Om sikkerhedsindholdet i macOS Mojave 10.14

Dette dokument beskriver sikkerhedsindholdet i macOS Mojave 10.14.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

macOS Mojave 10.14

Bluetooth

Fås til: iMac (21,5", ultimo 2012), iMac (27", ultimo 2012), iMac (21,5", ultimo 2013), iMac (21,5", medio 2014), iMac (Retina 5K, 27", ultimo 2014), iMac (21,5", ultimo 2015), Mac mini (medio 2011), Mac mini Server (medio 2011), Mac mini (ultimo 2012), Mac mini Server (ultimo 2012), Mac mini (ultimo 2014), Mac Pro (ultimo 2013), MacBook Air (11", medio 2011), MacBook Air (13", medio 2011), MacBook Air (11", medio 2012), MacBook Air (13", medio 2012), MacBook Air (11", medio 2013), MacBook Air (13", medio 2013), MacBook Air (11", primo 2015), MacBook Air (13", primo 2015), MacBook Pro (13", medio 2012), MacBook Pro (15", medio 2012), MacBook Pro (Retina, 13", primo 2013), MacBook Pro (Retina, 15", primo 2013), MacBook Pro (Retina, 13", ultimo 2013) og MacBook Pro (Retina, 15", ultimo 2013)

Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange Bluetooth-trafik

Beskrivelse: Der var et problem med godkendelse af input i Bluetooth. Problemet er løst ved forbedret inputvalidering.

CVE-2018-5383: Lior Neumann og Eli Biham

Opdateringerne nedenfor fås til disse Mac-modeller: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (modeller fra ultimo 2013, medio 2010 og medio 2012 med anbefalet Metal-kompatibel grafikprocessor, herunder MSI Gaming Radeon RX 560 og Sapphire Radeon PULSE RX 580)

afpserver

Effekt: En ekstern hacker kan muligvis angribe AFP-servere via HTTP-klienter

Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.

CVE-2018-4295: Jianjun Chen (@whucjj) fra Tsinghua University og UC Berkeley

App Store

Effekt: Et skadeligt program kan muligvis finde det Apple-id, der tilhører computerens ejer

Beskrivelse: Der var et problem med tilladelser i forbindelse med håndteringen af Apple-id'et. Problemet blev løst ved forbedret adgangskontrol.

CVE-2018-4324: Sergii Kryvoblotskyi fra MacPaw Inc.

AppleGraphicsControl

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2018-4417: Lee fra Information Security Lab Yonsei University, som arbejder sammen med Trend Micro's Zero Day Initiative

Programfirewall

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.

CVE-2018-4353: Abhinav Bansal fra LinkedIn Inc.

APR

Effekt: Der var flere problemer med bufferoverløb i Perl

Beskrivelse: Flere problemer i Perl er løst med forbedret hukommelseshåndtering.

CVE-2017-12613: Craig Young fra Tripwire VERT

CVE-2017-12618: Craig Young fra Tripwire VERT

ATS

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4411: lilang wu moony Li fra Trend Micro, der arbejder sammen med Trend Micro's Zero Day Initiative

ATS

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Automatisk lås op

Effekt: Et skadeligt program kan muligvis få adgang til lokale brugeres Apple-id'er

Beskrivelse: Der var et godkendelsesproblem med bekræftelsen af rettigheder. Problemet er løst ved forbedret godkendelse af procesrettigheder.

CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai fra Alibaba Inc.

CFNetwork

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4126: Bruno Keith (@bkth_), som arbejder med Trend Micro's Zero Day Initiative

CoreFoundation

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4412: Storbritanniens National Cyber Security Centre (NCSC)

CoreFoundation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4414: Storbritanniens National Cyber Security Centre (NCSC)

CoreText

Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2018-4347: Vasyl Tkachuk fra Readdle

Crash Reporter

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2018-4333: Brandon Azad

CUPS

Effekt: I visse konfigurationer kan en ekstern hacker muligvis erstatte beskedens indhold fra printserveren med vilkårligt indhold

Beskrivelse: Et problem med indsættelse er løst via forbedret godkendelse.

CVE-2018-4153: Michael Hanselmann fra hansmi.ch

CUPS

Effekt: En hacker med en privilegeret position kan muligvis fremkalde et DoS-angreb

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret validering.

CVE-2018-4406: Michael Hanselmann fra hansmi.ch

Ordbog

Effekt: Parsing af et skadeligt ordbogsarkiv kan muligvis medføre afsløring af brugeroplysninger

Beskrivelse: Der var et valideringsproblem, som tillod adgang til lokale arkiver. Problemet er løst ved hjælp af rensning af input.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) fra SecuRing

DiskArbitration

Effekt: En skadelig applikation kan ændre på indholdet i EFI-systempartitionen og køre vilkårlig kode med kernerettigheder, hvis Sikker start ikke er slået til

Beskrivelse: Der var et problem med tilladelser i DiskArbitration. Dette blev rettet med ekstra kontrol af ejerskab.

CVE-2018-4296: Vitaly Cheptsov

dyld

Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.

CVE-2018-4433: Vitaly Cheptsov

fdesetup

Effekt: Gendannelseskoder til institutioner vises ved en fejl som tilgængelige

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2019-8643: Arun Sharma fra VMWare

Firmware

Effekt: En hacker med fysisk adgang til en enhed kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-5731: Intel og Eclypsium

CVE-2017-5732: Intel og Eclypsium

CVE-2017-5733: Intel og Eclypsium

CVE-2017-5734: Intel og Eclypsium

CVE-2017-5735: Intel og Eclypsium

Grand Central Dispatch

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4426: Brandon Azad

Heimdal

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Hypervisor

Effekt: Systemer med mikroprocessorer, der udnytter spekulativ eksekvering og adresseoversættelser, kan muligvis tillade uautoriseret afsløring af oplysninger i L1-datacachen for en hacker med lokal brugeradgang og OS-privilegier som gæst via en fejl på terminalsiden og en analyse via en sidekanal

Beskrivelse: Et problem med afsløring af oplysninger er løst ved at rydde L1-datacachen på virtuelt maskinniveau.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse og Thomas F. Wenisch fra University of Michigan, Mark Silberstein og Marina Minkin fra Technion, Raoul Strackx, Jo Van Bulck og Frank Piessens fra KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun og Kekai Hu fra Intel Corporation, Yuval Yarom fra University of Adelaide

iBooks

Effekt: Parsing af et skadeligt iBooks-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.

CVE-2018-4355: evi1m0 fra bilibilis sikkerhedsteam

Intel Graphics Driver

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2018-4396: Yu Wang fra Didi Research America

CVE-2018-4418: Yu Wang fra Didi Research America

Intel Graphics Driver

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2018-4351: Appology Team @ Theori, der arbejder med Trend Micros Zero Day Initiative

Intel Graphics Driver

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4350: Yu Wang fra Didi Research America

Intel Graphics Driver

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4334: Ian Beer fra Google Project Zero

Intel Graphics Driver

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4451: Tyler Bohan fra Cisco Talos

CVE-2018-4456: Tyler Bohan fra Cisco Talos

IOHIDFamily

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4408: Ian Beer fra Google Project Zero

IOKit

Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4341: Ian Beer fra Google Project Zero

CVE-2018-4354: Ian Beer fra Google Project Zero

IOKit

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2018-4383: Apple

IOUserEthernet

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4401: Apple

Kernel

Effekt: Et skadeligt program kan lække følsomme brugeroplysninger

Beskrivelse: Der var et adgangsproblem med privilegerede API-kald. Problemet blev løst ved hjælp af yderligere begrænsninger.

CVE-2018-4399: Fabiano Anemone (@anoane)

Kernel

Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2018-4407: Kevin Backhouse fra Semmle Ltd.

Kernel

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer fra Google Project Zero

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: Storbritanniens National Cyber Security Centre (NCSC)

CVE-2018-4425: cc, som arbejder med Trend Micro's Zero Day Initiative, Juwei Lin (@panicaII) fra Trend Micro, som arbejder med Trend Micro's Zero Day Initiative

LibreSSL

Effekt: Flere problemer i libressl er løst i denne opdatering

Beskrivelse: Flere problemer er løst ved at opdatere til libressl version 2.6.4.

CVE-2015-3194

CVE-2015-5333

CVE-2015-5334

CVE-2016-0702

Log ind-vindue

Effekt: En lokal bruger kan muligvis forårsage denial of service

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2018-4348: Ken Gannon fra MWR InfoSecurity og Christian Demko fra MWR InfoSecurity

mDNSOffloadUserClient

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4326: En anonym programmør, som arbejder med Trend Micro's Zero Day Initiative, Zhuo Liang fra Qihoo 360 Nirvan Team

MediaRemote

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.

CVE-2018-4310: CodeColorist fra Ant-Financial LightYear Labs

Microcode

Effekt: Systemer med mikroprocessorer, der udnytter spekulativ eksekvering og spekulativ udførelse af hukommelseslæsninger, inden adresserne for alle tidligere hukommelsesskrivninger kendes, kan muligvis tillade uautoriseret afsløring af oplysninger for en hacker med lokal brugeradgang gennem analyse via en sidekanal

Beskrivelse: Et problem med afsløring af oplysninger er løst med en opdatering af mikrokoden. Dette sikrer, at ældre data, der er læst fra adresser, der for nylig er skrevet til, ikke kan læses via en spekulativ sidekanal.

CVE-2018-3639: Jann Horn (@tehjh) fra Google Project Zero (GPZ), Ken Johnson fra Microsoft Security Response Center (MSRC)

Sikkerhed

Effekt: En lokal bruger kan muligvis forårsage denial of service

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4395: Patrick Wardle fra Digita Security

Sikkerhed

Effekt: En hacker kan udnytte svagheder i RC4-kryptografialgoritmen

Beskrivelse: Problemet blev løst ved at fjerne RC4.

CVE-2016-1777: Pepi Zawodsky

Spotlight

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4393: Lufeng Li

Symptom Framework

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2018-4203: Bruno Keith (@bkth_), som arbejder med Trend Micro's Zero Day Initiative

Tekst

Effekt: Behandling af et skadeligt tekstarkiv kan medføre et DoS-angreb

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret validering.

CVE-2018-4304: jianan.huang (@Sevck)

Wi-Fi

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2018-4338: Lee @ SECLAB, Yonsei University, der arbejder med Trend Micros Zero Day Initiative

Yderligere anerkendelser

Tilgængelighedsframework

Vi vil gerne takke Ryan Govostes for hjælpen.

Kernedata

Vi vil gerne takke Andreas Kurtz (@aykay) fra NESO Security Labs GmbH for hjælpen.

CoreDAV

Vi vil gerne takke Matthew Thomas fra Verisign for hjælpen.

CoreGraphics

Vi vil gerne takke Nitin Arya fra Roblox Corporation for hjælpen.

CoreSymbolication

Vi vil gerne takke Brandon Azad for hjælpen.

CUPS

Vi vil gerne takke Michael Hanselmann fra hansmi.ch for hjælpen.

IOUSBHostFamily

Vi vil gerne takke Dragos Ruiu fra CanSecWest for hjælpen.

Kernel

Vi vil gerne takke Brandon Azad for hjælpen.

Mail

Vi vil gerne takke Alessandro Avagliano fra Rocket Internet SE, John Whitehead fra The New York Times, Kelvin Delbarre fra Omicron Software Systems og Zbyszek Żółkiewski for hjælpen.

Vis

Vi vil gerne takke lokihardt fra Project Google Zero, Wojciech Reguła (@_r3ggi) fra SecuRing og Patrick Wardle fra Digita Security for hjælpen.

Sikkerhed

Vi vil gerne takke Christoph Sinai, Daniel Dudek (@dannysapples) fra The Irish Times og Filip Klubička (@lemoncloak) fra ADAPT Centre, Dublin Institute of Technology, Horatiu Graur fra SoftVision, Istvan Csanady fra Shapr3D, Omar Barkawi fra ITG Software, Inc., Phil Caleno, Wilson Ding og en anonym programmør for hjælpen.

SQLite

Vi vil gerne takke Andreas Kurtz (@aykay) fra NESO Security Labs GmbH for hjælpen.

Terminal

Vi vil gerne takke Federico Bento for hjælpen.

Time Machine

Vi vil gerne takke Matthew Thomas fra Verisign for hjælpen.

WindowServer

Vil vil gerne takke Patrick Wardle fra Digita Security for hjælpen.