关于 macOS Mojave 10.14.1、安全性更新 2018-002 High Sierra、安全性更新 2018-005 Sierra 的安全性内容
本文介绍了 macOS Mojave 10.14.1、安全性更新 2018-002 High Sierra、安全性更新 2018-005 Sierra 的安全性内容。
关于 Apple 安全性更新
为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。
如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。
如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。
macOS Mojave 10.14.1、安全性更新 2018-002 High Sierra、安全性更新 2018-005 Sierra
afpserver
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:远程攻击者或许能够通过 HTTP 客户端攻击 AFP 服务器
描述:已通过改进输入验证解决输入验证问题。
CVE-2018-4295: Jianjun Chen (@whucjj) from Tsinghua University and UC Berkeley
AppleGraphicsControl
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进输入验证解决内存损坏问题。
CVE-2018-4410: an anonymous researcher working with Trend Micro's Zero Day Initiative
AppleGraphicsControl
适用于:macOS High Sierra 10.13.6
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2018-4417: Lee of the Information Security Lab Yonsei University working with Trend Micro's Zero Day Initiative
APR
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:Perl 中存在多个缓冲区溢出问题
描述:已通过改进内存处理解决 Perl 中的多个问题。
CVE-2017-12613: Craig Young of Tripwire VERT
CVE-2017-12618: Craig Young of Tripwire VERT
ATS
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:恶意应用程序或许能够提升权限
描述:已通过改进输入验证解决内存损坏问题。
CVE-2018-4411: lilang wu moony Li of Trend Micro working with Trend Micro's Zero Day Initiative
ATS
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:应用程序或许能够读取受限内存
描述:已通过改进边界检查解决越界读取问题。
CVE-2018-4308: Mohamed Ghannam (@_simo36)
自动操作
适用于:macOS Mojave 10.14
影响:恶意应用程序或许能够访问受限制的文件
描述:已通过移除额外授权解决这个问题。
CVE-2018-4468: Jeff Johnson of underpassapp.com
CFNetwork
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4126: Bruno Keith (@bkth_) working with Trend Micro's Zero Day Initiative
CoreAnimation
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4415: Liang Zhuo working with Beyond Security’s SecuriTeam Secure Disclosure
CoreCrypto
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:攻击者或许能够利用 Miller-Rabin 素性测试中的漏洞来错误识别素数
描述:素数的确定方法存在问题。已通过将伪随机数用于素性测试解决这个问题。
CVE-2018-4398: Martin Albrecht, Jake Massimo and Kenny Paterson of Royal Holloway, University of London, and Juraj Somorovsky of Ruhr University, Bochum
CoreFoundation
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:恶意应用程序或许能够提升权限
描述:已通过改进输入验证解决内存损坏问题。
CVE-2018-4412: The UK's National Cyber Security Centre (NCSC)
CUPS
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:在某些配置中,远程攻击者或许能够将打印服务器中的信息内容替换成任意内容
描述:已通过改进验证解决注入问题。
CVE-2018-4153: Michael Hanselmann of hansmi.ch
CUPS
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:拥有特权地位的攻击者或许能够发动拒绝服务攻击
描述:已通过改进验证解决服务遭拒问题。
CVE-2018-4406: Michael Hanselmann of hansmi.ch
词典
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:解析恶意制作的词典文件可能会导致用户信息泄露
描述:存在允许访问本地文件的验证问题。已通过输入清理解决这个问题。
CVE-2018-4346: Wojciech Reguła (@_r3ggi) of SecuRing
程序坞
适用于:macOS Mojave 10.14
影响:恶意应用程序或许能够访问受限制的文件
描述:已通过移除额外授权解决这个问题。
CVE-2018-4403: Patrick Wardle of Digita Security
dyld
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14、macOS Sierra 10.12.6
影响:恶意应用程序或许能够提升权限
描述:已通过改进验证解决逻辑问题。
CVE-2018-4423: Youfu Zhang of Chaitin Security Research Lab (@ChaitinTech)
EFI
适用于:macOS High Sierra 10.13.6
影响:配备微处理器,且在得知所有先前内存写入的地址之前采用预测执行和内存读取预测执行的系统,可能会允许通过边信道分析来向拥有本地用户访问权限的攻击者未经授权地泄露信息
描述:已通过更新微代码解决信息泄露问题。这可确保无法通过预测边信道来读取最近写入地址中的旧数据。
CVE-2018-3639: Jann Horn (@tehjh) of Google Project Zero (GPZ), Ken Johnson of the Microsoft Security Response Center (MSRC)
EFI
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:本地用户或许能够修改文件系统的受保护部分
描述:配置问题已通过额外的限制得到解决。
CVE-2018-4342: Timothy Perfitt of Twocanoes Software
Foundation
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:处理恶意制作的文本文件可能会导致服务遭拒
描述:已通过改进验证解决服务遭拒问题。
CVE-2018-4304: jianan.huang (@Sevck)
Grand Central Dispatch
适用于:macOS High Sierra 10.13.6
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4426: Brandon Azad
Heimdal
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4331: Brandon Azad
虚拟机管理程序
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:配备微处理器且采用预测执行和地址转换的系统,可能会允许通过终端页面错误和边信道分析来向拥有本地用户访问权限和客人 OS 权限的攻击者未经授权地泄露驻存于 L1 数据缓存中的信息
描述:已通过在虚拟机入口处清空 L1 数据缓存解决信息泄露问题。
CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse, and Thomas F. Wenisch of University of Michigan, Mark Silberstein and Marina Minkin of Technion, Raoul Strackx, Jo Van Bulck, and Frank Piessens of KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun, and Kekai Hu of Intel Corporation, Yuval Yarom of The University of Adelaide
虚拟机管理程序
适用于:macOS Sierra 10.12.6
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进锁定解决内存损坏漏洞问题。
CVE-2018-4242: Zhuo Liang of Qihoo 360 Nirvan Team
ICU
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14、macOS Sierra 10.12.6
影响:处理恶意制作的字符串可能会导致堆损坏
描述:已通过改进输入验证解决内存损坏问题。
CVE-2018-4394: Erik Verbruggen of The Qt Company
Intel 图形卡驱动程序
适用于:macOS Sierra 10.12.6
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4334: Ian Beer of Google Project Zero
Intel 图形卡驱动程序
适用于:macOS High Sierra 10.13.6
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2018-4396: Yu Wang of Didi Research America
CVE-2018-4418: Yu Wang of Didi Research America
Intel 图形卡驱动程序
适用于:macOS High Sierra 10.13.6
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进输入验证解决内存损坏问题。
CVE-2018-4350: Yu Wang of Didi Research America
Intel 图形卡驱动程序
适用于:macOS Mojave 10.14
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存初始化问题。
CVE-2018-4421: Tyler Bohan of Cisco Talos
IOGraphics
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4422: an anonymous researcher working with Trend Micro's Zero Day Initiative
IOHIDFamily
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:恶意应用程序或许能够以内核权限执行任意代码
描述:已通过改进输入验证解决内存损坏问题。
CVE-2018-4408: Ian Beer of Google Project Zero
IOKit
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4402: Proteas of Qihoo 360 Nirvan Team
IOKit
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:恶意应用程序或许能够突破沙盒
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4341: Ian Beer of Google Project Zero
CVE-2018-4354: Ian Beer of Google Project Zero
IOUserEthernet
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4401: Apple
IPSec
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:应用程序或许能够获取提升的权限
描述:已通过改进输入验证解决越界读取问题。
CVE-2018-4371: Tim Michaud (@TimGMichaud) of Leviathan Security Group
内核
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过移除易受攻击的代码解决内存损坏问题。
CVE-2018-4420: Mohamed Ghannam (@_simo36)
内核
适用于:macOS High Sierra 10.13.6
影响:恶意应用程序或许能够泄露敏感用户信息
描述:特权 API 调用存在访问问题。已通过增加限制解决这个问题。
CVE-2018-4399: Fabiano Anemone (@anoane)
内核
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4419: Mohamed Ghannam (@_simo36)
CVE-2018-4425: cc working with Trend Micro's Zero Day Initiative, Juwei Lin (@panicaII) of Trend Micro working with Trend Micro's Zero Day Initiative
内核
适用于:macOS Sierra 10.12.6
影响:装载恶意制作的 NFS 网络共享可能会导致以系统权限执行任意代码
描述:已通过改进内存处理解决多个内存损坏问题。
CVE-2018-4259: Kevin Backhouse of Semmle and LGTM.com
CVE-2018-4286: Kevin Backhouse of Semmle and LGTM.com
CVE-2018-4287: Kevin Backhouse of Semmle and LGTM.com
CVE-2018-4288: Kevin Backhouse of Semmle and LGTM.com
CVE-2018-4291: Kevin Backhouse of Semmle and LGTM.com
内核
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:应用程序或许能够读取受限内存
描述:已通过改进内存处理解决内存初始化问题。
CVE-2018-4413: Juwei Lin (@panicaII) of TrendMicro Mobile Security Team
内核
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:拥有特权网络地位的攻击者或许能够执行任意代码
描述:已通过改进验证解决内存损坏问题。
CVE-2018-4407: Kevin Backhouse of Semmle Ltd.
内核
适用于:macOS Mojave 10.14
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进大小验证解决缓冲区溢出问题。
CVE-2018-4424: Dr. Silvio Cesare of InfoSect
LinkPresentation
适用于:macOS Sierra 10.12.6
影响:处理恶意制作的文本信息可能会导致 UI 欺诈问题
描述:处理 URL 时存在欺诈问题。已通过改进输入验证解决这个问题。
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) of Tencent Security Platform Department
登录窗口
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:本地用户可能会导致服务遭拒
描述:已通过改进逻辑解决验证问题。
CVE-2018-4348: Ken Gannon of MWR InfoSecurity and Christian Demko of MWR InfoSecurity
邮件
适用于:macOS Mojave 10.14
影响:处理恶意制作的邮件可能会导致 UI 欺诈问题
描述:已通过改进状态管理解决用户界面不一致问题。
CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason of Syndis
mDNSOffloadUserClient
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4326: an anonymous researcher working with Trend Micro's Zero Day Initiative, Zhuo Liang of Qihoo 360 Nirvan Team
MediaRemote
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:沙箱化进程或许能够绕过沙箱限制
描述:已通过增加沙盒限制解决访问问题。
CVE-2018-4310: CodeColorist of Ant-Financial LightYear Labs
微代码
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:配备微处理器且采用预测执行以及执行系统注册表预测读取的系统,可能会允许通过边信道分析来向拥有本地用户访问权限的攻击者未经授权地泄露系统参数
描述:已通过更新微代码解决信息泄露问题。这可确保无法通过预测执行边信道泄露特定于实现的系统注册表。
CVE-2018-3640: Innokentiy Sennovskiy from BiZone LLC (bi.zone), Zdenek Sojka, Rudolf Marek and Alex Zuepke from SYSGO AG (sysgo.com)
NetworkExtension
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:连接到 VPN 服务器可能会将 DNS 查询泄露给 DNS 代理
描述:已通过改进状态管理解决逻辑问题。
CVE-2018-4369: an anonymous researcher
Perl
适用于:macOS Sierra 10.12.6
影响:Perl 中存在多个缓冲区溢出问题
描述:已通过改进内存处理解决 Perl 中的多个问题。
CVE-2018-6797: Brian Carpenter
Ruby
适用于:macOS Sierra 10.12.6
影响:远程攻击者可能会导致应用程序意外终止或任意代码执行
描述:这个更新解决了 Ruby 中的多个问题。
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
安全性
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:处理恶意制作的由 S/MIME 签名的信息可能会导致服务遭拒
描述:已通过改进逻辑解决验证问题。
CVE-2018-4400: Yukinobu Nagayasu of LAC Co., Ltd.
安全性
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:本地用户可能会导致服务遭拒
描述:已通过改进检查解决这个问题。
CVE-2018-4395: Patrick Wardle of Digita Security
聚焦
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4393: Lufeng Li
症状框架
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:应用程序或许能够读取受限内存
描述:已通过改进边界检查解决越界读取问题。
CVE-2018-4203: Bruno Keith (@bkth_) working with Trend Micro's Zero Day Initiative
Wi-Fi
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14
影响:拥有特权地位的攻击者或许能够发动拒绝服务攻击
描述:已通过改进验证解决服务遭拒问题。
CVE-2018-4368: Milan Stute and Alex Mariotto of Secure Mobile Networking Lab at Technische Universität Darmstadt
其他表彰
日历
由衷感谢 Verisign 的 Matthew Thomas 为我们提供的协助。
coreTLS
由衷感谢 Eyal Ronen(魏兹曼科学院)、Robert Gillham(阿德莱德大学)、Daniel Genkin(密歇根大学)、Adi Shamir(魏兹曼科学院)、David Wong (NCC Group) 以及 Yuval Yarom(阿德莱德大学和 Data61)为我们提供的协助。
iBooks
由衷感谢 Fontys Hogeschool ICT 的 Sem Voigtländer 为我们提供的协助。
内核
由衷感谢 Brandon Azad 为我们提供的协助。
LaunchServices
由衷感谢 Square 的 Alok Menghrajani 为我们提供的协助。
快速查看
由衷感谢 Google Project Zero 的 lokihardt 为我们提供的帮助。
安全性
由衷感谢 Parachute 的 Marinos Bernitsas 为我们提供的协助。
终端
由衷感谢 Federico Bento 为我们提供的协助。
时间机器
由衷感谢 Verisign 的 Matthew Thomas 为我们提供的协助。
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。