จาก Microsoft Security Response Center (MSRC)

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

ความปลอดภัย

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้เกิดการปฏิเสธบริการได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4395: Patrick Wardle จาก Digita Security

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

ความปลอดภัย

ผลกระทบ: ผู้โจมตีอาจสามารถใช้จุดอ่อนในอัลกอริทึมการเข้ารหัส RC4 ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำ RC4 ออก

CVE-2016-1777: Pepi Zawodsky

Spotlight

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4393: Lufeng Li

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

Symptom Framework

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2018-4203: Bruno Keith (@bkth_) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

ข้อความ

ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2018-4304: jianan.huang (@Sevck)

เพิ่มรายการเมื่อวันที่ 30 ตุลาคม 2018

Wi-Fi

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2018-4338: Lee @ SECLAB, Yonsei University ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 23 ตุลาคม 2018

คำขอบคุณพิเศษ

เฟรมเวิร์กการช่วยการเข้าถึง

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ryan Govostes

ข้อมูล Core

เราขอขอบคุณสำหรับความช่วยเหลือจาก Andreas Kurtz (@aykay) จาก NESO Security Labs GmbH

CoreGraphics

เราขอขอบคุณสำหรับความช่วยเหลือจาก Nitin Arya จาก Roblox Corporation

เมล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Alessandro Avagliano จาก Rocket Internet SE, John Whitehead จาก The New York Times, Kelvin Delbarre จาก Omicron Software Systems และ Zbyszek Żółkiewski

ความปลอดภัย

เราขอขอบคุณสำหรับความช่วยเหลือจาก Christoph Sinai, Daniel Dudek (@dannysapples) จาก The Irish Times และ Filip Klubička (@lemoncloak) จาก ADAPT Centre, Dublin Institute of Technology, Istvan Csanady จาก Shapr3D, Omar Barkawi จาก ITG Software, Inc., Phil Caleno, Wilson Ding และนักวิจัยนิรนาม

SQLite

เราขอขอบคุณสำหรับความช่วยเหลือจาก Andreas Kurtz (@aykay) จาก NESO Security Labs GmbH

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: