Informationen zum Sicherheitsinhalt von macOS Mojave 10.14

In diesem Dokument wird der Sicherheitsinhalt von macOS Mojave 10.14 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit. Deine Kommunikation mit Apple kannst du mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

macOS Mojave 10.14

Bluetooth

Verfügbar für: iMac (21,5", Ende 2012), iMac (27", Ende 2012), iMac (21,5", Ende 2013), iMac (21,5", Mitte 2014), iMac (Retina 5K, 27", Ende 2014), iMac (21,5", Ende 2015), Mac mini (Mitte 2011), Mac mini Server (Mitte 2011), Mac mini (Ende 2012), Mac mini Server (Ende 2012), Mac mini (Ende 2014), Mac Pro (Ende 2013), MacBook Air (11", Mitte 2011), MacBook Air (13", Mitte 2011), MacBook Air (11", Mitte 2012), MacBook Air (13", Mitte 2012), MacBook Air (11", Mitte 2013), MacBook Air (13", Mitte 2013), MacBook Air (11", Anfang 2015), MacBook Air (13", Anfang 2015), MacBook Pro (13", Mitte 2012), MacBook Pro (15", Mitte 2012), MacBook Pro (Retina, 13", Anfang 2013), MacBook Pro (Retina, 15", Anfang 2013), MacBook Pro (Retina, 13", Ende 2013) und MacBook Pro (Retina, 15", Ende 2013)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann den Bluetooth-Verkehr abfangen.

Beschreibung: Bei Bluetooth bestand ein Problem mit der Eingabeüberprüfung. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-5383: Lior Neumann und Eli Biham

Die unten aufgeführten Updates sind für die folgenden Mac-Modelle verfügbar: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Modelle von Ende 2013, Mitte 2010 und Mitte 2012 mit empfohlenem Metal-fähigen Grafikprozessor, darunter MSI Gaming Radeon RX 560 und Sapphire Radeon PULSE RX 580)

afpserver

Auswirkung: Ein Remote-Angreifer ist möglicherweise in der Lage, AFP-Server über HTTP-Clients anzugreifen.

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4295: Jianjun Chen (@whucjj) von der Tsinghua University und UC Berkeley

App Store

Auswirkung: Ein Schadprogramm kann die Apple-ID des Computereigentümers ermitteln

Beschreibung: Bei der Verarbeitung der Apple-ID bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch eine verbesserte Zugriffssteuerung behoben.

CVE-2018-4324: Sergii Kryvoblotskyi von MacPaw Inc.

AppleGraphicsControl

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4417: Lee vom Information Security Lab der Yonsei University in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Programm-Firewall

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2018-4353: Abhinav Bansal von LinkedIn Inc.

APR

Auswirkung: In Perl gab es mehrere Probleme in Zusammenhang mit Pufferüberläufen.

Beschreibung: Mehrere Probleme in Perl wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-12613: Craig Young von Tripwire VERT

CVE-2017-12618: Craig Young von Tripwire VERT

ATS

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4411: lilang wu moony Li von Trend Micro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

ATS

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Automatisches Entsperren

Auswirkung: Ein Schadprogramm könnte auf die Apple-IDs von lokalen Benutzern zugreifen.

Beschreibung: Es bestand ein Validierungsproblem bei der Bestätigung der Berechtigung. Dieses Problem wurde durch eine verbesserte Validierung der Prozessberechtigung behoben.

CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai von Alibaba Inc.

CFNetwork

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4126: Bruno Keith (@bkth_) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CoreFoundation

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4412: Britisches National Cyber Security Centre (NCSC)

CoreFoundation

Auswirkung: Eine Anwendung kann erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4414: Britisches National Cyber Security Centre (NCSC)

CoreText

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4347: Vasyl Tkachuk von Readdle

Crash Reporter

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4333: Brandon Azad

CUPS

Auswirkung: Bei bestimmten Konfigurationen ist ein Remote-Angreifer unter Umständen in der Lage, den Nachrichteninhalt des Druckservers durch willkürlichen Inhalt zu ersetzen.

Beschreibung: Ein Eingabeproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2018-4153: Michael Hanselmann von hansmi.ch

CUPS

Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2018-4406: Michael Hanselmann von hansmi.ch

Lexikon

Auswirkung: Die Analyse einer in böser Absicht erstellten Wörterbuchdatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Es lag ein Validierungsproblem vor, das lokalen Dateizugriff erlaubte. Dieses Problem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) von SecuRing

DiskArbitration

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise den Inhalt der EFI-Systempartition ändern und beliebigen Code mit Kernel-Berechtigungen ausführen, wenn sicheres Starten nicht aktiviert ist.

Beschreibung: In DiskArbitration trat ein Berechtigungsfehler auf. Dieses Problem wurde durch zusätzliche Eigentümerschaftsüberprüfungen behoben.

CVE-2018-4296: Vitaly Cheptsov

dyld

Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann unter Umständen geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2018-4433: Vitaly Cheptsov

fdesetup

Auswirkung: Institutionelle Wiederherstellungsschlüssel werden möglicherweise fälschlicherweise als vorhanden gemeldet.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8643: Arun Sharma von VMWare

Firmware

Auswirkung: Ein Angreifer mit physischem Zugang zu einem Gerät könnte Rechte erhöhen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-5731: Intel und Eclypsium

CVE-2017-5732: Intel und Eclypsium

CVE-2017-5733: Intel und Eclypsium

CVE-2017-5734: Intel und Eclypsium

CVE-2017-5735: Intel und Eclypsium

Grand Central Dispatch

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4426: Brandon Azad

Heimdal

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Hypervisor

Auswirkung: Systeme mit Mikroprozessoren, die spekulative Ausführung und Adressübersetzung nutzen, können die nicht autorisierte Preisgabe von Informationen im L1-Datencache an einen Angreifer mit lokalem Benutzerzugriff und Gast-Betriebssystemberechtigungen über einen Terminalseitenfehler und eine Seitenkanalanalyse erlauben.

Beschreibung: Ein Problem in Zusammenhang mit der Preisgabe von Informationen wurde durch die Leerung des L1-Datencache bei Aufruf des virtuellen Computers behoben.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse und Thomas F. Wenisch von der University of Michigan, Mark Silberstein und Marina Minkin von Technion, Raoul Strackx, Jo Van Bulck und Frank Piessens von der KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun und Kekai Hu von der Intel Corporation, Yuval Yarom von der University of Adelaide

iBooks

Auswirkung: Die Analyse einer in böser Absicht erstellten iBooks-Datei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2018-4355: evi1m0 vom bilibili-Sicherheitsteam

Intel-Grafiktreiber

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4396: Yu Wang von Didi Research America

CVE-2018-4418: Yu Wang von Didi Research America

Intel-Grafiktreiber

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4351: Appology Team von Theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Intel-Grafiktreiber

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4350: Yu Wang von Didi Research America

Intel-Grafiktreiber

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4334: Ian Beer von Google Project Zero

Intel-Grafiktreiber

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4451: Tyler Bohan von Cisco Talos

CVE-2018-4456: Tyler Bohan von Cisco Talos

IOHIDFamily

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4408: Ian Beer von Google Project Zero

IOKit

Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4341: Ian Beer von Google Project Zero

CVE-2018-4354: Ian Beer von Google Project Zero

IOKit

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4383: Apple

IOUserEthernet

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4401: Apple

Kernel

Auswirkung: Ein Schadprogramm kann vertrauliche Benutzerdaten offenlegen.

Beschreibung: Es bestand ein Zugriffsproblem mit privilegierten API-Aufrufen. Dieses Problem wurde durch zusätzliche Einschränkungen behoben.

CVE-2018-4399: Fabiano Anemone (@anoane)

Kernel

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2018-4407: Kevin Backhouse von Semmle Ltd.

Kernel

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer von Google Project Zero

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: Britisches National Cyber Security Centre (NCSC)

CVE-2018-4425: cc in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Juwei Lin (@panicaII) von Trend Micro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

LibreSSL

Auswirkung: Mehrere Probleme in LibreSSL wurden mit diesem Update behoben

Beschreibung: Mehrere Probleme wurden durch das Update auf LibreSSL Version 2.6.4 behoben.

CVE-2015-3194

CVE-2015-5333

CVE-2015-5334

CVE-2016-0702

Anmeldefenster

Auswirkung: Ein lokaler Benutzer kann einen Denial-of-Service-Angriff verursachen

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2018-4348: Ken Gannon von MWR InfoSecurity und Christian Demko von MWR InfoSecurity

mDNSOffloadUserClient

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4326: ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Zhuo Liang vom Qihoo 360 Nirvan Team

MediaRemote

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2018-4310: CodeColorist vom Ant-Financial LightYear Labs

Microcode

Auswirkung: Systeme mit Mikroprozessoren, die eine spekulative Ausführung und spekulative Ausführung von Speicherlesevorgängen vor Kenntnis der Adressen aller vorherigen Speicherschreibvorgänge nutzen, können die nicht autorisierte Preisgabe von Informationen an einen Angreifer mit lokalem Benutzerzugriff per Seitenkanalanalyse erlauben.

Beschreibung: Ein Problem in Zusammenhang mit der Preisgabe von Informationen wurde durch eine Mikrocodeaktualisierung behoben. Damit wird sichergestellt, dass ältere Datenlesevorgänge von kürzlich für Schreibvorgänge genutzten Adressen nicht über einen spekulativen Seitenkanal gelesen werden können.

CVE-2018-3639: Jann Horn (@tehjh) von Google Project Zero (GPZ), Ken Johnson vom Microsoft Security Response Center (MSRC)

Sicherheit

Auswirkung: Ein lokaler Benutzer kann einen Denial-of-Service-Angriff verursachen

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4395: Patrick Wardle von Digita Security

Sicherheit

Auswirkung: Ein Angreifer kann Schwachstellen im RC4-Kryptographie-Algorithmus ausnutzen.

Beschreibung: Dieses Problem wurde durch die Entfernung von RC4 behoben.

CVE-2016-1777: Pepi Zawodsky

Spotlight

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4393: Lufeng Li

Symptom-Framework

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2018-4203: Bruno Keith (@bkth_) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Text

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zu einem Denial-of-Service führen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2018-4304: jianan.huang (@Sevck)

WLAN

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4338: Lee von SECLAB, Yonsei University in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Zusätzliche Danksagung

Bedienungshilfen-Framework

Wir danken Ryan Govostes für die Unterstützung.

Core Data

Wir danken Andreas Kurtz (@aykay) von der NESO Security Labs GmbH für seine Hilfe.

CoreDAV

Wir danken Matthew Thomas von Verisign für die Unterstützung.

CoreGraphics

Wir danken Nitin Arya von Roblox Corporation für die Unterstützung.

CoreSymbolication

Wir danken Brandon Azad für die Unterstützung.

CUPS

Wir möchten uns bei Michael Hanselmann von hansmi.ch für die Unterstützung bedanken.

IOUSBHostFamily

Wir danken Dragos Ruiu von CanSecWest für die Unterstützung.

Kernel

Wir danken Brandon Azad für die Unterstützung.

Mail

Wir danken Alessandro Avagliano von Rocket Internet SE, John Whitehead von The New York Times, Kelvin Delbarre von Omicron Software Systems und Zbyszek Żółkiewski für die Unterstützung.

Übersicht

Wir danken lokihardt von Google Project Zero, Wojciech Reguła (@_r3ggi) von SecuRing und Patrick Wardle von Digita Security für die Unterstützung.

Sicherheit

Wir danken Christoph Sinai, Daniel Dudek (@dannysapples) von The Irish Times und Filip Klubička (@lemoncloak) vom ADAPT Centre, Dublin Institute of Technology, Horatiu Graur von SoftVision, Istvan Csanady von Shapr3D, Omar Barkawi von ITG Software, Inc., Phil Caleno, Wilson Ding, ein anonymer Forscher für ihre Unterstützung.

SQLite

Wir danken Andreas Kurtz (@aykay) von der NESO Security Labs GmbH für seine Hilfe.

Terminal

Wir danken Federico Bento für die Unterstützung.

Time Machine

Wir danken Matthew Thomas von Verisign für die Unterstützung.

WindowServer

Wir danken Patrick Wardle von Digita Security für die Unterstützung.