Om sikkerhedsindholdet i macOS Mojave 10.14.2, sikkerhedsopdatering 2018-003 High Sierra, sikkerhedsopdatering 2018-006 Sierra
Dette dokument beskriver sikkerhedsindholdet i macOS Mojave 10.14.2, sikkerhedsopdatering 2018-003 High Sierra og sikkerhedsopdatering 2018-006 Sierra.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
macOS Mojave 10.14.2, sikkerhedsopdatering 2018-003 High Sierra, sikkerhedsopdatering 2018-006 Sierra
AirPort
Fås til: macOS Mojave 10.14.1
Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder
Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.
CVE-2018-4303: Mohamed Ghannam (@_simo36)
AMD
Fås til: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2018-4462: Cocoahuke, Lilang Wu og Moony Li fra TrendMicro Mobile Security Research Team, der arbejder med Trend Micros Zero Day Initiative
Carbon Core
Fås til: macOS Mojave 10.14.1
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)
Diskbilleder
Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4465: Pangu Team
Hypervisor
Fås til: macOS Mojave 10.14.1
Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise og Fred Jacobs fra Virtual Machine Monitor Group of VMware, Inc.
Intel Graphics Driver
Fås til: macOS Mojave 10.14.1
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.
CVE-2018-4452: Liu Long fra Qihoo 360 Vulcan Team
Intel Graphics Driver
Fås til: macOS Mojave 10.14.1
Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen.
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2018-4434: Zhuo Liang fra Qihoo 360 Nirvan Team
Intel Graphics Driver
Fås til: macOS Sierra 10.12.6
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4456: Tyler Bohan fra Cisco Talos
Intel Graphics Driver
Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.
CVE-2018-4421: Tyler Bohan fra Cisco Talos
IOHIDFamily
Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4427: Pangu Team
Kernel
Fås til: macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Effekt: En lokal bruger kan læse kernehukommelsen
Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.
CVE-2018-4431: En uafhængig sikkerhedsprogrammør har rapporteret om denne sårbarhed i Beyond Security’s SecuriTeam Secure Disclosure-programmet
CVE-2018-4448: Brandon Azad
Kernel
Fås til: macOS Mojave 10.14.1
Effekt: En hacker med en privilegeret position kan muligvis fremkalde et DoS-angreb
Beskrivelse: Et DoS-problem er løst ved at fjerne den sårbare kode.
CVE-2018-4460: Kevin Backhouse fra Semmle Security Research Team
Kernel
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.1
Effekt: En lokal bruger kan læse kernehukommelsen
Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.
CVE-2018-4431: En uafhængig sikkerhedsprogrammør har rapporteret om denne sårbarhed i Beyond Security’s SecuriTeam Secure Disclosure-programmet
Kernel
Fås til: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2018-4447: Juwei Lin(@panicaII) og Zhengyu Dong fra TrendMicro Mobile Security Team, der arbejder med Trend Micros Zero Day Initiative
Kernel
Fås til: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2018-4435: Jann Horn fra Google Project Zero, Juwei Lin(@panicaII) og Junzhi Lu fra TrendMicro Mobile Security Team, der arbejder med Trend Micros Zero Day Initiative
Kernel
Fås til: macOS Mojave 10.14.1
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2018-4461: Ian Beer fra Google Project Zero
WindowServer
Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4449: Hanqing Zhao, Yufeng Ruan og Kun Yang fra Chaitin Security Research Lab
CVE-2018-4450: Hanqing Zhao, Yufeng Ruan og Kun Yang fra Chaitin Security Research Lab
Yderligere anerkendelser
LibreSSL
Vi vil gerne takke Keegan Ryan fra NCC Group for hjælpen.
NetAuth
Vi vil gerne takke Vladimir Ivanov fra Digital Security for hjælpen.
SCEP (Simple certificate enrollment protocol)
Vi vil gerne takke Tim Cappalli fra Aruba og en Hewlett Packard Enterprise-virksomhed for hjælpen.
Time Machine
Vi vil gerne takke Matthew Thomas fra Verisign for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.