نبذة حول محتوى أمان macOS High Sierra 10.13.4 وتحديث الأمان 2018-002 Sierra وتحديث الأمان 2018-002 El Capitan
يتناول هذا المستند محتوى أمان macOS High Sierra 10.13.4 وتحديث الأمان 2018-002 Sierra وتحديث الأمان 2018-002 El Capitan.
حول تحديثات أمان Apple
لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.
للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير الاتصالات مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.
تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.
macOS High Sierra 10.13.4 وتحديث الأمان 2018-002 Sierra وتحديث الأمان 2018-002 El Capitan
إطار عمل المسؤول
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد تكون كلمات السر المقدّمة لـ sysadminctl عُرضة للظهور لدى مستخدمين محليين آخرين
الوصف: استلزمت أداة سطر الأوامر sysadminctl تمرير كلمات السر إليها في وسيطاتها، ما يؤدي إلى أن تكون كلمات السر عُرضة للظهور لدى مستخدمين محليين آخرين. يجعل هذا التحديث معلمة كلمة السر اختيارية، وسيطلب sysadminctl إدخال كلمة السر عند اللزوم.
CVE-2018-4170: باحث غير معلوم الهوية
APFS
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتم اقتطاع كلمة سر وحدة تخزين APFS بشكل غير متوقّع
الوصف: تمت معالجة مشكلة متعلقة بالتضمين من خلال التحقق المحسّن من صحة الإدخال.
CVE-2018-4105: David J Beitey (@davidjb_)، Geoffrey Bugniot
ATS
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد تؤدي معالجة ملف متطفل ضار إلى الإفصاح عن معلومات المستخدم
الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة الارتباطات الرمزية. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الارتباطات الرمزية.
CVE-2018-4112: Haik Aftandilian من Mozilla
CFNetwork Session
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6
التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية
الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.
CVE-2018-4166: Samuel Groß (@5aelo)
CoreFoundation
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية
الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.
CVE-2018-4155: Samuel Groß (@5aelo)
CVE-2018-4158: Samuel Groß (@5aelo)
CoreText
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد تؤدي معالجة سلسلة متطفّلة ضارة إلى رفض الخدمة
الوصف: تمت معالجة مشكلة رفض الخدمة من خلال المعالجة المحسّنة للذاكرة.
CVE-2018-4142: Robin Leroy من Google Switzerland GmbH
CoreTypes
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6
التأثير: قد تؤدي معالجة صفحة ويب متطفلة ضارة إلى تحميل صورة قرص
الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.
CVE-2017-13890: Apple، Theodor Ragnar Gislason من Syndis
curl
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6
التأثير: وجدت عدة مشاكل في curl
الوصف: وجود تجاوز عدد صحيح في curl. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.
CVE-2017-8816: Alex Nichols
صور القرص
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد يؤدي تحميل صورة قرص ضارة إلى تشغيل تطبيق
الوصف: تمت معالجة مشكلة منطقية من خلال التحقق المحسّن من الصحة.
CVE-2018-4176: Theodor Ragnar Gislason من Syndis
إدارة القرص
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتم اقتطاع كلمة سر وحدة تخزين APFS بشكل غير متوقّع
الوصف: تمت معالجة مشكلة متعلقة بالتضمين من خلال التحقق المحسّن من صحة الإدخال.
CVE-2018-4108: Kamatham Chaitanya من ShiftLeft Inc.، باحث غير معلوم الهوية
EFI
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يفرض مخترق في نطاق شبكة Wi-Fi إعادة استخدام عملاء WPA في الوقت الحاضر (هجمات إعادة تثبيت المفتاح - KRACK)
الوصف: وجدت مشكلة منطقية في التعامل مع إبدال الحالة. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.
CVE-2017-13080: Mathy Vanhoef من مجموعة imec-DistriNet بجامعة KU Leuven
أحداث نظام الملفات
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية
الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.
CVE-2018-4167: Samuel Groß (@5aelo)
iCloud Drive
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية
الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.
CVE-2018-4151: Samuel Groß (@5aelo)
برنامج تشغيل رسومات Intel
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2018-4132: Axis وpjf من IceSword Lab ضمن Qihoo 360
IOFireWireFamily
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2018-4135: Xiaolong Bai وMin (Spark) Zheng من Alibaba Inc..
Kernel
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكّن أحد التطبيقات الضارة من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة العديد من مشاكل تلف الذاكرة بالمعالجة المحسّنة للذاكرة.
CVE-2018-4150: باحث غير معلوم الهوية
Kernel
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة
الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.
CVE-2018-4104: المركز الوطني لأمن الفضاء الإلكتروني بالمملكة المتحدة (NCSC)
Kernel
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.
CVE-2018-4143: derrek (@derrekr6)
Kernel
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.
CVE-2018-4136: Jonas Jensen من lgtm.com وSemmle
Kernel
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.
CVE-2018-4160: Jonas Jensen من lgtm.com وSemmle
Kernel
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel
الوصف: توجد مشكلة في كشف المعلومات في أثناء نقل حالة برمجة. وتمت معالجة هذه المشكلة من خلال المعالجة المحسَّنة للحالة.
CVE-2018-4185: Brandon Azad
أدوات kext
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام
الوصف: توجد مشكلة منطقية تؤدي إلى تلف الذاكرة. تمت معالجة هذه المشكلة من خلال الإدارة المحسّنة للحالة.
CVE-2018-4139: Ian Beer من Google Project Zero
LaunchServices
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد يتمكن تطبيق متطفل ضار من تجاوز فرض توقيع التعليمات البرمجية
الوصف: تمت معالجة مشكلة منطقية من خلال التحقق المحسّن من الصحة.
CVE-2018-4175: Theodor Ragnar Gislason من Syndis
libxml2
متوفر لما يلي: macOS Sierra 10.12.6 وmacOS High Sierra 10.13.3 وOS X El Capitan 10.11.6
التأثير: قد تؤدي معالجة محتوى ويب متطفل ضار إلى عطل غير متوقع في Safari
الوصف: تمت معالجة مشكلة تتعلق بالاستخدام بعد التحرير من خلال الإدارة المحسّنة للذاكرة.
CVE-2017-15412: Nick Wellnhofer
LinkPresentation
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد تؤدي معالجة رسالة نصية متطفّلة إلى انتحال واجهة المستخدم
الوصف: مشكلة المحاكاة موجودة في معالجة عناوين URL. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2018-4187: Roman Mueller (@faker_)، Zhiyang Zeng (@Wester) من Tencent Security Platform Department
المصادقة المحلية
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكن مستخدم محلي من عرض معلومات حساسة خاصة بالمستخدم
الوصف: توجد مشكلة متعلقة بمعالجة رموز PIN الخاصة بالبطاقات الذكية. وقد تمت معالجة هذه المشكلة من خلال استخدام منطق إضافي.
CVE-2018-4179: David Fuhrmann
البريد
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكن مخترق يحتل منصب شبكة ذي امتيازات من تصفية محتويات بريد إلكتروني مشفّر بنظام S/MIME
الوصف: توجد مشكلة في معالجة البريد الإلكتروني بتشفير S/MIME HTML. تمت معالجة هذه المشكلة من خلال عدم تحميل موارد عن بُعد على رسائل بتشفير S/MIME افتراضيًا إذا كانت الرسالة تحتوي على توقيع S/MIME غير صالح أو مفقود.
CVE-2018-4111: Damian Poddebniak من Münster University of Applied Sciences، Christian Dresen من Münster University of Applied Sciences، Jens Müller من Ruhr University Bochum، Fabian Ising من Münster University of Applied Sciences، Sebastian Schinzel من Münster University of Applied Sciences، Simon Friedberger من KU Leuven، Juraj Somorovsky من Ruhr University Bochum، Jörg Schwenk من Ruhr University Bochum
البريد
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكن مخترق يحتل منصب شبكة ذي امتيازات من اعتراض محتويات بريد إلكتروني بتشفير S/MIME
الوصف: تمت معالجة مشكلة تتعلق بواجهة مستخدم غير متناسقة من خلال الإدارة المحسّنة للحالة.
CVE-2018-4174: John McCombs من Integrated Mapping Ltd، McClain Looney من LoonSoft Inc.
ملاحظات
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية
الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.
CVE-2018-4152: Samuel Groß (@5aelo)
ملاحظات
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية
الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.
CVE-2017-7151: Samuel Groß (@5aelo)
NSURLSession
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية
الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.
CVE-2018-4166: Samuel Groß (@5aelo)
برامج تشغيل الرسومات NVIDIA
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة
الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.
CVE-2018-4138: Axis وpjf من IceSword Lab ضمن Qihoo 360
PDFKit
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يؤدي النقر على عنوان URL في ملف PDF إلى زيارة موقع ويب ضار
الوصف: توجد مشكلة في تحليل عناوين URL بملفات PDF. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.
CVE-2018-4107: Nick Safford من Innovia Technology
PluginKit
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية
الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.
CVE-2018-4156: Samuel Groß (@5aelo)
معاينة سريعة
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية
الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.
CVE-2018-4157: Samuel Groß (@5aelo)
الإدارة عن بُعد
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكن مستخدم بعيد من الحصول على امتيازات الجذر
الوصف: توجد مشكلة تتعلق بالأذونات في "الإدارة عن بُعد". تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإذن.
CVE-2018-4298: Tim van der Werff من SupCloud
الأمان
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات الضارة من رفع الامتيازات
الوصف: تمت معالجة مشكلة تجاوز سعة المخزن المؤقت من خلال التحقق المُحسّن من الحجم.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
SIP
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6
التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel
الوصف: تمت معالجة مشكلة تتعلق بالتكوين من خلال فرض قيود إضافية.
CVE-2017-13911: Timothy Perfitt من Twocanoes Software
شريط الحالة
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يتمكن تطبيق ضار من الوصول إلى الميكروفون دون علم المستخدم
الوصف: توجد مشكلة تناسق فيما يتعلق بتحديد وقت إظهار مؤشر استخدام الميكروفون. وقد تم حل هذه المشكلة من خلال التحقق المحسّن من الإمكانات.
CVE-2018-4173: Joshua Pokotilow من pingmd
التخزين
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد يتمكن أحد التطبيقات من الحصول على امتيازات عالية
الوصف: تمت معالجة حالة تعارض باستخدام تحقّق إضافي.
CVE-2018-4154: Samuel Groß (@5aelo)
تفضيلات النظام
متوفر لما يلي: macOS High Sierra 10.13.3
التأثير: قد يظل ملف تعريف التكوين فعّالاً على نحو غير سليم بعد الإزالة
الوصف: توجد مشكلة في CFPreferences. وقد تمت معالجة هذه المشكلة من خلال التنظيف المحسّن للتفضيلات.
CVE-2018-4115: Johann Thalakada وVladimir Zubkov وMatt Vlasach من Wandera
محطة طرفية
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد يؤدي لصق محتوى ضار إلى تنفيذ أمر عشوائي
الوصف: توجد مشكلة في إدخال الأوامر في أثناء معالجة وضع اللصق بين أقواس. وتمت معالجة هذه المشكلة من خلال التحقّق المحسّن من الأحرف الخاصة.
CVE-2018-4106: Simon Hosie
WindowServer
متوفر لما يلي: OS X El Capitan 10.11.6 وmacOS Sierra 10.12.6 وmacOS High Sierra 10.13.3
التأثير: قد يتمكّن تطبيق لا يتمتع بأي امتيازات من تسجيل ضغطات المفاتيح التي تم إدخالها في تطبيقات أخرى حتى عند تمكين وضع الإدخال الآمن
الوصف: عند إجراء مسح لحالات المفاتيح، تمكّن تطبيق لا يتمتع بأي امتيازات من تسجيل ضغطات المفاتيح التي تم إدخالها في تطبيقات أخرى حتى عند تمكين وضع الإدخال الآمن. تمت معالجة هذه المشكلة عن طريق الإدارة المحسّنة للحالة.
CVE-2018-4131: Andreas Hegenberg من folivora.AI GmbH
تقدير آخر
البريد
يسعدنا أن نتقدم بخالص الشكر إلى Sabri Haddouche (@pwnsdx) من Wire Swiss GmbH على مساعدته لنا.
الملء التلقائي لتسجيل الدخول إلى Safari
يسعدنا أن نتوجّه بخالص الشكر إلى Jun Kokatsu (@shhnjk) على تقديم المساعدة لنا.
الأمان
يسعدنا أن نتقدم بخالص الشكر إلى Abraham Masri (@cheesecakeufo) على مساعدته لنا.
جزء تفضيلات المشاركة
يسعدنا أن نتوجّه بخالص الشكر إلى باحث غير معلوم الهوية نظير مساعدته لنا.
يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.