Om sikkerhedsindholdet i macOS High Sierra 10.13.3, sikkerhedsopdatering 2018-001 Sierra og sikkerhedsopdatering 2018-001 El Capitan
Dette dokument beskriver sikkerhedsindholdet i macOS High Sierra 10.13.3, sikkerhedsopdatering 2018-001 Sierra og sikkerhedsopdatering 2018-001 El Capitan.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
macOS High Sierra 10.13.3, sikkerhedsopdatering 2018-001 Sierra og sikkerhedsopdatering 2018-001 El Capitan
Lyd
Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2018-4094: Mingi Cho, Seoyoung Kim, Young-Ho Lee, MinSik Shin og Taekyoung Kwon fra Information Security Lab, Yonsei University
curl
Fås til: macOS High Sierra 10.13.2
Effekt: Flere sikkerhedsproblemer i curl
Beskrivelse: Der opstod et heltalsoverløb i curl. Problemet er løst ved forbedret kontrol af grænser.
CVE-2017-8816: Alex Nichols
curl
Fås til: macOS High Sierra 10.13.2
Effekt: Flere sikkerhedsproblemer i curl
Beskrivelse: Det var et out-of-bounds-læseproblem i curl. Problemet er løst ved forbedret kontrol af grænser.
CVE-2017-8817: Fundet af OSS-Fuzz
EFI
Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Beskrivelse: Flere bufferoverløb i kernen i Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 gør det muligt for en hacker med lokal adgang til systemet at køre vilkårlig kode.
CVE-2017- 5705: Mark Ermolov og Maxim Goryachy fra Positive Technologies
EFI
Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Beskrivelse: Flere rettighedseskaleringer i kernen i Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 gør det muligt for en uautoriseret proces at få adgang til privilegeret indhold via uspecificeret vektor.
CVE-2017-5708: Mark Ermolov og Maxim Goryachy fra Positive Technologies
IOHIDFamily
Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4098: Siguza
Kernel
Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6
Effekt: Et program kan muligvis læse kernehukommelsen (Meltdown)
Beskrivelse: Systemer med mikroprocessorer, der udnytter spekulativ eksekvering og indirekte stiforudsigelse, kan uautoriseret offentliggøre oplysninger til en hacker med lokal brugeradgang gennem analyse af datacachen via en sidekanal.
CVE-2017-5754: Jann Horn fra Google Project Zero; Moritz Lipp fra Graz University of Technology; Michael Schwarz fra Graz University of Technology; Daniel Gruss fra Graz University of Technology; Thomas Prescher fra Cyberus Technology GmbH; Werner Haas fra Cyberus Technology GmbH; Stefan Mangard fra Graz University of Technology; Paul Kocher; Daniel Genkin fra University of Pennsylvania og University of Maryland; Yuval Yarom fra University of Adelaide og Data61; og Mike Hamburg fra Rambus (Cryptography Research Division)
Kernel
Fås til: macOS High Sierra 10.13.2
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.
CVE-2018-4090: Jann Horn fra Google Project Zero
Kernel
Fås til: macOS High Sierra 10.13.2
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.
CVE-2018-4092: Stefan Esser fra Antid0te UG
Kernel
Fås til: macOS High Sierra 10.13.2
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2018-4082: Russ Cox fra Google
Kernel
Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2018-4097: Resecurity, Inc.
Kernel
Fås til: macOS High Sierra 10.13.2
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2018-4093: Jann Horn fra Google Project Zero
Kernel
Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.2
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4189: En anonym programmør
Kernel
Fås til: macOS High Sierra 10.13.2
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2018-4169: En anonym programmør
LinkPresentation
Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Effekt: Behandling af en skadelig sms kan medføre anvendelse af DoS (Denial of Service)
Beskrivelse: Et problem med opbrugte ressourcer er løst via forbedret inputvalidering.
CVE-2018-4100: Abraham Masri @cheesecakeufo
QuartzCore
Fås til: OS X El Capitan 10.11.6, macOS High Sierra 10.13.2 og macOS Sierra 10.12.6
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af webindhold. Problemet er løst ved forbedret inputvalidering.
CVE-2018-4085: Ret2 Systems Inc., der arbejder med Trend Micros Zero Day Initiative
Ekstern administration
Fås til: macOS Sierra 10.12.6
Effekt: En ekstern bruger kan opnå rodrettigheder.
Beskrivelse: Der var et problem med tilladelser i Ekstern administration. Dette problem blev løst via forbedret godkendelse af tilladelser.
CVE-2018-4298: Tim van der Werff fra SupCloud
Sandbox
Fås til: macOS High Sierra 10.13.2
Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne
Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.
CVE-2018-4091: Alex Gaynor fra Mozilla
Sikkerhed
Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Effekt: Et certifikat kan have forkerte navnebegrænsninger
Beskrivelse: Der var et problem med certifikatevaluering i håndteringen af navnebegrænsninger. Dette problem er løst med forbedret tillidsevaluering af certifikater.
CVE-2018-4086: Ian Haken fra Netflix
Sikkerhed
Fås til: macOS High Sierra 10.13.2
Effekt: En hacker kan muligvis omgå administratorgodkendelse uden at angive administratoradgangskoden
Beskrivelse: Der opstod en logikfejl i validering af loginoplysninger. Problemet er løst ved forbedret godkendelse af loginoplysninger.
CVE-2017-13889: Glenn G. Bruckno, P.E. hos Automation Engineering, James Barnes, Kevin Manca fra Computer Engineering Politecnico di Milano, Rene Malenfant fra University of New Brunswick
Understøttelse af Touch Bar
Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2018-4083: Ian Beer fra Google Project Zero
WebKit
Fås til: macOS High Sierra 10.13.2
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4088: Jeonghoon Shin fra Theori
CVE-2018-4089: Ivan Fratric fra Google Project Zero
CVE-2018-4096: fundet af OSS-Fuzz
WebKit
Fås til: macOS High Sierra 10.13.2
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4147: fundet af OSS-Fuzz
WebKit-sideindlæsning
Fås til: macOS High Sierra 10.13.2
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-7830: Jun Kokatsu (@shhnjk)
Wi-Fi
Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2018-4084: Hyung Sup Lee fra Minionz, You Chan Lee fra Hanyang University
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.