Om sikkerhedsindholdet i macOS Mojave 10.14

I dette dokument beskrives sikkerhedsindholdet i macOS Mojave 10.14.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

macOS Mojave 10.14

Udgivet 24. september 2018

Bluetooth

Fås til: iMac (21,5", ultimo 2012), iMac (27", ultimo 2012), iMac (21,5", ultimo 2013), iMac (21,5", medio 2014), iMac (Retina 5K, 27", ultimo 2014), iMac (21,5", ultimo 2015), Mac mini (medio 2011), Mac mini Server (medio 2011), Mac mini (ultimo 2012), Mac mini Server (ultimo 2012), Mac mini (ultimo 2014), Mac Pro (ultimo 2013), MacBook Air (11", medio 2011), MacBook Air (13", medio 2011), MacBook Air (11", medio 2012), MacBook Air (13", medio 2012), MacBook Air (11", medio 2013), MacBook Air (13", medio 2013), MacBook Air (11", primo 2015), MacBook Air (13", primo 2015), MacBook Pro (13", medio 2012), MacBook Pro (15", medio 2012), MacBook Pro (Retina, 13", primo 2013), MacBook Pro (Retina, 15", primo 2013), MacBook Pro (Retina, 13", ultimo 2013) og MacBook Pro (Retina, 15", ultimo 2013)

Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange Bluetooth-trafik

Beskrivelse: Der var et problem med godkendelse af input i Bluetooth. Problemet er løst ved forbedret inputvalidering.

CVE-2018-5383: Lior Neumann og Eli Biham

 

Opdateringerne nedenfor fås til disse Mac-modeller: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (modeller fra ultimo 2013, medio 2010 og medio 2012 med anbefalet Metal-kompatibel grafikprocessor, herunder MSI Gaming Radeon RX 560 and Sapphire Radeon PULSE RX 580)

afpserver

Effekt: En ekstern hacker kan muligvis angribe AFP-servere via HTTP-klienter

Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.

CVE-2018-4295: Jianjun Chen (@whucjj) fra Tsinghua University og UC Berkeley

Post tilføjet 30. oktober 2018

App Store

Effekt: Et skadeligt program kan muligvis finde det Apple-id, der tilhører computerens ejer

Beskrivelse: Der var et problem med tilladelser i forbindelse med håndteringen af Apple-id'et. Problemet er løst ved forbedret adgangskontrol.

CVE-2018-4324: Sergii Kryvoblotskyi fra MacPaw Inc.

AppleGraphicsControl

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2018-4417: Lee fra Information Security Lab Yonsei University, som arbejder sammen med Trend Micro's Zero Day Initiative

Post tilføjet 30. oktober 2018

Programfirewall

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.

CVE-2018-4353: Abhinav Bansal fra LinkedIn Inc.

Post opdateret 30. oktober 2018

APR

Effekt: Der var flere problemer med bufferoverløb i Perl

Beskrivelse: Flere problemer i Perl er løst med forbedret hukommelseshåndtering.

CVE-2017-12613: Craig Young fra Tripwire VERT

CVE-2017-12618: Craig Young fra Tripwire VERT

Post tilføjet 30. oktober 2018

ATS

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4411: lilang wu moony Li fra Trend Micro, der arbejder sammen med Trend Micro's Zero Day Initiative

Post tilføjet 30. oktober 2018

ATS

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Post tilføjet 30. oktober 2018

Automatisk lås op

Effekt: Et skadeligt program kan muligvis få adgang til lokale brugeres Apple-id'er

Beskrivelse: Der var et godkendelsesproblem med bekræftelsen af rettigheder. Problemet er løst ved forbedret godkendelse af procesrettigheder.

CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai fra Alibaba Inc.

CFNetwork

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4126: Bruno Keith (@bkth_), som arbejder med Trend Micro's Zero Day Initiative

Post tilføjet 30. oktober 2018

CoreFoundation

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4412: Storbritanniens National Cyber Security Centre (NCSC)

Post tilføjet 30. oktober 2018

CoreFoundation

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4414: Storbritanniens National Cyber Security Centre (NCSC)

Post tilføjet 30. oktober 2018

CoreText

Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et use-after-free problem er løst ved forbedret hukommelseshåndtering.

CVE-2018-4347: En anonym programmør

Post tilføjet 30. oktober 2018

Crash Reporter

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2018-4333: Brandon Azad

CUPS

Effekt: I visse konfigurationer kan en ekstern hacker muligvis erstatte beskedens indhold fra printserveren med vilkårligt indhold

Beskrivelse: Et problem med indsættelse er løst via forbedret godkendelse.

CVE-2018-4153: Michael Hanselmann fra hansmi.ch

Post tilføjet 30. oktober 2018

CUPS

Effekt: En hacker med en privilegeret position kan muligvis fremkalde et DoS-angreb

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret validering.

CVE-2018-4406: Michael Hanselmann fra hansmi.ch

Post tilføjet 30. oktober 2018

Ordbog

Effekt: Parsing af et skadeligt ordbogsarkiv kan muligvis medføre afsløring af brugeroplysninger

Beskrivelse: Der var et valideringsproblem, som tillod adgang til lokale arkiver. Problemet er løst ved hjælp af rensning af input.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) fra SecuRing

Post tilføjet 30. oktober 2018

Grand Central Dispatch

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4426: Brandon Azad

Post tilføjet 30. oktober 2018

Heimdal

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Post tilføjet 30. oktober 2018

Hypervisor

Effekt: Systemer med mikroprocessorer, der udnytter spekulativ eksekvering og adresseoversættelser, kan muligvis tillade uautoriseret afsløring af oplysninger i L1-datacachen for en hacker med lokal brugeradgang og OS-privilegier som gæst via en fejl på terminalsiden og en analyse via en sidekanal

Beskrivelse: Et problem med afsløring af oplysninger er løst ved at rydde L1-datacachen på virtuelt maskinniveau.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse og Thomas F. Wenisch fra University of Michigan, Mark Silberstein og Marina Minkin fra Technion, Raoul Strackx, Jo Van Bulck og Frank Piessens fra KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun og Kekai Hu fra Intel Corporation, Yuval Yarom fra University of Adelaide

Post tilføjet 30. oktober 2018

iBooks

Effekt: Parsing af et skadeligt iBooks-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.

CVE-2018-4355: evi1m0 fra bilibilis sikkerhedsteam

Post tilføjet 30. oktober 2018

Intel Graphics Driver

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2018-4396: Yu Wang fra Didi Research America

CVE-2018-4418: Yu Wang fra Didi Research America

Post tilføjet 30. oktober 2018

Intel Graphics Driver

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2018-4351: Appology Team @ Theori, der arbejder med Trend Micro's Zero Day Initiative

Post tilføjet 30. oktober 2018

Intel Graphics Driver

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-4350: Yu Wang fra Didi Research America

Post tilføjet 30. oktober 2018

Intel Graphics Driver

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4334: Ian Beer fra Google Project Zero

Post tilføjet 30. oktober 2018

IOHIDFamily

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input

CVE-2018-4408: Ian Beer fra Google Project Zero

Post tilføjet 30. oktober 2018

IOKit

Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4341: Ian Beer fra Google Project Zero

CVE-2018-4354: Ian Beer fra Google Project Zero

Post tilføjet 30. oktober 2018

IOKit

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2018-4383: Apple

Post tilføjet 30. oktober 2018

IOUserEthernet

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4401: Apple

Post tilføjet 30. oktober 2018

Kernel

Effekt: Et skadeligt program kan lække følsomme brugeroplysninger

Beskrivelse: Der var et adgangsproblem med privilegerede API-kald. Problemet er løst ved hjælp af yderligere begrænsninger.

CVE-2018-4399: Fabiano Anemone (@anoane)

Post tilføjet 30. oktober 2018

Kernel

Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2018-4407: Kevin Backhouse fra Semmle Ltd.

Post tilføjet 30. oktober 2018

Kernel

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer fra Google Project Zero

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: Storbritanniens National Cyber Security Centre (NCSC)

CVE-2018-4425: cc, som arbejder med Trend Micro's Zero Day Initiative, Juwei Lin (@panicaII) fra Trend Micro, som arbejder med Trend Micro's Zero Day Initiative

Post opdateret 30. oktober 2018

LibreSSL

Effekt: Flere problemer i libressl er løst i denne opdatering

Beskrivelse: Flere problemer er løst ved at opdatere til PHP version 2.6.4.

CVE-2015-3194

CVE-2015-5333

CVE-2015-5334

CVE-2016-702

Post tilføjet 30. oktober 2018

Log ind-vindue

Effekt: En lokal bruger kan muligvis forårsage et DoS-angreb

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2018-4348: Ken Gannon fra MWR InfoSecurity og Christian Demko fra MWR InfoSecurity

Post tilføjet 30. oktober 2018

mDNSOffloadUserClient

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4326: En anonym programmør, som arbejder med Trend Micro's Zero Day Initiative, Zhuo Liang fra Qihoo 360 Nirvan Team

Post tilføjet 30. oktober 2018

MediaRemote

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.

CVE-2018-4310: CodeColorist fra Ant-Financial LightYear Labs

Post tilføjet 30. oktober 2018

Microcode

Effekt: Systemer med mikroprocessorer, der udnytter spekulativ eksekvering og spekulativ udførelse af hukommelseslæsninger, inden adresserne for alle tidligere hukommelsesskrivninger kendes, kan muligvis tillade uautoriseret afsløring af oplysninger for en hacker med lokal brugeradgang gennem analyse via en sidekanal

Beskrivelse: Et problem med afsløring af oplysninger er løst med en opdatering af mikrokoden. Dette sikrer, at ældre data, der er læst fra adresser, der for nylig er skrevet til, ikke kan læses via en spekulativ sidekanal.

CVE-2018-3639: Jann Horn (@tehjh) fra Google Project Zero (GPZ), Ken Johnson fra Microsoft Security Response Center (MSRC)

Post tilføjet 30. oktober 2018

Sikkerhed

Effekt: En lokal bruger kan muligvis forårsage et DoS-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2018-4395: Patrick Wardle fra Digita Security

Post tilføjet 30. oktober 2018

Sikkerhed

Effekt: En hacker kan udnytte svagheder i RC4-kryptografialgoritmen

Beskrivelse: Problemet blev løst ved at fjerne RC4.

CVE-2016-1777: Pepi Zawodsky

Spotlight

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4393: Lufeng Li

Post tilføjet 30. oktober 2018

Symptom Framework

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2018-4203: Bruno Keith (@bkth_), som arbejder med Trend Micro's Zero Day Initiative

Post tilføjet 30. oktober 2018

Tekst

Effekt: Behandling af et skadeligt tekstarkiv kan medføre et DoS-angreb

Beskrivelse: Et DoS-problem blev rettet via forbedret validering.

CVE-2018-4304: jianan.huang (@Sevck)

Post tilføjet 30. oktober 2018

Wi-Fi

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2018-4338: Lee @ SECLAB, Yonsei University, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 23. oktober 2018

Yderligere anerkendelser

Tilgængelighedsframework

Vi vil gerne takke Ryan Govostes for hjælpen.

Kernedata

Vi vil gerne takke Andreas Kurtz (@aykay) fra NESO Security Labs GmbH for hjælpen.

CoreGraphics

Vi vil gerne takke Nitin Arya fra Roblox Corporation for hjælpen.

Mail

Vi vil gerne takke Alessandro Avagliano fra Rocket Internet SE, John Whitehead fra The New York Times, Kelvin Delbarre fra Omicron Software Systems og Zbyszek Żółkiewski for hjælpen.

Sikkerhed

Vi vil gerne takke Christoph Sinai, Daniel Dudek (@dannysapples) fra The Irish Times og Filip Klubička (@lemoncloak) fra ADAPT Centre, Dublin Institute of Technology, Istvan Csanady fra Shapr3D, Omar Barkawi fra ITG Software, Inc., Phil Caleno, Wilson Ding og en anonym programmør for hjælpen.

SQLite

Vi vil gerne takke Andreas Kurtz (@aykay) fra NESO Security Labs GmbH for hjælpen.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: