Informationen zum Sicherheitsinhalt von macOS High Sierra 10.13.2, zum Sicherheitsupdate 2017-002 Sierra und zum Sicherheitsupdate 2017-005 El Capitan

Dieses Dokument beschreibt den Sicherheitsinhalt von macOS High Sierra 10.13.2, das Sicherheitsupdate 2017-002 Sierra und das Sicherheitsupdate 2017-005 El Capitan.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

macOS High Sierra 10.13.2, Sicherheitsupdate 2017-002 Sierra und Sicherheitsupdate 2017-005 El Capitan

Veröffentlicht am 6. Dezember 2017

APFS

Verfügbar für: macOS High Sierra 10.13.1

Auswirkung: APFS-Verschlüsselungsschlüssel werden nach dem Ruhezustand eventuell nicht sicher gelöscht.

Beschreibung: Beim Löschen von Verschlüsselungsschlüsseln während des Ruhezustands gab es ein Logikproblem in APFS. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-13887: David Ryskalczyk

Eintrag am 21. Juni 2018 hinzugefügt

Apache

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Apache-Konfiguration kann zur Preisgabe des Prozessspeichers führen.

Beschreibung: Mehrere Probleme wurden durch die Aktualisierung auf Version 2.4.28 behoben.

CVE-2017-9798

CFNetwork-Sitzung

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7172: Richard Zhu (fluorescence) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 22. Januar 2018 hinzugefügt

CoreAnimation

Verfügbar für: macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann willkürlichen Code mit erhöhten Benutzerrechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7171: 360 Security in Zusammenarbeit mit der Zero Day Initiative von Trend Micro und Tencent Keen Security Lab (@keen_lab) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 22. Januar 2018 hinzugefügt

curl

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Böswillige FTP-Server können dazu führen, dass der Client Speicher außerhalb des zugewiesenen Bereichs liest.

Beschreibung: Bei der Analyse von FTP-PWD-Antworten bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-1000254: Max Dymond

Verzeichnisdienste

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Nicht betroffen: macOS Sierra 10.12.6 und älter 

Auswirkung: Ein Angreifer kann unter Umständen die Administratorauthentifizierung umgehen und muss das Administratorpasswort nicht angeben.

Beschreibung: Es gab einen Logikfehler bei der Überprüfung von Berechtigungen. Dieses Problem wurde durch eine verbesserte Prüfung der Berechtigungsdaten behoben.

CVE-2017-13872

ICU

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Ganzzahl-Überlauf wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-15422: Yuan Deng vom Ant-financial Light-Year Security Lab

Eintrag am 14. März 2018 hinzugefügt

Intel-Grafiktreiber

Verfügbar für: macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13883: Yu Wang von Didi Research America

CVE-2017-7163: Yu Wang von Didi Research America

CVE-2017-7155: Yu Wang von Didi Research America

Eintrag am 21. Dezember 2017 aktualisiert 

Intel-Grafiktreiber

Verfügbar für: macOS High Sierra 10.13.1

Auswirkung: Ein lokaler Benutzer kann einen unerwarteten Systemabbruch verursachen oder Kernel-Speicher lesen.

Beschreibung: Es bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dies führte dazu, dass Inhalte des Kernelspeichers offengelegt wurden. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13878: Ian Beer von Google Project Zero

Intel-Grafiktreiber

Verfügbar für: macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-13875: Ian Beer von Google Project Zero

IOAcceleratorFamily

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7159: Gefunden von IMF, entwickelt von HyungSeok Han (daramg.gift) von SoftSec, KAIST (softsec.kaist.ac.kr)

Eintrag am 21. Dezember 2017 aktualisiert 

IOKit

Verfügbar für: macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Im Kernel bestand ein Problem mit der Eingabeüberprüfung. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-13848: Alex Plaskett von MWR InfoSecurity

CVE-2017-13858: Ein anonymer Forscher

IOKit

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.

CVE-2017-13847: Ian Beer von Google Project Zero

IOKit

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 10. Januar 2018 aktualisiert

Kernel

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13904: Kevin Backhouse von Semmle Ltd.

Eintrag am 14. Februar 2018 hinzugefügt

Kernel

Verfügbar für: macOS High Sierra 10.13.1

Auswirkung: Der Kernelspeicher kann von einem Programm gelesen werden (Meltdown).

Beschreibung: Systeme mit Mikroprozessoren, die "speculative execution" und eine indirekte Prognose des Programmflusses nutzen, können einem Angreifer mit lokalem Benutzerzugriff über eine Seitenkanalanalyse des Daten-Cache die unberechtigte Offenlegung von Informationen erlauben.

CVE-2017-5754: Jann Horn von Google Project Zero, Moritz Lipp von der Technischen Universität Graz, Michael Schwarz von der Technischen Universität Graz, Daniel Gruss von der Technischen Universität Graz, Thomas Prescher von der Cyberus Technology GmbH, Werner Haas von der Cyberus Technology GmbH, Stefan Mangard von der Technischen Universität Graz, Paul Kocher, Daniel Genkin von der University of Pennsylvania und University of Maryland, Yuval Yarom von der University of Adelaide und Data61 sowie Mike Hamburg von Rambus (Cryptography Research Division)

Eintrag am 5. Januar 2018 aktualisiert

Kernel

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer von Google Project Zero

Eintrag am 21. Dezember 2017 aktualisiert 

Kernel

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-7173: Brandon Azad

Eintrag am 11. Januar 2018 aktualisiert

Kernel

Verfügbar für: macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13876: Ian Beer von Google Project Zero

Kernel

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-13855: Jann Horn von Google Project Zero

Kernel

Verfügbar für: macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-13865: Ian Beer von Google Project Zero

Kernel

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn von Google Project Zero

Kernel

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Ein lokaler Benutzer kann einen unerwarteten Systemabbruch verursachen oder Kernel-Speicher lesen.

Beschreibung: Im Kernel bestand ein Problem mit der Eingabeüberprüfung. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2017-7154: Jann Horn von Google Project Zero

Eintrag am 21. Dezember 2017 hinzugefügt

Mail

Verfügbar für: macOS High Sierra 10.13.1

Auswirkung: Eine S/MIME-verschlüsselte E-Mail kann versehentlich unverschlüsselt gesendet werden, wenn das S/MIME-Zertifikat des Empfängers nicht installiert ist.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-13871: Lukas Pitschl von GPGTools

Eintrag am 21. Dezember 2017 aktualisiert

E-Mail-Entwürfe

Verfügbar für: macOS High Sierra 10.13.1

Auswirkung: Ein Angreifer mit privilegierter Netzwerkposition kann ggf. E-Mails abfangen.

Beschreibung: Bei S/MIME-Berechtigungen bestand ein Verschlüsselungsproblem. Dieses Problem wurde durch zusätzliche Überprüfungen und Benutzerkontrolle behoben.

CVE-2017-13860: Michael Weishaar von der INNEO Solutions GmbH

Eintrag am 10. Januar 2018 aktualisiert

OpenSSL

Verfügbar für: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Bei einer X.509-IPAddressFamily-Analyse bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dieses Problem wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2017-3735: Gefunden von OSS-Fuzz

Server für Bildschirmfreigabe

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.1

Auswirkung: Ein Benutzer mit Zugang zur Bildschirmfreigabe kann möglicherweise auf jede von root lesbare Datei zugreifen.

Beschreibung: Bei der Verarbeitung von Bildschirmfreigabesitzungen bestand ein Berechtigungsproblem. Dieses Problem wurde durch eine verbesserte Verarbeitung der Zugriffsrechte behoben.

CVE-2017-7158: Trevor Jacques aus Toronto

Eintrag am 21. Dezember 2017 aktualisiert

SIP

Verfügbar für: macOS High Sierra 10.13.1

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2017-13911: Ein anonymer Forscher

Eintrag am 8. August 2018 aktualisiert

WLAN

Verfügbar für: macOS High Sierra 10.13.1

Auswirkung: Ein nicht berechtigter Benutzer kann WLAN-Systemparameter ändern, was einen Denial-of-Service auslösen kann.

Beschreibung: Es bestand ein Zugriffsproblem mit der privilegierten WLAN-Systemkonfiguration. Dieses Problem wurde durch zusätzliche Einschränkungen behoben.

CVE-2017-13886: David Kreitschmann und Matthias Schulz vom Secure Mobile Networking Lab an der TU Darmstadt

Eintrag am 2. Mai 2018 hinzugefügt

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: