Om sikkerhedsindholdet i macOS High Sierra 10.13.2, sikkerhedsopdatering 2017-002 Sierra og sikkerhedsopdatering 2017-005 El Capitan

Dette dokument beskriver sikkerhedsindholdet i macOS High Sierra 10.13.2, sikkerhedsopdatering 2017-002 Sierra og sikkerhedsopdatering 2017-005 El Capitan.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

macOS High Sierra 10.13.2, sikkerhedsopdatering 2017-002 Sierra og sikkerhedsopdatering 2017-005 El Capitan

Udgivet 6. december 2017

APFS

Fås til: macOS High Sierra 10.13.1

Effekt: APFS-krypteringnøgler slettes muligvis ikke sikkert efter dvale

Beskrivelse: Der eksisterede et logisk problem i APFS, når der blev slettet nøgler under dvale. Det er løst ved hjælp af forbedret statusadministration.

CVE-2017-13887: David Ryskalczyk

Post tilføjet 21. juni 2018

apache

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: Behandling af et skadeligt Apache-konfigurationsdirektiv kan medføre afsløring af proceshukommelse

Beskrivelse: Flere problemer blev løst ved opdatering til version 2.4.28.

CVE-2017-9798

CFNetwork-session

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7172: Richard Zhu (fluorescence), der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 22. januar 2018

CoreAnimation

Fås til: macOS High Sierra 10.13.1

Effekt: Et program kan muligvis køre vilkårlig kode med hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7171: 360 Security, der arbejder med Trend Micros Zero Day Initiative, og Tencent Keen Security Lab (@keen_lab), der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 22. januar 2018

curl

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: Skadelige FTP-servere kan forårsage, at klienten læser out-of-bounds-hukommelse

Beskrivelse: Der var et problem med out-of-bounds-læsning i parsingen af FTP PWD-svaret. Problemet er løst ved forbedret kontrol af grænser.

CVE-2017-1000254: Max Dymond

Biblioteksværktøj

Fås til: macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Ikke berørt: macOS Sierra 10.12.6 eller en tidligere version 

Effekt: En hacker kan muligvis omgå administratorgodkendelse uden at angive administratoradgangskoden

Beskrivelse: Der opstod en logikfejl i validering af loginoplysninger. Problemet er løst ved forbedret godkendelse af loginoplysninger.

CVE-2017-13872

ICU

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2017-15422: Yuan Deng fra Ant-financial Light-Year Security Lab

Post tilføjet 14. marts 2018

Intel Graphics Driver

Fås til: macOS High Sierra 10.13.1

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-13883: Yu Wang fra Didi Research America

CVE-2017-7163: Yu Wang fra Didi Research America

CVE-2017-7155: Yu Wang fra Didi Research America

Post opdateret 21. december 2017 

Intel Graphics Driver

Fås til: macOS High Sierra 10.13.1

Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen.

Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernehukommelse. Dette blev rettet gennem forbedret inputvalidering.

CVE-2017-13878: Ian Beer fra Google Project Zero

Intel Graphics Driver

Fås til: macOS High Sierra 10.13.1

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2017-13875: Ian Beer fra Google Project Zero

IOAcceleratorFamily

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7159: fundet af IMF udviklet af HyungSeok Han (daramg.gift) fra SoftSec, KAIST (softsec.kaist.ac.kr)

Post opdateret 21. december 2017 

IOKit

Fås til: macOS High Sierra 10.13.1

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Der var et problem med godkendelse af input i kernen. Problemet er løst ved forbedret godkendelse af input.

CVE-2017-13848: Alex Plaskett fra MWR InfoSecurity

CVE-2017-13858: En anonym programmør

IOKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret statusadministration.

CVE-2017-13847: Ian Beer fra Google Project Zero

IOKit

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7162: Tencent Keen Security Lab (@keen_lab), der arbejder med Trend Micros Zero Day Initiative

Post opdateret 10. januar 2018

Kernel

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-13904: Kevin Backhouse fra Semmle Ltd.

Post tilføjet 14. februar 2018

Kernel

Fås til: macOS High Sierra 10.13.1

Effekt: Et program kan muligvis læse kernehukommelsen (Meltdown)

Beskrivelse: Systemer med mikroprocessorer, der udnytter spekulativ eksekvering og indirekte stiforudsigelse, kan uautoriseret offentliggøre oplysninger til en hacker med lokal brugeradgang gennem analyse af datacachen via en sidekanal.

CVE-2017-5754: Jann Horn fra Google Project Zero, Moritz Lipp fra Graz University of Technology, Michael Schwarz fra Graz University of Technology, Daniel Gruss fra Graz University of Technology, Thomas Prescher fra Cyberus Technology GmbH, Werner Haas fra Cyberus Technology GmbH, Stefan Mangard fra Graz University of Technology, Paul Kocher, Daniel Genkin fra University of Pennsylvania og University of Maryland, Yuval Yarom fra University of Adelaide og Data61 og Mike Hamburg fra Rambus (Cryptography Research Division)

Post opdateret 5. januar 2018

Kernel

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer fra Google Project Zero

Post opdateret 21. december 2017 

Kernel

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2017-7173: Brandon Azad

Post opdateret 11. januar 2018

Kernel

Fås til: macOS High Sierra 10.13.1

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-13876: Ian Beer fra Google Project Zero

Kernel

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2017-13855: Jann Horn fra Google Project Zero

Kernel

Fås til: macOS High Sierra 10.13.1

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2017-13865: Ian Beer fra Google Project Zero

Kernel

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn fra Google Project Zero

Kernel

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen.

Beskrivelse: Der var et problem med godkendelse af input i kernen. Problemet er løst ved forbedret godkendelse af input.

CVE-2017-7154: Jann Horn fra Google Project Zero

Post tilføjet 21. december 2017

Mail

Fås til: macOS High Sierra 10.13.1

Effekt: En krypteret S/MIME-e-mail kan ved en fejl være blevet sendt ikke-krypteret, hvis modtagerens S/MIME-certifikat ikke er installeret

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2017-13871: Lukas Pitschl fra GPGTools

Post opdateret 21. december 2017

Udkast til e-mails

Fås til: macOS High Sierra 10.13.1

Effekt: En hacker med en privilegeret netværksposition kan muligvis opfange indhold i e-mails

Beskrivelse: Der var et krypteringsproblem med S/MIME-loginoplysninger. Problemet blev løst ved hjælp af yderligere kontroller og brugerkontrol.

CVE-2017-13860: Michael Weishaar fra INNEO Solutions GmbH

Post opdateret 10. januar 2018

OpenSSL

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem i X.509 IPAddressFamily-parsing. Problemet er løst ved forbedret kontrol af grænser.

CVE-2017-3735: fundet af OSS-Fuzz

Skærmdelingsserver

Fås til: macOS Sierra 10.12.6 og macOS High Sierra 10.13.1

Effekt: En bruger med adgang til skærmdeling kan muligvis få adgang til enhver fil, der kan læses af rod

Beskrivelse: Der var et tilladelsesproblem ved behandlingen af skærmdelingssessioner. Problemet blev løst med forbedret tilladelseshåndtering.

CVE-2017-7158: Trevor Jacques fra Toronto

Post opdateret 21. december 2017

SIP

Fås til: Fås til: macOS High Sierra 10.13.1

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.

CVE-2017-13911: En anonym programmør

Post opdateret 8. august 2018

Wi-Fi

Fås til: macOS High Sierra 10.13.1

Effekt: En bruger uden rettigheder kan ændre WiFi-systemets parametre, der fører til et DoS-problem

Beskrivelse: Der var et problem med adgang til priviligeret Wi-Fi-systemkonfiguration. Problemet blev løst ved hjælp af yderligere begrænsninger.

CVE-2017-13886: David Kreitschmann og Matthias Schulz fra Secure Mobile Networking Lab på TU Darmstadt

Post tilføjet 2. maj 2018

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: