Sobre o conteúdo de segurança do macOS Mojave 10.14.2, Atualização de Segurança 2018-003 High Sierra e Atualização de Segurança 2018-006 Sierra
Este documento descreve o conteúdo de segurança do macOS Mojave 10.14.2, a Atualização de Segurança 2018-003 High Sierra e a Atualização de Segurança 2018-006 Sierra.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
macOS Mojave 10.14.2, Atualização de Segurança 2018-003 High Sierra e Atualização de Segurança 2018-006 Sierra
AirPort
Disponível para: macOS Mojave 10.14.1
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4303: Mohamed Ghannam (@_simo36)
AMD
Disponível para: macOS Sierra 10.12.6, macOS Mojave 10.14.1 e macOS High Sierra 10.13.6
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2018-4462: cocoahuke, Lilang Wu e Moony Li da TrendMicro Mobile Security Research Team em parceria com a Zero Day Initiative da Trend Micro
Carbon Core
Disponível para: macOS Mojave 10.14.1
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)
Imagens de disco
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.1
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4465: Pangu Team
Hypervisor
Disponível para: macOS Mojave 10.14.1
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise e Fred Jacobs do Virtual Machine Monitor Group da VMware, Inc.
Driver da placa gráfica da Intel
Disponível para: macOS Mojave 10.14.1
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: um problema de consumo de memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4452: Liu Long da Qihoo 360 Vulcan Team
Driver da placa gráfica da Intel
Disponível para: macOS Mojave 10.14.1
Impacto: um usuário local pode causar o encerramento inesperado do sistema ou ler a memória do kernel
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4434: Zhuo Liang da Qihoo 360 Nirvan Team
Driver da placa gráfica da Intel
Disponível para: macOS Sierra 10.12.6
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4456: Tyler Bohan da Cisco Talos
Driver da placa gráfica da Intel
Disponível para: macOS Sierra 10.12.6 e macOS High Sierra 10.13.6
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4421: Tyler Bohan da Cisco Talos
IOHIDFamily
Disponível para: macOS Sierra 10.12.6 e macOS High Sierra 10.13.6
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4427: Pangu Team
Kernel
Disponível para: macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Impacto: um usuário local pode ler a memória do kernel
Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4431: um pesquisador de segurança independente informou esta vulnerabilidade ao programa SecuriTeam Secure Disclosure da Beyond Security
CVE-2018-4448: Brandon Azad
Kernel
Disponível para: macOS Mojave 10.14.1
Impacto: um invasor em uma posição privilegiada pode fazer um ataque de negação de serviço
Descrição: um problema de recusa de serviço foi resolvido por meio da remoção do código vulnerável.
CVE-2018-4460: Kevin Backhouse da Semmle Security Research Team
Kernel
Disponível para: macOS High Sierra 10.13.6 e macOS Mojave 10.14.1
Impacto: um usuário local pode ler a memória do kernel
Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4431: um pesquisador de segurança independente informou esta vulnerabilidade ao programa SecuriTeam Secure Disclosure da Beyond Security
Kernel
Disponível para: macOS Sierra 10.12.6, macOS Mojave 10.14.1 e macOS High Sierra 10.13.6
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4447: Juwei Lin (@panicaII) e Zhengyu Dong da TrendMicro Mobile Security Team em parceria com a Zero Day Initiative da Trend Micro
Kernel
Disponível para: macOS Sierra 10.12.6, macOS Mojave 10.14.1 e macOS High Sierra 10.13.6
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.
CVE-2018-4435: Jann Horn do Google Project Zero, Juwei Lin (@panicaII) e Junzhi Lu da TrendMicro Mobile Security Team em parceria com a Zero Day Initiative da Trend Micro
Kernel
Disponível para: macOS Mojave 10.14.1
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4461: Ian Beer do Google Project Zero
WindowServer
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.1
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4449: Hanqing Zhao, Yufeng Ruan e Kun Yang do Chaitin Security Research Lab
CVE-2018-4450: Hanqing Zhao, Yufeng Ruan e Kun Yang do Chaitin Security Research Lab
Outros reconhecimentos
LibreSSL
Gostaríamos de agradecer a Keegan Ryan do NCC Group pela ajuda.
NetAuth
Gostaríamos de agradecer a Vladimir Ivanov da Digital Security pela ajuda.
Protocolo de inscrição de certificado simples (SCEP)
Gostaríamos de agradecer a Tim Cappalli da Aruba e à empresa Hewlett Packard Enterprise pela ajuda.
Time Machine
Gostaríamos de agradecer a Matthew Thomas da Verisign pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.