Informationen zum Sicherheitsinhalt von macOS Mojave 10.14

In diesem Dokument wird der Sicherheitsinhalt von macOS Mojave 10.14 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

macOS Mojave 10.14

Veröffentlicht am 24. September 2018

Bluetooth

Verfügbar für: iMac (21,5", Ende 2012), iMac (27", Ende 2012), iMac (21,5", Ende 2013), iMac (21,5", Mitte 2014), iMac (Retina 5K, 27", Ende 2014), iMac (21,5", Ende 2015), Mac mini (Mitte 2011), Mac mini Server (Mitte 2011), Mac mini (Ende 2012), Mac mini Server (Ende 2012), Mac mini (Ende 2014), Mac Pro (Ende 2013), MacBook Air (11", Mitte 2011), MacBook Air (13", Mitte 2011), MacBook Air (11", Mitte 2012), MacBook Air (13", Mitte 2012), MacBook Air (11", Mitte 2013), MacBook Air (13", Mitte 2013), MacBook Air (11", Anfang 2015), MacBook Air (13", Anfang 2015), MacBook Pro (13", Mitte 2012), MacBook Pro (15", Mitte 2012), MacBook Pro (Retina, 13", Anfang 2013), MacBook Pro (Retina, 15", Anfang 2013), MacBook Pro (Retina, 13", Ende 2013) und MacBook Pro (Retina, 15", Ende 2013)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann den Bluetooth-Verkehr abfangen.

Beschreibung: Bei Bluetooth bestand ein Problem mit der Eingabeüberprüfung. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-5383: Lior Neumann und Eli Biham

 

Die unten aufgeführten Aktualisierungen sind für die folgenden Mac-Modelle verfügbar: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Modelle von Ende 2013, Mitte 2010 und Mitte 2012 mit empfohlenem Metal-fähigen Grafikprozessor, darunter MSI Gaming Radeon RX 560 und Sapphire Radeon PULSE RX 580)

afpserver

Auswirkung: Ein Remote-Angreifer ist möglicherweise in der Lage, AFP-Server über HTTP-Clients anzugreifen.

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4295: Jianjun Chen (@whucjj) von der Tsinghua University und UC Berkeley

Eintrag am 30. Oktober 2018 hinzugefügt

App Store

Auswirkung: Ein Schadprogramm kann die Apple-ID des Computereigentümers ermitteln

Beschreibung: Bei der Verarbeitung der Apple-ID bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch eine verbesserte Zugriffssteuerung behoben.

CVE-2018-4324: Sergii Kryvoblotskyi von MacPaw Inc.

AppleGraphicsControl

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4417: Lee vom Information Security Lab der Yonsei University in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 30. Oktober 2018 hinzugefügt

Programm-Firewall

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2018-4353: Abhinav Bansal von LinkedIn Inc.

Eintrag am 30. Oktober 2018 aktualisiert

APR

Auswirkung: In Perl gab es mehrere Probleme in Zusammenhang mit Pufferüberläufen.

Beschreibung: Mehrere Probleme in Perl wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-12613: Craig Young von Tripwire VERT

CVE-2017-12618: Craig Young von Tripwire VERT

Eintrag am 30. Oktober 2018 hinzugefügt

ATS

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4411: lilang wu moony Li von Trend Micro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 30. Oktober 2018 hinzugefügt

ATS

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Eintrag am 30. Oktober 2018 hinzugefügt

Automatisches Entsperren

Auswirkung: Ein Schadprogramm könnte auf die Apple-IDs von lokalen Benutzern zugreifen.

Beschreibung: Es bestand ein Validierungsproblem bei der Bestätigung der Berechtigung. Dieses Problem wurde durch eine verbesserte Validierung der Prozessberechtigung behoben.

CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai von Alibaba Inc.

CFNetwork

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4126: Bruno Keith (@bkth_) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 30. Oktober 2018 hinzugefügt

CoreFoundation

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4412: Britisches National Cyber Security Centre (NCSC)

Eintrag am 30. Oktober 2018 hinzugefügt

CoreFoundation

Auswirkung: Eine Anwendung kann erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4414: Britisches National Cyber Security Centre (NCSC)

Eintrag am 30. Oktober 2018 hinzugefügt

CoreText

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4347: ein anonymer Forscher

Eintrag am 30. Oktober 2018 hinzugefügt

Crash Reporter

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4333: Brandon Azad

CUPS

Auswirkung: Bei bestimmten Konfigurationen ist ein Remote-Angreifer unter Umständen in der Lage, den Nachrichteninhalt des Druckservers durch willkürlichen Inhalt zu ersetzen.

Beschreibung: Ein Eingabeproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2018-4153: Michael Hanselmann von hansmi.ch

Eintrag am 30. Oktober 2018 hinzugefügt

CUPS

Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2018-4406: Michael Hanselmann von hansmi.ch

Eintrag am 30. Oktober 2018 hinzugefügt

Lexikon

Auswirkung: Die Analyse einer in böser Absicht erstellten Wörterbuchdatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Es lag ein Validierungsproblem vor, das lokalen Dateizugriff erlaubte. Dieses Problem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) von SecuRing

Eintrag am 30. Oktober 2018 hinzugefügt

Grand Central Dispatch

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4426: Brandon Azad

Eintrag am 30. Oktober 2018 hinzugefügt

Heimdal

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Eintrag am 30. Oktober 2018 hinzugefügt

Hypervisor

Auswirkung: Systeme mit Mikroprozessoren, die spekulative Ausführung und Adressübersetzung nutzen, können die nicht autorisierte Preisgabe von Informationen im L1-Datencache an einen Angreifer mit lokalem Benutzerzugriff und Gast-Betriebssystemberechtigungen über einen Terminalseitenfehler und eine Seitenkanalanalyse erlauben.

Beschreibung: Ein Problem in Zusammenhang mit der Preisgabe von Informationen wurde durch die Leerung des L1-Datencache bei Aufruf des virtuellen Computers behoben.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse und Thomas F. Wenisch von der University of Michigan, Mark Silberstein und Marina Minkin von Technion, Raoul Strackx, Jo Van Bulck und Frank Piessens von der KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun und Kekai Hu von der Intel Corporation, Yuval Yarom von der University of Adelaide

Eintrag am 30. Oktober 2018 hinzugefügt

iBooks

Auswirkung: Die Analyse einer in böser Absicht erstellten iBooks-Datei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2018-4355: evi1m0 vom bilibili-Sicherheitsteam

Eintrag am 30. Oktober 2018 hinzugefügt

Intel-Grafiktreiber

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4396: Yu Wang von Didi Research America

CVE-2018-4418: Yu Wang von Didi Research America

Eintrag am 30. Oktober 2018 hinzugefügt

Intel-Grafiktreiber

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4351: Appology Team von Theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 30. Oktober 2018 hinzugefügt

Intel-Grafiktreiber

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4350: Yu Wang von Didi Research America

Eintrag am 30. Oktober 2018 hinzugefügt

Intel-Grafiktreiber

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4334: Ian Beer von Google Project Zero

Eintrag am 30. Oktober 2018 hinzugefügt

IOHIDFamily

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4408: Ian Beer von Google Project Zero

Eintrag am 30. Oktober 2018 hinzugefügt

IOKit

Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4341: Ian Beer von Google Project Zero

CVE-2018-4354: Ian Beer von Google Project Zero

Eintrag am 30. Oktober 2018 hinzugefügt

IOKit

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4383: Apple

Eintrag am 30. Oktober 2018 hinzugefügt

IOUserEthernet

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4401: Apple

Eintrag am 30. Oktober 2018 hinzugefügt

Kernel

Auswirkung: Ein Schadprogramm kann vertrauliche Benutzerdaten offenlegen.

Beschreibung: Es bestand ein Zugriffsproblem mit privilegierten API-Aufrufen. Dieses Problem wurde durch zusätzliche Einschränkungen behoben.

CVE-2018-4399: Fabiano Anemone (@anoane)

Eintrag am 30. Oktober 2018 hinzugefügt

Kernel

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2018-4407: Kevin Backhouse von Semmle Ltd.

Eintrag am 30. Oktober 2018 hinzugefügt

Kernel

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer von Google Project Zero

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: Britisches National Cyber Security Centre (NCSC)

CVE-2018-4425: cc in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Juwei Lin (@panicaII) von Trend Micro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 30. Oktober 2018 aktualisiert

LibreSSL

Auswirkung: Mehrere Probleme in LibreSSL wurden mit diesem Update behoben

Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf LibreSSL Version 2.6.4 behoben.

CVE-2015-3194

CVE-2015-5333

CVE-2015-5334

CVE-2016-702

Eintrag am 30. Oktober 2018 hinzugefügt

Anmeldefenster

Auswirkung: Ein lokaler Benutzer kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2018-4348: Ken Gannon von MWR InfoSecurity und Christian Demko von MWR InfoSecurity

Eintrag am 30. Oktober 2018 hinzugefügt

mDNSOffloadUserClient

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4326: ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Zhuo Liang vom Qihoo 360 Nirvan Team

Eintrag am 30. Oktober 2018 hinzugefügt

MediaRemote

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2018-4310: CodeColorist vom Ant-Financial LightYear Labs

Eintrag am 30. Oktober 2018 hinzugefügt

Microcode

Auswirkung: Systeme mit Mikroprozessoren, die eine spekulative Ausführung und spekulative Ausführung von Speicherlesevorgängen vor Kenntnis der Adressen aller vorherigen Speicherschreibvorgänge nutzen, können die nicht autorisierte Preisgabe von Informationen an einen Angreifer mit lokalem Benutzerzugriff per Seitenkanalanalyse erlauben.

Beschreibung: Ein Problem in Zusammenhang mit der Preisgabe von Informationen wurde durch eine Mikrocodeaktualisierung behoben. Damit wird sichergestellt, dass ältere Datenlesevorgänge von kürzlich für Schreibvorgänge genutzten Adressen nicht über einen spekulativen Seitenkanal gelesen werden können.

CVE-2018-3639: Jann Horn (@tehjh) von Google Project Zero (GPZ), Ken Johnson vom Microsoft Security Response Center (MSRC)

Eintrag am 30. Oktober 2018 hinzugefügt

Sicherheit

Auswirkung: Ein lokaler Benutzer kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4395: Patrick Wardle von Digita Security

Eintrag am 30. Oktober 2018 hinzugefügt

Sicherheit

Auswirkung: Ein Angreifer kann Schwachstellen im RC4-Kryptographie-Algorithmus ausnutzen.

Beschreibung: Dieses Problem wurde durch die Entfernung von RC4 behoben.

CVE-2016-1777: Pepi Zawodsky

Spotlight

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4393: Lufeng Li

Eintrag am 30. Oktober 2018 hinzugefügt

Symptom-Framework

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2018-4203: Bruno Keith (@bkth_) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 30. Oktober 2018 hinzugefügt

Text

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zu einem Denial-of-Service führen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2018-4304: jianan.huang (@Sevck)

Eintrag am 30. Oktober 2018 hinzugefügt

WLAN

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4338: Lee von SECLAB, Yonsei University in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 23. Oktober 2018 hinzugefügt

Zusätzliche Danksagung

Bedienungshilfen-Framework

Wir danken Ryan Govostes für die Unterstützung.

Core Data

Wir danken Andreas Kurtz (@aykay) von NESO Security Labs GmbH für seine Hilfe.

CoreGraphics

Wir danken Nitin Arya von Roblox Corporation für die Unterstützung.

Mail

Wir danken Alessandro Avagliano von Rocket Internet SE, John Whitehead von The New York Times, Kelvin Delbarre von Omicron Software Systems und Zbyszek Żółkiewski für die Unterstützung.

Sicherheit

Wir danken Christoph Sinai, Daniel Dudek (@dannysapples) von The Irish Times und Filip Klubička (@lemoncloak) von ADAPT Centre, Dublin Institute of Technology, Istvan Csanady von Shapr3D, Omar Barkawi von ITG Software, Inc., Phil Caleno, Wilson Ding und einem anonymen Forscher für die Unterstützung.

SQLite

Wir danken Andreas Kurtz (@aykay) von NESO Security Labs GmbH für seine Hilfe.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: