เกี่ยวกับเนื้อหาความปลอดภัยของ macOS Mojave 10.14.2, รายการอัพเดทความปลอดภัย 2018-003 High Sierra, รายการอัพเดทความปลอดภัย 2018-006 Sierra

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Mojave 10.14.2, รายการอัพเดทความปลอดภัย 2018-003 High Sierra และรายการอัพเดทความปลอดภัย 2018-006 Sierra

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple คุณสามารถเข้ารหัสการสื่อสารกับ Apple ได้โดยใช้คีย์ PGP สำหรับความปลอดภัยของผลิตภัณฑ์ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

macOS Mojave 10.14.2, รายการอัพเดทความปลอดภัย 2018-003 High Sierra, รายการอัพเดทความปลอดภัย 2018-006 Sierra

เปิดตัวเมื่อวันที่ 5 ธันวาคม 2018

AirPort

มีให้สำหรับ: macOS Mojave 10.14.1

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4303: Mohamed Ghannam (@_simo36)

อัพเดทรายการเมื่อวันที่ 21 ธันวาคม 2018

AMD

มีให้สำหรับ: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2018-4462: cocoahuke, Lilang Wu และ Moony Li จาก TrendMicro Mobile Security Research Team ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 21 ธันวาคม 2018

Carbon Core

มีให้สำหรับ: macOS Mojave 10.14.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)

ภาพดิสก์

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4465: ทีม Pangu

Hypervisor

มีให้สำหรับ: macOS Mojave 10.14.1

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise และ Fred Jacobs จาก the Virtual Machine Monitor Group of VMware, Inc.

เพิ่มรายการเมื่อวันที่ 22 มกราคม 2019

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS Mojave 10.14.1

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4452: Liu Long จาก Qihoo 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 22 มกราคม 2019

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS Mojave 10.14.1

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4434: Zhuo Liang จาก Qihoo 360 Nirvan Team

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS Sierra 10.12.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4456: Tyler Bohan จาก Cisco Talos

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2018 อัพเดทรายการเมื่อวันที่ 22 มกราคม 2019

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4421: Tyler Bohan จาก Cisco Talos

เพิ่มรายการเมื่อวันที่ 21 ธันวาคม 2018

IOHIDFamily

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4427: ทีม Pangu

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.1, macOS High Sierra 10.13.6

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4431: นักวิจัยความปลอดภัยอิสระได้รายงานข้อมูลช่องโหว่นี้แก่โปรแกรม SecuriTeam Secure Disclosure ของ Beyond Security

CVE-2018-4448: Brandon Azad

เพิ่มรายการเมื่อวันที่ 24 มิถุนายน 2019

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.1

ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการลบรหัสที่มีความเสี่ยง

CVE-2018-4460: Kevin Backhouse จาก Semmle Security Research Team

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.1

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4431: นักวิจัยความปลอดภัยอิสระได้รายงานข้อมูลช่องโหว่นี้แก่โปรแกรม SecuriTeam Secure Disclosure ของ Beyond Security

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4447: Juwei Lin(@panicaII) และ Zhengyu Dong จาก TrendMicro Mobile Security Team ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 21 ธันวาคม 2018

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2018-4435: Jann Horn จาก Google Project Zero, Juwei Lin(@panicaII) และ Junzhi Lu จาก TrendMicro Mobile Security Team ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 21 ธันวาคม 2018

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-4461: Ian Beer จาก Google Project Zero

WindowServer

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4449: Hanqing Zhao, Yufeng Ruan และ Kun Yang จาก Chaitin Security Research Lab

CVE-2018-4450: Hanqing Zhao, Yufeng Ruan และ Kun Yang จาก Chaitin Security Research Lab

คำขอบคุณพิเศษ

LibreSSL

เราขอขอบคุณสำหรับความช่วยเหลือจาก Keegan Ryan จาก NCC Group

NetAuth

เราขอขอบคุณสำหรับความช่วยเหลือจาก Vladimir Ivanov จาก Digital Security

โปรโตคอลการลงทะเบียนใบรับรองอย่างง่าย (SCEP)

เราขอขอบคุณสำหรับความช่วยเหลือจาก Tim Cappalli จาก Aruba และบริษัท Hewlett Packard Enterprise

Time Machine

เราขอขอบคุณสำหรับความช่วยเหลือจาก Matthew Thomas จาก Verisign

เพิ่มรายการเมื่อวันที่ 22 มกราคม 2019

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: