Informationen zum Sicherheitsinhalt von macOS Mojave 10.14.2, Sicherheitsupdate 2018-003 High Sierra und Sicherheitsupdate 2018-006 Sierra

In diesem Dokument wird der Sicherheitsinhalt von macOS Mojave 10.14.2, Sicherheitsupdate 2018-003 High Sierra und Sicherheitsupdate 2018-006 Sierra beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

macOS Mojave 10.14.2, Sicherheitsupdate 2018-003 High Sierra, Sicherheitsupdate 2018-006 Sierra

Veröffentlicht am 5. Dezember 2018

AirPort

Verfügbar für: macOS Mojave 10.14.1

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4303: Mohamed Ghannam (@_simo36)

AMD

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.1

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4462: Lilang Wu und Moony Li vom TrendMicro Mobile Security Research Team

Carbon Core

Verfügbar für: macOS Mojave 10.14.1

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)

Disk-Images

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.1

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4465: Pangu Team

Intel-Grafiktreiber

Verfügbar für: macOS Mojave 10.14.1

Auswirkung: Ein lokaler Benutzer kann einen unerwarteten Systemabbruch verursachen oder Kernel-Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4434: Zhuo Liang vom Qihoo 360 Nirvan Team

IOHIDFamily

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4427: Pangu Team

Kernel

Verfügbar für: macOS Mojave 10.14.1

Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2018-4460: Kevin Backhouse vom Semmle Security Research Team

Kernel

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.1

Auswirkung: Ein lokaler Benutzer kann den Kernel-Speicher auslesen

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4431: Ein unabhängiger Sicherheitsforscher hat diese Schwachstelle dem SecuriTeam Secure Disclosure-Programm von Beyond Security gemeldet

Kernel

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.1

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4447: Juwei Lin(@panicaII) und Zhengyu Dong vom TrendMicro Mobile Security Team

Kernel

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.1

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2018-4435: Jann Horn von Google Project Zero, Juwei Lin(@panicaII) und Junzhi Lu vom TrendMicro Mobile Security Team

Kernel

Verfügbar für: macOS Mojave 10.14.1

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4461: Ian Beer von Google Project Zero

WindowServer

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.1

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4449: Hanqing Zhao, Yufeng Ruan und Kun Yang vom Chaitin Security Research Lab

CVE-2018-4450: Hanqing Zhao, Yufeng Ruan und Kun Yang vom Chaitin Security Research Lab

Zusätzliche Danksagung

LibreSSL

Wir danken Keegan Ryan von NCC Group für die Unterstützung.

NetAuth

Wir danken Vladimir Ivanov von Digital Security für die Unterstützung.

Simple Certificate Enrollment-Protokoll (SCEP)

Wir danken Tim Cappalli von Aruba, ein Unternehmen von Hewlett Packard Enterprise, für die Unterstützung.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: