关于 Apple 安全性更新
为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。
如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。
如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。
macOS High Sierra 10.13.5、安全性更新 2018-003 Sierra、安全性更新 2018-003 El Capitan
发布于 2018 年 6 月 1 日
访问权限框架
适用于:macOS High Sierra 10.13.4
影响:恶意应用程序或许能够以系统权限执行任意代码
描述:访问权限框架存在信息泄露问题。已通过改进内存管理解决这个问题。
CVE-2018-4196: Alex Plaskett, Georgi Geshev and Fabian Beterke of MWR Labs working with Trend Micro’s Zero Day Initiative, and WanderingGlitch of Trend Micro Zero Day Initiative
条目更新于 2018 年 7 月 19 日
AMD
适用于:macOS High Sierra 10.13.4
影响:本地用户或许能够读取内核内存
描述:存在导致内核内存泄露的越界读取问题。已通过改进输入验证解决这个问题。
CVE-2018-4253: shrek_wzw of Qihoo 360 Nirvan Team
AMD
适用于:macOS High Sierra 10.13.4
影响:本地用户或许能够读取内核内存
描述:已通过改进输入验证解决越界读取问题。
CVE-2018-4256: shrek_wzw of Qihoo 360 Nirvan Team
条目添加于 2018 年 7 月 19 日
AMD
适用于:macOS High Sierra 10.13.4
影响:本地用户或许能够读取内核内存
描述:已通过改进输入验证解决越界读取问题。
CVE-2018-4255: shrek_wzw of Qihoo 360 Nirvan Team
条目添加于 2018 年 10 月 18 日,更新于 2018 年 12 月 14 日
AMD
适用于:macOS High Sierra 10.13.4
影响:应用程序或许能够以内核权限执行任意代码
描述:内核中存在输入验证问题。已通过改进输入验证解决这个问题。
CVE-2018-4254: an anonymous researcher
条目添加于 2018 年 10 月 18 日
AMD
适用于:macOS High Sierra 10.13.4
影响:应用程序或许能够以内核权限执行任意代码
描述:内核中存在输入验证问题。已通过改进输入验证解决这个问题。
CVE-2018-4254: shrek_wzw of Qihoo 360 Nirvan Team
条目添加于 2018 年 10 月 24 日
AppleGraphicsControl
适用于:macOS High Sierra 10.13.4
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进边界检查解决缓冲区溢出问题。
CVE-2018-4258: shrek_wzw of Qihoo 360 Nirvan Team
条目添加于 2018 年 10 月 18 日
AppleGraphicsPowerManagement
适用于:macOS High Sierra 10.13.4
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进大小验证解决缓冲区溢出问题。
CVE-2018-4257: shrek_wzw of Qihoo 360 Nirvan Team
条目添加于 2018 年 10 月 18 日
apache_mod_php
适用于:macOS High Sierra 10.13.4
影响:这一更新解决了 php 中的问题
描述:已通过更新到 php 版本 7.1.16 解决这个问题。
CVE-2018-7584: Wei Lei and Liu Yang of Nanyang Technological University
ATS
适用于:macOS High Sierra 10.13.4
影响:恶意应用程序或许能够提升权限
描述:已通过改进内存处理解决类型混淆问题。
CVE-2018-4219: Mohamed Ghannam (@_simo36)
蓝牙
适用于:MacBook Pro(视网膜显示屏,15 英寸,2015 年中)、MacBook Pro(视网膜显示屏,15 英寸,2015 年)、MacBook Pro(视网膜显示屏,13 英寸,2015 年初)、MacBook Pro(15 英寸,2017 年)、MacBook Pro(15 英寸,2016 年)、MacBook Pro(13 英寸,2016 年末,两个雷雳 3 端口)、MacBook Pro(13 英寸,2016 年末,四个雷雳 3 端口)、MacBook Pro(13 英寸,2017 年,四个雷雳 3 端口)、MacBook(视网膜显示屏,12 英寸,2016 年初)、MacBook(视网膜显示屏,12 英寸,2015 年初)、MacBook(视网膜显示屏,12 英寸,2017 年)、iMac Pro、iMac(视网膜 5K 显示屏,27 英寸,2015 年末)、iMac(视网膜 5K 显示屏,27 英寸,2017 年)、iMac(视网膜 4K 显示屏,21.5 英寸,2015 年末)、iMac(视网膜 4K 显示屏,21.5 英寸,2017 年)、iMac(21.5 英寸,2015 年末)和 iMac(21.5 英寸,2017 年)
影响:拥有特权网络地位的攻击者或许能够拦截蓝牙流量
描述:蓝牙存在输入验证问题。已通过改进输入验证解决这个问题。
CVE-2018-5383: Lior Neumann and Eli Biham
条目添加于 2018 年 7 月 23 日
蓝牙
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6
影响:恶意应用程序或许能够确定内核内存布局.
描述:设备属性存在信息泄露问题。已通过改进对象管理解决这个问题。
CVE-2018-4171: shrek_wzw of Qihoo 360 Nirvan Team
CoreGraphics
适用于:macOS High Sierra 10.13.4
影响:处理恶意制作的网页内容可能会导致任意代码执行
描述:已通过改进输入验证解决越界读取问题。
CVE-2018-4194: Jihui Lu of Tencent KeenLab, Yu Zhou of Ant-financial Light-Year Security Lab
条目添加于 2018 年 6 月 21 日
CUPS
适用于:macOS High Sierra 10.13.4
影响:本地进程可能在未经过授权检查的情况下修改其他进程
描述:CUPS 存在问题。已通过改进访问限制解决这个问题。
CVE-2018-4180: Dan Bastone of Gotham Digital Science
条目添加于 2018 年 7 月 11 日
CUPS
适用于:macOS High Sierra 10.13.4
影响:本地用户或许能以 root 用户身份读取任意文件
描述:CUPS 存在问题。已通过改进访问限制解决这个问题。
CVE-2018-4181: Eric Rafaloff and John Dunlap of Gotham Digital Science
条目添加于 2018 年 7 月 11 日
CUPS
适用于:macOS High Sierra 10.13.4
影响:沙盒化进程或许能够绕过沙盒限制
描述:已通过在 CUPS 上增加沙盒限制解决访问问题。
CVE-2018-4182: Dan Bastone of Gotham Digital Science
条目添加于 2018 年 7 月 11 日
CUPS
适用于:macOS High Sierra 10.13.4
影响:沙盒化进程或许能够绕过沙盒限制
描述:已通过增加沙盒限制解决访问问题。
CVE-2018-4183: Dan Bastone and Eric Rafaloff of Gotham Digital Science
条目添加于 2018 年 7 月 11 日
EFI
适用于:macOS High Sierra 10.13.4
影响:拥有设备实际访问权限的攻击者或许能够提升权限
描述:已通过改进逻辑解决验证问题。
CVE-2018-4478: an anonymous researcher, an anonymous researcher, Ben Erickson of Trusted Computer Consulting, LLC
条目添加于 2019 年 2 月 15 日
固件
适用于:macOS High Sierra 10.13.4
影响:拥有 root 权限的恶意应用程序或许能够修改 EFI 闪存区域
描述:已通过更新配置解决设备配置问题。
CVE-2018-4251: Maxim Goryachy and Mark Ermolov
FontParser
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13.4
影响:处理恶意制作的字体文件可能会导致任意代码执行
描述:已通过改进验证解决内存损坏问题。
CVE-2018-4211: Proteas of Qihoo 360 Nirvan Team
Grand Central Dispatch
适用于:macOS High Sierra 10.13.4
影响:沙盒化进程或许能够绕过沙盒限制
描述:解析权限 plist 时存在问题。已通过改进输入验证解决这个问题。
CVE-2018-4229: Jakob Rieck (@0xdead10cc) of the Security in Distributed Systems Group, University of Hamburg
图形卡驱动程序
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13.4
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2018-4159: Axis and pjf of IceSword Lab of Qihoo 360
虚拟机管理程序
适用于:macOS High Sierra 10.13.4
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进锁定解决内存损坏漏洞问题。
CVE-2018-4242: Zhuo Liang of Qihoo 360 Nirvan Team
条目添加于 2018 年 10 月 30 日
iBooks
适用于:macOS High Sierra 10.13.4
影响:拥有特权网络地位的攻击者或许能够伪造 iBooks 中的密码提示
描述:已通过改进输入验证解决输入验证问题。
CVE-2018-4202: Jerry Decime
身份服务
适用于:macOS High Sierra 10.13.4
影响:恶意应用程序或许能够访问本地用户的 Apple ID
描述:已通过改进索引解决处理 Open Directory 记录时的隐私问题。
CVE-2018-4217: Jacob Greenfield of Commonwealth School
条目添加于 2018 年 12 月 10 日
Intel 图形卡驱动程序
适用于:macOS High Sierra 10.13.4
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2018-4141: an anonymous researcher, Zhao Qixun (@S0rryMybad) of Qihoo 360 Vulcan Team
IOFireWireAVC
适用于:macOS High Sierra 10.13.4
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进锁定解决竞态条件问题。
CVE-2018-4228: Benjamin Gnahm (@mitp0sh) of Mentor Graphics
IOGraphics
适用于:macOS High Sierra 10.13.4
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4236: Zhao Qixun(@S0rryMybad) of Qihoo 360 Vulcan Team
IOHIDFamily
适用于:macOS High Sierra 10.13.4
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4234: Proteas of Qihoo 360 Nirvan Team
内核
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13.4
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4249: Kevin Backhouse of Semmle Ltd.
条目更新于 2018 年 12 月 18 日
内核
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6
影响:恶意应用程序或许能够以内核权限执行任意代码
描述:某些情况下,部分操作系统在完成某些指令之后可能无法正常或正确地处理 Intel 架构调试异常。这个问题似乎源于指令的某个没有记录在案的负效应。攻击者可能会利用这一异常处理来获取 Ring 0 的访问权,并访问敏感内存或控制操作系统进程。
CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox) of Everdox Tech LLC
内核
适用于:macOS High Sierra 10.13.4
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进边界检查解决缓冲区溢出问题。
CVE-2018-4241: Ian Beer of Google Project Zero
CVE-2018-4243: Ian Beer of Google Project Zero
libxpc
适用于:macOS High Sierra 10.13.4
影响:应用程序或许能够获取提升的权限
描述:已通过改进验证解决逻辑问题。
CVE-2018-4237: Samuel Groß (@5aelo) working with Trend Micro’s Zero Day Initiative
libxpc
适用于:macOS High Sierra 10.13.4
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4404: Samuel Groß (@5aelo) working with Trend Micro’s Zero Day Initiative
条目添加于 2018 年 10 月 30 日
邮件
适用于:macOS High Sierra 10.13.4
影响:攻击者或许能够泄露 S/MIME 加密电子邮件的内容
描述:处理加密邮件时存在问题。已通过改进“邮件”中的 MIME 隔离解决这个问题。
CVE-2018-4227: Damian Poddebniak of Münster University of Applied Sciences, Christian Dresen of Münster University of Applied Sciences, Jens Müller of Ruhr University Bochum, Fabian Ising of Münster University of Applied Sciences, Sebastian Schinzel of Münster University of Applied Sciences, Simon Friedberger of KU Leuven, Juraj Somorovsky of Ruhr University Bochum, Jörg Schwenk of Ruhr University Bochum
信息
适用于:macOS High Sierra 10.13.4
影响:本地用户或许能够实施伪装攻击
描述:已通过改进输入验证解决注入问题。
CVE-2018-4235: Anurodh Pokharel of Salesforce.com
信息
适用于:macOS High Sierra 10.13.4
影响:处理恶意制作的信息可能会导致服务遭拒
描述:已通过改进信息验证解决这个问题。
CVE-2018-4240: Sriram (@Sri_Hxor) of PrimeFort Pvt. Ltd
NVIDIA 图形卡驱动程序
适用于:macOS High Sierra 10.13.4
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进锁定解决竞态条件问题。
CVE-2018-4230: Ian Beer of Google Project Zero
安全性
适用于:macOS High Sierra 10.13.4
影响:恶意网站可能会使用客户端证书跟踪用户
描述:处理 S-MIME 证书时存在问题。已通过改进 S-MIME 证书验证解决这个问题。
CVE-2018-4221: Damian Poddebniak of Münster University of Applied Sciences, Christian Dresen of Münster University of Applied Sciences, Jens Müller of Ruhr University Bochum, Fabian Ising of Münster University of Applied Sciences, Sebastian Schinzel of Münster University of Applied Sciences, Simon Friedberger of KU Leuven, Juraj Somorovsky of Ruhr University Bochum, Jörg Schwenk of Ruhr University Bochum
安全性
适用于:macOS High Sierra 10.13.4
影响:本地用户或许能够读取永久性帐户识别码
描述:已通过改进状态管理解决授权问题。
CVE-2018-4223: Abraham Masri (@cheesecakeufo)
安全性
适用于:macOS High Sierra 10.13.4
影响:本地用户或许能够读取永久性设备识别码
描述:已通过改进状态管理解决授权问题。
CVE-2018-4224: Abraham Masri (@cheesecakeufo)
安全性
适用于:macOS High Sierra 10.13.4
影响:本地用户或许能够修改钥匙串的状态
描述:已通过改进状态管理解决授权问题。
CVE-2018-4225: Abraham Masri (@cheesecakeufo)
安全性
适用于:macOS High Sierra 10.13.4
影响:本地用户可能会看到敏感用户信息
描述:已通过改进状态管理解决授权问题。
CVE-2018-4226: Abraham Masri (@cheesecakeufo)
语音
适用于:macOS High Sierra 10.13.4
影响:沙盒化进程或许能够绕过沙盒限制
描述:处理麦克风访问时存在沙盒问题。已通过改进麦克风访问处理解决这个问题。
CVE-2018-4184: Jakob Rieck (@0xdead10cc) of the Security in Distributed Systems Group, University of Hamburg
UIKit
适用于:macOS High Sierra 10.13.4
影响:处理恶意制作的文本文件可能会导致服务遭拒
描述:处理文本时存在验证问题。已通过改进文本验证解决这个问题。
CVE-2018-4198: Hunter Byrnes
Windows Server
适用于:OS X El Capitan 10.11.6、macOS Sierra 10.12.6、macOS High Sierra 10.13.4
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4193: Markus Gaasedelen, Amy Burnett, and Patrick Biernat of Ret2 Systems, Inc working with Trend Micro’s Zero Day Initiative, Richard Zhu (fluorescence) working with Trend Micro’s Zero Day Initiative
这个条目更新于 2019 年 10 月 8 日