Informationen zum Sicherheitsinhalt von macOS Mojave 10.14

In diesem Dokument wird der Sicherheitsinhalt von macOS Mojave 10.14 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

macOS Mojave 10.14

Veröffentlicht am 24. September 2018

Bluetooth

Verfügbar für: iMac (21,5", Ende 2012), iMac (27", Ende 2012), iMac (21,5", Ende 2013), iMac (21,5", Mitte 2014), iMac (Retina 5K, 27", Ende 2014), iMac (21,5", Ende 2015), Mac mini (Mitte 2011), Mac mini Server (Mitte 2011), Mac mini (Ende 2012), Mac mini Server (Ende 2012), Mac mini (Ende 2014), Mac Pro (Ende 2013), MacBook Air (11", Mitte 2011), MacBook Air (13", Mitte 2011), MacBook Air (11", Mitte 2012), MacBook Air (13", Mitte 2012), MacBook Air (11", Mitte 2013), MacBook Air (13", Mitte 2013), MacBook Air (11", Anfang 2015), MacBook Air (13", Anfang 2015), MacBook Pro (13", Mitte 2012), MacBook Pro (15", Mitte 2012), MacBook Pro (Retina, 13", Anfang 2013), MacBook Pro (Retina, 15", Anfang 2013), MacBook Pro (Retina, 13", Ende 2013) und MacBook Pro (Retina, 15", Ende 2013)

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann den Bluetooth-Verkehr abfangen

Beschreibung: Bei Bluetooth bestand ein Problem mit der Eingabeüberprüfung. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-5383: Lior Neumann und Eli Biham

 

Die unten aufgeführten Aktualisierungen sind für die folgenden Mac-Modelle verfügbar: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Modelle von Ende 2013, Mitte 2010 und Mitte 2012 mit empfohlenem Metal-fähigen Grafikprozessor, darunter MSI Gaming Radeon RX 560 und Sapphire Radeon PULSE RX 580)

App Store

Auswirkung: Ein Schadprogramm kann die Apple-ID des Computereigentümers ermitteln

Beschreibung: Bei der Verarbeitung der Apple-ID bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch eine verbesserte Zugriffssteuerung behoben.

CVE-2018-4324: Sergii Kryvoblotskyi von MacPaw Inc.

Programm-Firewall

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann Sandbox-Einschränkungen umgehen

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2018-4353: Abhinav Bansal von Zscaler, Inc.

Automatisches Entsperren

Auswirkung: Ein Schadprogramm könnte auf die Apple-IDs von lokalen Benutzern zugreifen

Beschreibung: Es bestand ein Validierungsproblem bei der Bestätigung der Berechtigung. Dieses Problem wurde durch eine verbesserte Validierung der Prozessberechtigung behoben.

CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai von Alibaba Inc.

Crash Reporter

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4333: Brandon Azad

Kernel

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4336: Brandon Azad

CVE-2018-4344: Britisches National Cyber Security Centre (NCSC)

Sicherheit

Auswirkung: Ein Angreifer kann Schwachstellen im RC4-Kryptographie-Algorithmus ausnutzen

Beschreibung: Dieses Problem wurde durch die Entfernung von RC4 behoben.

CVE-2016-1777: Pepi Zawodsky

Zusätzliche Danksagung

Bedienungshilfen-Framework

Wir danken Ryan Govostes für die Unterstützung.

Core Data

Wir danken Andreas Kurtz (@aykay) von NESO Security Labs GmbH für die Unterstützung.

CoreGraphics

Wir danken Nitin Arya von Roblox Corporation für die Unterstützung.

Mail

Wir danken Alessandro Avagliano von Rocket Internet SE, John Whitehead von The New York Times, Kelvin Delbarre von Omicron Software Systems und Zbyszek Żółkiewski für die Unterstützung.

Sicherheit

Wir danken Christoph Sinai, Daniel Dudek (@dannysapples) von The Irish Times und Filip Klubička (@lemoncloak) von ADAPT Centre, Dublin Institute of Technology, Istvan Csanady von Shapr3D, Omar Barkawi von ITG Software, Inc., Phil Caleno, Wilson Ding und einem anonymen Forscher für die Unterstützung.

SQLite

Wir danken Andreas Kurtz (@aykay) von NESO Security Labs GmbH für die Unterstützung.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: