Informationen zum Sicherheitsinhalt von macOS Mojave 10.14.1, Sicherheitsupdate 2018-002 High Sierra und Sicherheitsupdate 2018-005 Sierra
In diesem Dokument wird der Sicherheitsinhalt von macOS Mojave 10.14.1, Sicherheitsupdate 2018-002 High Sierra und Sicherheitsupdate 2018-005 Sierra beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit. Deine Kommunikation mit Apple kannst du mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
macOS Mojave 10.14.1, Sicherheitsupdate 2018-002 High Sierra, Sicherheitsupdate 2018-005 Sierra
afpserver
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Remote-Angreifer ist möglicherweise in der Lage, AFP-Server über HTTP-Clients anzugreifen.
Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2018-4295: Jianjun Chen (@whucjj) von der Tsinghua University und UC Berkeley
AppleGraphicsControl
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2018-4410: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
AppleGraphicsControl
Verfügbar für: macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2018-4417: Lee vom Information Security Lab der Yonsei University in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
APR
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: In Perl gab es mehrere Probleme in Zusammenhang mit Pufferüberläufen.
Beschreibung: Mehrere Probleme in Perl wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2017-12613: Craig Young von Tripwire VERT
CVE-2017-12618: Craig Young von Tripwire VERT
ATS
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2018-4411: lilang wu moony Li von Trend Micro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
ATS
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2018-4308: Mohamed Ghannam (@_simo36)
Automator
Verfügbar für: macOS Mojave 10.14
Auswirkung: Ein Schadprogramm kann möglicherweise auf beschränkte Dateien zugreifen.
Beschreibung: Dieses Problem wurde durch das Entfernen zusätzlicher Berechtigungen behoben.
CVE-2018-4468: Jeff Johnson von underpassapp.com
CFNetwork
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4126: Bruno Keith (@bkth_) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
CoreAnimation
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4415: Liang Zhuo in Zusammenarbeit mit dem SecuriTeam Secure Disclosure-Programm von Beyond Security
CoreCrypto
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Ein Angreifer ist möglicherweise in der Lage, eine Schwachstelle im Miller-Rabin-Primzahltest auszunutzen und Primzahlen falsch zu identifizieren.
Beschreibung: Es bestand ein Problem mit der Methode zum Ermitteln von Primzahlen. Dieses Problem wurde durch die Verwendung pseudozufälliger Grundlagen zum Testen von Primzahlen behoben.
CVE-2018-4398: Martin Albrecht, Jake Massimo und Kenny Paterson von Royal Holloway, University of London und Juraj Somorovsky von der Ruhr-Universität Bochum
CoreFoundation
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2018-4412: Britisches National Cyber Security Centre (NCSC)
CUPS
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Bei bestimmten Konfigurationen ist ein Remote-Angreifer unter Umständen in der Lage, den Nachrichteninhalt des Druckservers durch willkürlichen Inhalt zu ersetzen.
Beschreibung: Ein Eingabeproblem wurde durch eine verbesserte Überprüfung behoben.
CVE-2018-4153: Michael Hanselmann von hansmi.ch
CUPS
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.
CVE-2018-4406: Michael Hanselmann von hansmi.ch
Lexikon
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Die Analyse einer in böser Absicht erstellten Wörterbuchdatei kann zur Preisgabe von Benutzerinformationen führen.
Beschreibung: Es lag ein Validierungsproblem vor, das lokalen Dateizugriff erlaubte. Dieses Problem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2018-4346: Wojciech Reguła (@_r3ggi) von SecuRing
Dock
Verfügbar für: macOS Mojave 10.14
Auswirkung: Ein Schadprogramm kann möglicherweise auf beschränkte Dateien zugreifen.
Beschreibung: Dieses Problem wurde durch das Entfernen zusätzlicher Berechtigungen behoben.
CVE-2018-4403: Patrick Wardle von Digita Security
dyld
Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6
Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.
CVE-2018-4423: Youfu Zhang vom Chaitin Security Research Lab (@ChaitinTech)
EFI
Verfügbar für: macOS High Sierra 10.13.6
Auswirkung: Systeme mit Mikroprozessoren, die eine spekulative Ausführung und spekulative Ausführung von Speicherlesevorgängen vor Kenntnis der Adressen aller vorherigen Speicherschreibvorgänge nutzen, können die nicht autorisierte Preisgabe von Informationen an einen Angreifer mit lokalem Benutzerzugriff per Seitenkanalanalyse erlauben.
Beschreibung: Ein Problem in Zusammenhang mit der Preisgabe von Informationen wurde durch eine Mikrocodeaktualisierung behoben. Damit wird sichergestellt, dass ältere Datenlesevorgänge von kürzlich für Schreibvorgänge genutzten Adressen nicht über einen spekulativen Seitenkanal gelesen werden können.
CVE-2018-3639: Jann Horn (@tehjh) von Google Project Zero (GPZ), Ken Johnson vom Microsoft Security Response Center (MSRC)
EFI
Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Ein lokaler Benutzer kann unter Umständen geschützte Bereiche des Dateisystems ändern.
Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.
CVE-2018-4342: Timothy Perfitt von Twocanoes Software
Foundation
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zu einem Denial-of-Service führen.
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.
CVE-2018-4304: jianan.huang (@Sevck)
Grand Central Dispatch
Verfügbar für: macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4426: Brandon Azad
Heimdal
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4331: Brandon Azad
Hypervisor
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Systeme mit Mikroprozessoren, die spekulative Ausführung und Adressübersetzung nutzen, können die nicht autorisierte Preisgabe von Informationen im L1-Datencache an einen Angreifer mit lokalem Benutzerzugriff und Gast-Betriebssystemberechtigungen über einen Terminalseitenfehler und eine Seitenkanalanalyse erlauben.
Beschreibung: Ein Problem in Zusammenhang mit der Preisgabe von Informationen wurde durch die Leerung des L1-Datencache bei Aufruf des virtuellen Computers behoben.
CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse und Thomas F. Wenisch von der University of Michigan, Mark Silberstein und Marina Minkin von Technion, Raoul Strackx, Jo Van Bulck und Frank Piessens von der KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun und Kekai Hu von der Intel Corporation, Yuval Yarom von der University of Adelaide
Hypervisor
Verfügbar für: macOS Sierra 10.12.6
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Sperrung behoben.
CVE-2018-4242: Zhuo Liang vom Qihoo 360 Nirvan Team
ICU
Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Strings kann zu einer Heapbeschädigung führen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2018-4394: Erik Verbruggen von The Qt Company
Intel-Grafiktreiber
Verfügbar für: macOS Sierra 10.12.6
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4334: Ian Beer von Google Project Zero
Intel-Grafiktreiber
Verfügbar für: macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2018-4396: Yu Wang von Didi Research America
CVE-2018-4418: Yu Wang von Didi Research America
Intel-Grafiktreiber
Verfügbar für: macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2018-4350: Yu Wang von Didi Research America
Intel-Grafiktreiber
Verfügbar für: macOS Mojave 10.14
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4421: Tyler Bohan von Cisco Talos
IOGraphics
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4422: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
IOHIDFamily
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2018-4408: Ian Beer von Google Project Zero
IOKit
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4402: Proteas vom Qihoo 360 Nirvan Team
IOKit
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4341: Ian Beer von Google Project Zero
CVE-2018-4354: Ian Beer von Google Project Zero
IOUserEthernet
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4401: Apple
IPSec
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Eine Anwendung kann erhöhte Benutzerrechte erlangen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2018-4371: Tim Michaud (@TimGMichaud) von der Leviathan Security Group
Kernel
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2018-4420: Mohamed Ghannam (@_simo36)
Kernel
Verfügbar für: macOS High Sierra 10.13.6
Auswirkung: Ein Schadprogramm kann vertrauliche Benutzerdaten offenlegen.
Beschreibung: Es bestand ein Zugriffsproblem mit privilegierten API-Aufrufen. Dieses Problem wurde durch zusätzliche Einschränkungen behoben.
CVE-2018-4399: Fabiano Anemone (@anoane)
Kernel
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4419: Mohamed Ghannam (@_simo36)
CVE-2018-4425: cc in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Juwei Lin (@panicaII) von Trend Micro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Kernel
Verfügbar für: macOS Sierra 10.12.6
Auswirkung: Die Einbindung einer in böser Absicht erstellten NFS-Netzwerkfreigabe kann zur Ausführung von willkürlichem Code mit Systemrechten führen.
Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4259: Kevin Backhouse von Semmle und LGTM.com
CVE-2018-4286: Kevin Backhouse von Semmle und LGTM.com
CVE-2018-4287: Kevin Backhouse von Semmle und LGTM.com
CVE-2018-4288: Kevin Backhouse von Semmle und LGTM.com
CVE-2018-4291: Kevin Backhouse von Semmle und LGTM.com
Kernel
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.
Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4413: Juwei Lin (@panicaII) vom TrendMicro Mobile Security Team
Kernel
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.
CVE-2018-4407: Kevin Backhouse von Semmle Ltd.
Kernel
Verfügbar für: macOS Mojave 10.14
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.
CVE-2018-4424: Dr. Silvio Cesare von InfoSect
LinkPresentation
Verfügbar für: macOS Sierra 10.12.6
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textnachricht kann zu UI-Spoofing führen.
Beschreibung: Es bestand eine Spoofing-Schwachstelle bei der Verarbeitung von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) vom Tencent Security Platform Department
Anmeldefenster
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein lokaler Benutzer kann einen Denial-of-Service-Angriff verursachen
Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.
CVE-2018-4348: Ken Gannon von MWR InfoSecurity und Christian Demko von MWR InfoSecurity
Verfügbar für: macOS Mojave 10.14
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten E-Mail-Nachricht kann zu UI-Spoofing führen.
Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason von Syndis
mDNSOffloadUserClient
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4326: ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Zhuo Liang vom Qihoo 360 Nirvan Team
MediaRemote
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein in der Sandbox ausgeführter Prozess kann Sandbox-Einschränkungen umgehen.
Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.
CVE-2018-4310: CodeColorist vom Ant-Financial LightYear Labs
Microcode
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Systeme mit Mikroprozessoren, die eine spekulative Ausführung nutzen und spekulative Lesevorgänge von Systemregistern ausführen, können die nicht autorisierte Preisgabe von Systemparametern an einen Angreifer mit lokalem Benutzerzugriff über eine Seitenkanalanalyse erlauben.
Beschreibung: Ein Problem in Zusammenhang mit der Preisgabe von Informationen wurde durch eine Mikrocodeaktualisierung behoben. So wird sichergestellt, dass implementierungsspezifische Systemregister nicht über eine spekulative Ausführung per Seitenkanal offengelegt werden können.
CVE-2018-3640: Innokentiy Sennovskiy von BiZone LLC (bi.zone), Zdenek Sojka, Rudolf Marek und Alex Zuepke von SYSGO AG (sysgo.com)
NetworkExtension
Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Bei Verbindung mit einem VPN-Server können DNS-Anfragen an einen DNS-Proxy preisgegeben werden.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2018-4369: Ein anonymer Forscher
Perl
Verfügbar für: macOS Sierra 10.12.6
Auswirkung: In Perl gab es mehrere Probleme in Zusammenhang mit Pufferüberläufen.
Beschreibung: Mehrere Probleme in Perl wurden durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-6797: Brian Carpenter
Ruby
Verfügbar für: macOS Sierra 10.12.6
Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen
Beschreibung: Mehrere Probleme in Ruby wurden mit diesem Update behoben.
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
Sicherheit
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten S/MIME-signierten Nachricht kann zu einem Denial-of-Service führen.
Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.
CVE-2018-4400: Yukinobu Nagayasu von LAC Co., Ltd.
Sicherheit
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein lokaler Benutzer kann einen Denial-of-Service-Angriff verursachen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2018-4395: Patrick Wardle von Digita Security
Spotlight
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4393: Lufeng Li
Symptom-Framework
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2018-4203: Bruno Keith (@bkth_) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
WLAN
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14
Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.
Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.
CVE-2018-4368: Milan Stute und Alex Mariotto vom Secure Mobile Networking Lab an der Technischen Universität Darmstadt
Zusätzliche Danksagung
Kalender
Wir danken Matthew Thomas von Verisign für die Unterstützung.
coreTLS
Wir danken Eyal Ronen (Weizmann Institute), Robert Gillham (University of Adelaide), Daniel Genkin (University of Michigan), Adi Shamir (Weizmann Institute), David Wong (NCC Group) und Yuval Yarom (University of Adelaide und Data61) für ihre Unterstützung.
iBooks
Wir möchten uns bei Sem Voigtländer von der Fontys Hogeschool ICT für die Unterstützung bedanken.
Kernel
Wir danken Brandon Azad für die Unterstützung.
LaunchServices
Wir möchten uns bei Alok Menghrajani von Square für die Unterstützung bedanken.
Übersicht
Wir möchten uns bei lokihardt von Google Project Zero für die Unterstützung bedanken.
Sicherheit
Wir möchten uns bei Marinos Bernitsas von Parachute für die Unterstützung bedanken.
Terminal
Wir danken Federico Bento für die Unterstützung.
Time Machine
Wir danken Matthew Thomas von Verisign für die Unterstützung.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.