Informationen zum Sicherheitsinhalt von macOS Mojave 10.14.2, Sicherheitsupdate 2018-003 High Sierra und Sicherheitsupdate 2018-006 Sierra
In diesem Dokument wird der Sicherheitsinhalt von macOS Mojave 10.14.2, Sicherheitsupdate 2018-003 High Sierra und Sicherheitsupdate 2018-006 Sierra beschrieben.
Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit. Ihre Kommunikation mit Apple können Sie mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
macOS Mojave 10.14.2, Sicherheitsupdate 2018-003 High Sierra, Sicherheitsupdate 2018-006 Sierra
AirPort
Verfügbar für: macOS Mojave 10.14.1
Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.
Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4303: Mohamed Ghannam (@_simo36)
AMD
Verfügbar für: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2018-4462: cocoahuke, Lilang Wu und Moony Li vom TrendMicro Mobile Security Research Team in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Carbon Core
Verfügbar für: macOS Mojave 10.14.1
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)
Disk-Images
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.1
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4465: Pangu Team
Hypervisor
Verfügbar für: macOS Mojave 10.14.1
Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise und Fred Jacobs von der Virtual Machine Monitor Group von VMware, Inc.
Intel-Grafiktreiber
Verfügbar für: macOS Mojave 10.14.1
Auswirkung: Ein in böswilliger Absicht erstelltes Programm kann möglicherweise willkürlichen Code mit Systemrechten ausführen
Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4452: Liu Long vom Qihoo 360 Vulcan Team
Intel-Grafiktreiber
Verfügbar für: macOS Mojave 10.14.1
Auswirkung: Ein lokaler Benutzer kann einen unerwarteten Systemabbruch verursachen oder Kernel-Speicher lesen.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2018-4434: Zhuo Liang vom Qihoo 360 Nirvan Team
Intel-Grafiktreiber
Verfügbar für: macOS Sierra 10.12.6
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4456: Tyler Bohan von Cisco Talos
Intel-Grafiktreiber
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4421: Tyler Bohan von Cisco Talos
IOHIDFamily
Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4427: Pangu Team
Kernel
Verfügbar für: macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Auswirkung: Ein lokaler Benutzer kann den Kernel-Speicher auslesen
Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4431: Ein unabhängiger Sicherheitsforscher hat diese Schwachstelle dem SecuriTeam Secure Disclosure-Programm von Beyond Security gemeldet
CVE-2018-4448: Brandon Azad
Kernel
Verfügbar für: macOS Mojave 10.14.1
Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.
Beschreibung: Das Denial-of-Service-Problem wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2018-4460: Kevin Backhouse vom Semmle Security Research Team
Kernel
Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.1
Auswirkung: Ein lokaler Benutzer kann den Kernel-Speicher auslesen
Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4431: Ein unabhängiger Sicherheitsforscher hat diese Schwachstelle dem SecuriTeam Secure Disclosure-Programm von Beyond Security gemeldet
Kernel
Verfügbar für: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2018-4447: Juwei Lin (@panicaII) und Zhengyu Dong vom Trend Micro Mobile Security Team in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Kernel
Verfügbar für: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2018-4435: Jann Horn von Google Project Zero, Juwei Lin (@panicaII) und Junzhi Lu vom Trend Micro Mobile Security Team in Zusammenarbeit mit der Zero Day Initiative von Trend Micro
Kernel
Verfügbar für: macOS Mojave 10.14.1
Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2018-4461: Ian Beer von Google Project Zero
WindowServer
Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14.1
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2018-4449: Hanqing Zhao, Yufeng Ruan und Kun Yang vom Chaitin Security Research Lab
CVE-2018-4450: Hanqing Zhao, Yufeng Ruan und Kun Yang vom Chaitin Security Research Lab
Zusätzliche Danksagung
LibreSSL
Wir danken Keegan Ryan von NCC Group für die Unterstützung.
NetAuth
Wir danken Vladimir Ivanov von Digital Security für die Unterstützung.
Simple Certificate Enrollment-Protokoll (SCEP)
Wir danken Tim Cappalli von Aruba, einem Unternehmen von Hewlett Packard Enterprise, für die Unterstützung.
Time Machine
Wir danken Matthew Thomas von Verisign für die Unterstützung.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.