关于 Apple 安全性更新
为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。
如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。
如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。
macOS Mojave 10.14
发布于 2018 年 9 月 24 日
蓝牙
适用于:iMac(21.5 英寸,2012 年末)、iMac(27 英寸,2012 年末)、iMac(21.5 英寸,2013 年末)、iMac(21.5 英寸,2014 年中)、iMac(视网膜 5K 显示屏,27 英寸,2014 年末)、iMac(21.5 英寸,2015 年末)、Mac mini(2011 年中)、Mac mini Server(2011 年中)、Mac mini(2012 年末)、Mac mini Server(2012 年末)、Mac mini(2014 年末)、Mac Pro(2013 年末)、MacBook Air(11 英寸,2011 年中)、MacBook Air(13 英寸,2011 年中)、MacBook Air(11 英寸,2012 年中)、MacBook Air(13 英寸,2012 年中)、MacBook Air(11 英寸,2013 年中)、MacBook Air(13 英寸,2013 年中)、MacBook Air(11 英寸,2015 年初)、MacBook Air(13 英寸,2015 年初)、MacBook Pro(13 英寸,2012 年中)、MacBook Pro(15 英寸,2012 年中)、MacBook Pro(视网膜显示屏,13 英寸,2013 年初)、MacBook Pro(视网膜显示屏,15 英寸,2013 年初)、MacBook Pro(视网膜显示屏,13 英寸,2013 年末)和 MacBook Pro(视网膜显示屏,15 英寸,2013 年末)
影响:拥有特权网络地位的攻击者或许能够拦截蓝牙流量
描述:蓝牙存在输入验证问题。已通过改进输入验证解决这个问题。
CVE-2018-5383: Lior Neumann and Eli Biham
下面的更新适用于以下 Mac 机型:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)、Mac Pro(2013 年末、2010 年中和 2012 年中机型,且配备兼容 Metal 的推荐图形处理器,包括 MSI Gaming Radeon RX 560 和 Sapphire Radeon PULSE RX 580)
afpserver
影响:远程攻击者或许能够通过 HTTP 客户端攻击 AFP 服务器
描述:已通过改进输入验证解决输入验证问题。
CVE-2018-4295: Jianjun Chen (@whucjj) from Tsinghua University and UC Berkeley
条目添加于 2018 年 10 月 30 日
App Store
影响:恶意应用程序或许能够确定电脑所有者的 Apple ID
描述:处理 Apple ID 时存在权限问题。已通过改进访问控制解决这个问题。
CVE-2018-4324: Sergii Kryvoblotskyi of MacPaw Inc.
AppleGraphicsControl
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2018-4417: Lee of the Information Security Lab Yonsei University working with Trend Micro's Zero Day Initiative
条目添加于 2018 年 10 月 30 日
应用程序防火墙
影响:沙盒化进程或许能够绕过沙盒限制
描述:配置问题已通过额外的限制得到解决。
CVE-2018-4353: Abhinav Bansal of LinkedIn Inc.
条目更新于 2018 年 10 月 30 日
APR
影响:Perl 中存在多个缓冲区溢出问题
描述:已通过改进内存处理解决 Perl 中的多个问题。
CVE-2017-12613: Craig Young of Tripwire VERT
CVE-2017-12618: Craig Young of Tripwire VERT
条目添加于 2018 年 10 月 30 日
ATS
影响:恶意应用程序或许能够提升权限
描述:已通过改进输入验证解决内存损坏问题。
CVE-2018-4411: lilang wu moony Li of Trend Micro working with Trend Micro's Zero Day Initiative
条目添加于 2018 年 10 月 30 日
ATS
影响:应用程序或许能够读取受限内存
描述:已通过改进边界检查解决越界读取问题。
CVE-2018-4308: Mohamed Ghannam (@_simo36)
条目添加于 2018 年 10 月 30 日
自动解锁
影响:恶意应用程序或许能够访问本地用户的 Apple ID
描述:授权验证中存在验证问题。已通过改进对进程授权的验证解决这个问题。
CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai of Alibaba Inc.
CFNetwork
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4126: Bruno Keith (@bkth_) working with Trend Micro's Zero Day Initiative
条目添加于 2018 年 10 月 30 日
CoreFoundation
影响:恶意应用程序或许能够提升权限
描述:已通过改进输入验证解决内存损坏问题。
CVE-2018-4412: The UK's National Cyber Security Centre (NCSC)
条目添加于 2018 年 10 月 30 日
CoreFoundation
影响:应用程序或许能够获取提升的权限
描述:已通过改进输入验证解决内存损坏问题。
CVE-2018-4414: The UK's National Cyber Security Centre (NCSC)
条目添加于 2018 年 10 月 30 日
CoreText
影响:处理恶意制作的文本文件可能会导致任意代码执行
描述:已通过改进内存管理解决“释放后使用”问题。
CVE-2018-4347: Vasyl Tkachuk of Readdle
条目添加于 2018 年 10 月 30 日,更新于 2018 年 12 月 13 日
Crash Reporter
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2018-4333: Brandon Azad
CUPS
影响:在某些配置中,远程攻击者或许能够将打印服务器中的信息内容替换成任意内容
描述:已通过改进验证解决注入问题。
CVE-2018-4153: Michael Hanselmann of hansmi.ch
条目添加于 2018 年 10 月 30 日
CUPS
影响:拥有特权地位的攻击者或许能够发动拒绝服务攻击
描述:已通过改进验证解决服务遭拒问题。
CVE-2018-4406: Michael Hanselmann of hansmi.ch
条目添加于 2018 年 10 月 30 日
词典
影响:解析恶意制作的词典文件可能会导致用户信息泄露
描述:存在允许访问本地文件的验证问题。已通过输入清理解决这个问题。
CVE-2018-4346: Wojciech Reguła (@_r3ggi) of SecuRing
条目添加于 2018 年 10 月 30 日
DiskArbitration
影响:如果未启用安全启动,恶意应用程序或许能够修改 EFI 系统分区的内容并使用内核权限执行任意代码
描述:DiskArbitration 中存在权限问题。已通过增加所有权检查解决这个问题。
CVE-2018-4296: Vitaly Cheptsov
条目更新于 2019 年 1 月 22 日
dyld
影响:恶意应用程序或许能够修改文件系统的受保护部分
描述:配置问题已通过额外的限制得到解决。
CVE-2018-4433: Vitaly Cheptsov
条目更新于 2019 年 1 月 22 日
fdesetup
影响:机构恢复密钥可能被错误地报告为存在
描述:已通过改进状态管理解决逻辑问题。
CVE-2019-8643: Arun Sharma of VMWare
条目添加于 2019 年 8 月 1 日
固件
影响:能够实际操作设备的攻击者或许能够提升权限
描述:已通过改进输入验证解决内存损坏问题。
CVE-2017-5731: Intel and Eclypsium
CVE-2017-5732: Intel and Eclypsium
CVE-2017-5733: Intel and Eclypsium
CVE-2017-5734: Intel and Eclypsium
CVE-2017-5735: Intel and Eclypsium
条目添加于 2019 年 6 月 24 日
Grand Central Dispatch
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4426: Brandon Azad
条目添加于 2018 年 10 月 30 日
Heimdal
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4331: Brandon Azad
CVE-2018-4332: Brandon Azad
CVE-2018-4343: Brandon Azad
条目添加于 2018 年 10 月 30 日
虚拟机管理程序
影响:配备微处理器且采用预测执行和地址转换的系统,可能会允许通过终端页面错误和边信道分析来向拥有本地用户访问权限和客人 OS 权限的攻击者未经授权地泄露驻存于 L1 数据缓存中的信息
描述:已通过在虚拟机入口处清空 L1 数据缓存解决信息泄露问题。
CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse, and Thomas F. Wenisch of University of Michigan, Mark Silberstein and Marina Minkin of Technion, Raoul Strackx, Jo Van Bulck, and Frank Piessens of KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun, and Kekai Hu of Intel Corporation, Yuval Yarom of The University of Adelaide
条目添加于 2018 年 10 月 30 日
iBooks
影响:解析恶意制作的 iBooks 文件可能会导致用户信息泄露
描述:配置问题已通过额外的限制得到解决。
CVE-2018-4355: evi1m0 of bilibili security team
条目添加于 2018 年 10 月 30 日
Intel 图形卡驱动程序
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2018-4396: Yu Wang of Didi Research America
CVE-2018-4418: Yu Wang of Didi Research America
条目添加于 2018 年 10 月 30 日
Intel 图形卡驱动程序
影响:应用程序或许能够读取受限内存
描述:已通过改进内存处理解决内存初始化问题。
CVE-2018-4351: Appology Team @ Theori working with Trend Micro's Zero Day Initiative
条目添加于 2018 年 10 月 30 日
Intel 图形卡驱动程序
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进输入验证解决内存损坏问题。
CVE-2018-4350: Yu Wang of Didi Research America
条目添加于 2018 年 10 月 30 日
Intel 图形卡驱动程序
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4334: Ian Beer of Google Project Zero
条目添加于 2018 年 10 月 30 日
Intel 图形卡驱动程序
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进输入验证解决内存损坏问题。
CVE-2018-4451: Tyler Bohan of Cisco Talos
CVE-2018-4456: Tyler Bohan of Cisco Talos
条目添加于 2018 年 12 月 21 日,更新于 2019 年 1 月 22 日
IOHIDFamily
影响:恶意应用程序或许能够以内核权限执行任意代码
描述:已通过改进输入验证解决内存损坏问题。
CVE-2018-4408: Ian Beer of Google Project Zero
条目添加于 2018 年 10 月 30 日,更新于 2019 年 8 月 1 日
IOKit
影响:恶意应用程序或许能够突破沙盒
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4341: Ian Beer of Google Project Zero
CVE-2018-4354: Ian Beer of Google Project Zero
条目添加于 2018 年 10 月 30 日
IOKit
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进状态管理解决内存损坏问题。
CVE-2018-4383: Apple
条目添加于 2018 年 10 月 30 日
IOUserEthernet
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4401: Apple
条目添加于 2018 年 10 月 30 日
内核
影响:恶意应用程序或许能够泄露敏感用户信息
描述:特权 API 调用存在访问问题。已通过增加限制解决这个问题。
CVE-2018-4399: Fabiano Anemone (@anoane)
条目添加于 2018 年 10 月 30 日
内核
影响:拥有特权网络地位的攻击者或许能够执行任意代码
描述:已通过改进验证解决内存损坏问题。
CVE-2018-4407: Kevin Backhouse of Semmle Ltd.
条目添加于 2018 年 10 月 30 日
内核
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4336: Brandon Azad
CVE-2018-4337: Ian Beer of Google Project Zero
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4344: The UK's National Cyber Security Centre (NCSC)
CVE-2018-4425: cc working with Trend Micro's Zero Day Initiative, Juwei Lin (@panicaII) of Trend Micro working with Trend Micro's Zero Day Initiative
条目更新于 2018 年 10 月 30 日
LibreSSL
影响:这个更新解决了 libressl 中的多个问题
描述:已通过更新至 libressl 版本 2.6.4 解决多个问题。
CVE-2015-3194
CVE-2015-5333
CVE-2015-5334
CVE-2016-0702
条目添加于 2018 年 10 月 30 日,更新于 2018 年 12 月 13 日
登录窗口
影响:本地用户可能会导致服务遭拒
描述:已通过改进逻辑解决验证问题。
CVE-2018-4348: Ken Gannon of MWR InfoSecurity and Christian Demko of MWR InfoSecurity
条目添加于 2018 年 10 月 30 日
mDNSOffloadUserClient
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4326: an anonymous researcher working with Trend Micro's Zero Day Initiative, Zhuo Liang of Qihoo 360 Nirvan Team
条目添加于 2018 年 10 月 30 日
MediaRemote
影响:沙箱化进程或许能够绕过沙箱限制
描述:已通过增加沙盒限制解决访问问题。
CVE-2018-4310: CodeColorist of Ant-Financial LightYear Labs
条目添加于 2018 年 10 月 30 日
微代码
影响:配备微处理器,且在得知所有先前内存写入的地址之前采用预测执行和内存读取预测执行的系统,可能会允许通过边信道分析来向拥有本地用户访问权限的攻击者未经授权地泄露信息
描述:已通过更新微代码解决信息泄露问题。这可确保无法通过预测边信道来读取最近写入地址中的旧数据。
CVE-2018-3639: Jann Horn (@tehjh) of Google Project Zero (GPZ), Ken Johnson of the Microsoft Security Response Center (MSRC)
条目添加于 2018 年 10 月 30 日
安全性
影响:本地用户可能会导致服务遭拒
描述:已通过改进检查解决这个问题。
CVE-2018-4395: Patrick Wardle of Digita Security
条目添加于 2018 年 10 月 30 日
安全性
影响:攻击者或许能够利用 RC4 加密算法中的漏洞
描述:已通过移除 RC4 解决这个问题。
CVE-2016-1777: Pepi Zawodsky
“聚焦”
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4393: Lufeng Li
条目添加于 2018 年 10 月 30 日
症状框架
影响:应用程序或许能够读取受限内存
描述:已通过改进边界检查解决越界读取问题。
CVE-2018-4203: Bruno Keith (@bkth_) working with Trend Micro's Zero Day Initiative
条目添加于 2018 年 10 月 30 日
文本
影响:处理恶意制作的文本文件可能会导致服务遭拒
描述:已通过改进验证解决服务遭拒问题。
CVE-2018-4304: jianan.huang (@Sevck)
条目添加于 2018 年 10 月 30 日
Wi-Fi
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2018-4338: Lee @ SECLAB, Yonsei University working with Trend Micro's Zero Day Initiative
条目添加于 2018 年 10 月 23 日
其他表彰
访问权限框架
由衷感谢 Ryan Govostes 为我们提供的协助。
关键数据
由衷感谢 NESO Security Labs GmbH 的 Andreas Kurtz (@aykay) 为我们提供的协助。
CoreDAV
由衷感谢 Verisign 的 Matthew Thomas 为我们提供的协助。
条目添加于 2018 年 12 月 13 日,更新于 2018 年 12 月 21 日
CoreGraphics
由衷感谢 Roblox Corporation 的 Nitin Arya 为我们提供的协助。
CoreSymbolication
由衷感谢 Brandon Azad 为我们提供的协助。
条目添加于 2018 年 12 月 13 日
CUPS
由衷感谢 hansmi.ch 的 Michael Hanselmann 为我们提供的协助。
条目添加于 2019 年 8 月 1 日
IOUSBHostFamily
由衷感谢 CanSecWest 的 Dragos Ruiu 为我们提供的协助。
条目添加于 2018 年 12 月 13 日
内核
由衷感谢 Brandon Azad 为我们提供的协助。
条目添加于 2018 年 12 月 13 日
邮件
由衷感谢 Rocket Internet SE 的 Alessandro Avagliano、The New York Times 的 John Whitehead、Omicron Software Systems 的 Kelvin Delbarre 和 Zbyszek Żółkiewski 为我们提供的协助。
快速查看
由衷感谢 Google Project Zero 的 lokihardt、SecuRing 的 Wojciech Reguła (@_r3ggi) 和 Digita Security 的 Patrick Wardle 为我们提供的协助。
条目添加于 2018 年 12 月 13 日
安全性
由衷感谢 Christoph Sinai、The Irish Times 的 Daniel Dudek (@dannysapples)、ADAPT Centre 的 Filip Klubička (@lemoncloak)、都柏林理工学院、SoftVision 的 Horatiu Graur、Shapr3D 的 Istvan Csanady、ITG Software, Inc. 的 Omar Barkawi、Phil Caleno、Wilson Ding 以及一位匿名研究人员为我们提供的协助。
条目更新于 2019 年 6 月 24 日
SQLite
由衷感谢 NESO Security Labs GmbH 的 Andreas Kurtz (@aykay) 为我们提供的协助。
终端
由衷感谢 Federico Bento 为我们提供的协助。
条目添加于 2018 年 12 月 13 日,更新于 2020 年 2 月 3 日
时间机器
由衷感谢 Verisign 的 Matthew Thomas 为我们提供的协助。
条目更新于 2019 年 1 月 22 日
WindowServer
由衷感谢 Digita Security 的 Patrick Wardle 为我们提供的协助。
条目添加于 2018 年 12 月 13 日