Om sikkerhedsindholdet i macOS High Sierra 10.13.6, sikkerhedsopdatering 2018-004 Sierra og sikkerhedsopdatering 2018-004 El Capitan
Dette dokument beskriver sikkerhedsindholdet i macOS High Sierra 10.13.6, sikkerhedsopdatering 2018-004 Sierra og sikkerhedsopdatering 2018-004 El Capitan.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
macOS High Sierra 10.13.6, sikkerhedsopdatering 2018-004 Sierra og sikkerhedsopdatering 2018-004 El Capitan
Konti
Fås til: macOS High Sierra 10.13.5
Effekt: Et skadeligt program kan muligvis få adgang til lokale brugeres Apple-id'er
Beskrivelse: Et anonymitetsproblem ved håndteringen af Open Directory-poster blev løst via forbedret indeksering.
CVE-2018-4470: Jacob Greenfield of Commonwealth School
AMD
Fås til: macOS High Sierra 10.13.5
Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
Beskrivelse: Et problem med afsløring af oplysninger er løst ved at fjerne den sårbare kode.
CVE-2018-4289: shrek_wzw fra Qihoo 360 Nirvan Team
APFS
Fås til: macOS High Sierra 10.13.5
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4268: Mac, der arbejder med Trend Micros Zero Day Initiative
ATS
Fås til: macOS High Sierra 10.13.5
Effekt: Et skadeligt program kan muligvis opnå rodrettigheder
Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.
CVE-2018-4285: Mohamed Ghannam (@_simo36)
Bluetooth
Fås til: MacBook Pro (15", 2018) og MacBook Pro (13", 2018, fire Thunderbolt 3-porte)
Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange Bluetooth-trafik
Beskrivelse: Der var et problem med godkendelse af input i Bluetooth. Problemet er løst ved forbedret inputvalidering.
CVE-2018-5383: Lior Neumann og Eli Biham
CFNetwork
Fås til: macOS High Sierra 10.13.5
Effekt: Cookies kan uventet forblive i Safari
Beskrivelse: Et problem med administration af cookies er løst ved hjælp af forbedrede kontroller.
CVE-2018-4293: En anonym programmør
CoreCrypto
Fås til: OS X El Capitan 10.11.6 og macOS Sierra 10.12.6
Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2018-4269: Abraham Masri (@cheesecakeufo)
CUPS
Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.5
Effekt: En hacker med en privilegeret position kan muligvis fremkalde et DoS-angreb
Beskrivelse: En reference til en null-pointer er rettet gennem forbedret validering.
CVE-2018-4276: Jakub Jirasek fra Secunia Research hos Flexera
DesktopServices
Fås til: macOS Sierra 10.12.6
Effekt: En lokal bruger kan muligvis få adgang til følsomme brugeroplysninger
Beskrivelse: Der var et adgangsproblem, hvor kørselstilladelse af filer fejlagtigt blev tildelt. Problemet blev løst via forbedret validering af tilladelser.
CVE-2018-4178: Arjen Hendrikse
Intel Graphics Driver
Fås til: macOS High Sierra 10.13.5
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2018-4456: Tyler Bohan fra Cisco Talos
IOGraphics
Fås til: macOS High Sierra 10.13.5
Effekt: En lokal bruger kan læse kernehukommelsen
Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.
CVE-2018-4283: @panicaII, der arbejder med Trend Micros Zero Day Initiative
Kernel
Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.5
Effekt: Systemer, der bruger Intel® Core-baserede mikroprocessorer, kan potentielt tillade, at en lokal proces afleder data ved hjælp af Lazy FP-tilstandsgendannelse fra en anden proces via en sidekanal med spekulativ udførelse
Beskrivelse: Lazy FP-tilstandsgendannelse i stedet for umiddelbar lagring og gendannelse af tilstanden ved et kontekstskift. Gendannede Lazy-tilstande er potentielt sårbare over for udnyttelser, hvor en proces kan aflede registreringsværdier fra andre processer via en sidekanals spekulative udførelse, der afleder deres værdi.
Et problem med afsløring af oplysninger er løst ved rensning af FP/SIMD-registreringstilstand.
CVE-2018-3665: Julian Stecklina fra Amazon Germany, Thomas Prescher fra Cyberus Technology GmbH (cyberus-technology.de), Zdenek Sojka fra SYSGO AG (sysgo.com) og Colin Percival
Kernel
Fås til: macOS High Sierra 10.13.5
Effekt: Åbning af en skadelig NFS-netværksmappe kan medføre kørsel af vilkårlig kode med systemrettigheder
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4259: Kevin Backhouse of Semmle og LGTM.com
CVE-2018-4286: Kevin Backhouse fra Semmle og LGTM.com
CVE-2018-4287: Kevin Backhouse fra Semmle og LGTM.com
CVE-2018-4288: Kevin Backhouse fra Semmle og LGTM.com
CVE-2018-4291: Kevin Backhouse fra Semmle og LGTM.com
libxpc
Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.5
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4280: Brandon Azad
libxpc
Fås til: macOS High Sierra 10.13.5
Effekt: Et skadeligt program kan muligvis læse beskyttet hukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2018-4248: Brandon Azad
LinkPresentation
Fås til: macOS High Sierra 10.13.5
Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen
Beskrivelse: Der var et problem med efterligning i håndteringen af URL-adresser. Problemet er løst ved forbedret inputvalidering.
CVE-2018-4277: xisigr fra Tencents Xuanwu Lab (tencent.com)
Perl
Fås til: macOS High Sierra 10.13.5
Effekt: Der var flere problemer med bufferoverløb i Perl
Beskrivelse: Flere problemer i Perl er løst med forbedret hukommelseshåndtering.
CVE-2018-6797: Brian Carpenter
CVE-2018-6913: GwanYeong Kim
Ruby
Fås til: macOS High Sierra 10.13.5
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode
Beskrivelse: Flere problemer i Ruby er løst i denne opdatering.
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
WebKit
Fås til: macOS High Sierra 10.13.5
Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen
Beskrivelse: Der var et problem med efterligning i håndteringen af URL-adresser. Problemet er løst ved forbedret inputvalidering.
CVE-2018-4274: Tomasz Bojarski
Yderligere anerkendelser
App Store
Vi vil gerne takke Jesse Endahl og Stevie Hryciw fra Fleetsmith og Max Bélanger fra Dropbox for hjælpen.
Hjælpfremviser
Vi vil gerne takke Wojciech Reguła (@_r3ggi) fra SecuRing for hjælpen med fire delløsninger.
Kernel
Vi vil gerne takke juwei lin (@panicaII) fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative, for hjælpen.
Sikkerhed
Vi vil gerne takke Brad Dahlsten fra Iowa State University for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.