Om sikkerhedsindholdet i macOS High Sierra 10.13.6, sikkerhedsopdatering 2018-004 Sierra og sikkerhedsopdatering 2018-004 El Capitan

Dette dokument beskriver sikkerhedsindholdet i macOS High Sierra 10.13.6, sikkerhedsopdatering 2018-004 Sierra og sikkerhedsopdatering 2018-004 El Capitan.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

macOS High Sierra 10.13.6, sikkerhedsopdatering 2018-004 Sierra og sikkerhedsopdatering 2018-004 El Capitan

Udgivet 9. juli 2018

AMD

Fås til: macOS High Sierra 10.13.5

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Et problem med afsløring af oplysninger er løst ved at fjerne den sårbare kode.

CVE-2018-4289: shrek_wzw fra Qihoo 360 Nirvan Team

APFS

Fås til: macOS High Sierra 10.13.5

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4268: Mac, der arbejder med Trend Micros Zero Day Initiative

ATS

Fås til: macOS High Sierra 10.13.5

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2018-4285: Mohamed Ghannam (@_simo36)

Bluetooth

Fås til: MacBook Pro (15", 2018) og MacBook Pro (13", 2018, fire Thunderbolt 3-porte)
Andre Mac-modeller blev behandlet med macOS High Sierra 10.13.5.

Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange Bluetooth-trafik

Beskrivelse: Der var et problem med godkendelse af input i Bluetooth. Problemet er løst ved forbedret inputvalidering.

CVE-2018-5383: Lior Neumann og Eli Biham

Post tilføjet 23. juli 2018

CFNetwork

Fås til: macOS High Sierra 10.13.5

Effekt: Cookies kan uventet forblive i Safari

Beskrivelse: Et problem med administration af cookies er løst ved hjælp af forbedrede kontroller.

CVE-2018-4293: En anonym programmør

CoreCrypto

Fås til: OS X El Capitan 10.11.6 og macOS Sierra 10.12.6

Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4269: Abraham Masri (@cheesecakeufo)

DesktopServices

Fås til: macOS Sierra 10.12.6

Effekt: En lokal bruger kan muligvis få adgang til følsomme brugeroplysninger

Beskrivelse: Der var et adgangsproblem, hvor kørselstilladelse af filer fejlagtigt blev tildelt. Problemet blev løst via forbedret validering af tilladelser.

CVE-2018-4178: Arjen Hendrikse

IOGraphics

Fås til: macOS High Sierra 10.13.5

Effekt: En lokal bruger kan læse kernehukommelsen

Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.

CVE-2018-4283: @panicaII, der arbejder med Trend Micros Zero Day Initiative

Kernel

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.5

Effekt: Systemer, der bruger Intel® Core-baserede mikroprocessorer, kan potentielt tillade, at en lokal proces afleder data ved hjælp af Lazy FP-tilstandsgendannelse fra en anden proces via en sidekanal med spekulativ udførelse

Beskrivelse: Lazy FP-tilstandsgendannelse i stedet for umiddelbar lagring og gendannelse af tilstanden ved et kontekstskift. Gendannede Lazy-tilstande er potentielt sårbare over for udnyttelser, hvor en proces kan aflede registreringsværdier fra andre processer via en sidekanals spekulative udførelse, der afleder deres værdi.

Et problem med afsløring af oplysninger er løst ved rensning af FP/SIMD-registreringstilstand.

CVE-2018-3665: Julian Stecklina fra Amazon Germany, Thomas Prescher fra Cyberus Technology GmbH (cyberus-technology.de), Zdenek Sojka fra SYSGO AG (sysgo.com) og Colin Percival

libxpc

Fås til: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 og macOS High Sierra 10.13.5

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4280: Brandon Azad

libxpc

Fås til: macOS High Sierra 10.13.5

Effekt: Et skadeligt program kan muligvis læse beskyttet hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2018-4248: Brandon Azad

LinkPresentation

Fås til: macOS High Sierra 10.13.5

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Der var et problem med efterligning i håndteringen af URL-adresser. Problemet er løst ved forbedret inputvalidering.

CVE-2018-4277: xisigr fra Tencents Xuanwu Lab (tencent.com)

Yderligere anerkendelser

App Store

Vi vil gerne takke Jesse Endahl og Stevie Hryciw fra Fleetsmith og Max Bélanger fra Dropbox for hjælpen.

Post tilføjet 8. august 2017

Hjælpfremviser

Vi vil gerne takke Wojciech Reguła (@_r3ggi) fra SecuRing for hjælpen med fire delløsninger.

Kernel

Vi vil gerne takke juwei lin (@panicaII) fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative, for hjælpen.

Sikkerhed

Vi vil gerne takke Brad Dahlsten fra Iowa State University for hjælpen.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: