Om sikkerhedsindholdet i macOS High Sierra 10.13.3, sikkerhedsopdatering 2018-001 Sierra og sikkerhedsopdatering 2018-001 El Capitan

Dette dokument beskriver sikkerhedsindholdet i macOS High Sierra 10.13.3, sikkerhedsopdatering 2018-001 Sierra og sikkerhedsopdatering 2018-001 El Capitan.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

macOS High Sierra 10.13.3, sikkerhedsopdatering 2018-001 Sierra og sikkerhedsopdatering 2018-001 El Capitan

Udgivet 23. januar 2018

Lyd

Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4094: Mingi Cho, MinSik Shin, Seoyoung Kim, Yeongho Lee og Taekyoung Kwon fra Information Security Lab, Yonsei University

curl

Fås til: macOS High Sierra 10.13.2

Effekt: Flere sikkerhedsproblemer i curl

Beskrivelse: Det var et out-of-bounds-læseproblem i curl. Problemet er løst via forbedret kontrol af grænser.

CVE-2017-8817: Fundet af OSS-Fuzz

EFI

Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Beskrivelse: Flere bufferoverløb i kernen i Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 gør det muligt for en hacker med lokal adgang til systemet at køre vilkårlig kode. 

CVE-2017- 5705: Mark Ermolov og Maxim Goryachy fra Positive Technologies

Post tilføjet 30. januar 2018

EFI

Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Beskrivelse: Flere rettighedseskaleringer i kernen i Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 gør det muligt for en uautoriseret proces at få adgang til privilegeret indhold via uspecificeret vektor.

CVE-2017-5708: Mark Ermolov og Maxim Goryachy fra Positive Technologies

Post tilføjet 30. januar 2018

IOHIDFamily

Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4098: Siguza

Kernel

Fås til: macOS Sierra 10.12.6 og OS X El Capitan 10.11.6

Effekt: Et program kan muligvis læse kernehukommelsen (Meltdown)

Beskrivelse: Systemer med mikroprocessorer, der udnytter spekulativ eksekvering og indirekte stiforudsigelse, kan uautoriseret offentliggøre oplysninger til en hacker med lokal brugeradgang gennem analyse af datacachen via en sidekanal.

CVE-2017-5754: Jann Horn fra Google Project Zero; Moritz Lipp fra Graz University of Technology; Michael Schwarz fra Graz University of Technology; Daniel Gruss fra Graz University of Technology; Thomas Prescher fra Cyberus Technology GmbH; Werner Haas fra Cyberus Technology GmbH; Stefan Mangard fra Graz University of Technology; Paul Kocher; Daniel Genkin fra University of Pennsylvania og University of Maryland; Yuval Yarom fra University of Adelaide og Data61; og Mike Hamburg fra Rambus (Cryptography Research Division)

Kernel

Fås til: macOS High Sierra 10.13.2

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Der var et problem med hukommelsesinitialisering, som er løst ved forbedret hukommelseshåndtering.

CVE-2018-4090: Jann Horn fra Google Project Zero

Kernel

Fås til: macOS High Sierra 10.13.2

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: En konkurrencetilstand er løst via forbedret hukommelseshåndtering.

CVE-2018-4092: Stefan Esser fra Antid0te UG

Post opdateret 8. februar 2018

Kernel

Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4082: Russ Cox fra Google

Kernel

Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2018-4097: Resecurity, Inc.

Kernel

Fås til: macOS High Sierra 10.13.2

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2018-4093: Jann Horn fra Google Project Zero

Kernel

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.2

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4189: En anonym programmør

Post tilføjet 2. maj 2018

Kernel

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.2

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2018-4169: En anonym programmør

Post tilføjet 2. maj 2018

LinkPresentation

Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6.2

Effekt: Behandling af en skadelig sms kan medføre anvendelse af DoS (Denial of Service)

Beskrivelse: Et problem med opbrugte ressourcer blev rettet gennem forbedret inputvalidering.

CVE-2018-4100: Abraham Masri (@cheesecakeufo)

QuartzCore

Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af webindhold. Problemet er løst ved forbedret godkendelse af input.

CVE-2018-4085: Ret2 Systems Inc., der arbejder med Trend Micros Zero Day Initiative

Ekstern administration

Fås til: macOS Sierra 10.12.6

Effekt: En ekstern bruger kan opnå rodrettigheder.

Beskrivelse: Der var et problem med tilladelser i Ekstern administration. Dette problem blev løst via forbedret godkendelse af tilladelser.

CVE-2018-4298: Tim van der Werff fra SupCloud

Post tilføjet 19. juli 2018

Sandbox

Fås til: macOS High Sierra 10.13.2

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et adgangsproblem er løst via yderligere sandbox-begrænsninger.

CVE-2018-4091: Alex Gaynor fra Mozilla

Sikkerhed

Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Effekt: Et certifikat kan have forkerte navnebegrænsninger

Beskrivelse: Der var et problem med certifikatevaluering i håndteringen af navnebegrænsninger. Dette problem er løst via forbedret tillidsevaluering af certifikater.

CVE-2018-4086: Ian Haken fra Netflix

Sikkerhed

Fås til: macOS High Sierra 10.13.2

Effekt: En hacker kan muligvis omgå administratorgodkendelse uden at angive administratoradgangskoden

Beskrivelse: Der opstod en logikfejl i validering af loginoplysninger. Problemet er løst ved forbedret godkendelse af loginoplysninger.

CVE-2017-13889: Glenn G. Bruckno, P.E. hos Automation Engineering, James Barnes, Kevin Manca fra Computer Engineering Politecnico di Milano, Rene Malenfant fra University of New Brunswick

Post tilføjet 21. juni 2018

Understøttelse af Touch Bar

Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2018-4083: Ian Beer fra Google Project Zero

Post tilføjet 9. februar 2018

WebKit

Fås til: macOS High Sierra 10.13.2

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4088: Jeonghoon Shin fra Theori

CVE-2018-4089: Ivan Fratric fra Google Project Zero

CVE-2018-4096: fundet af OSS-Fuzz

WebKit

Fås til: macOS High Sierra 10.13.2

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4147: fundet af OSS-Fuzz

Post tilføjet 18. oktober 2018

WebKit-sideindlæsning

Fås til: macOS High Sierra 10.13.2

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-7830: Jun Kokatsu (@shhnjk)

Post tilføjet 18. oktober 2018

Wi-Fi

Fås til: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2018-4084: Hyung Sup Lee fra Minionz, You Chan Lee fra Hanyang University

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: