Tietoja macOS Mojave 10.14.1:n, suojauspäivitys 2018-002 High Sierran ja suojauspäivitys 2018-005 Sierran turvallisuussisällöstä

Tässä dokumentissa kerrotaan macOS Mojave 10.14.1:n, suojauspäivitys 2018-002 High Sierran ja suojauspäivitys 2018-005 Sierran turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

macOS Mojave 10.14.1, suojauspäivitys 2018-002 High Sierra, suojauspäivitys 2018-005 Sierra

afpserver

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Etähyökkääjä saattaa voida hyökätä AFP-palvelimille HTTP-asiakkaiden kautta.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.

CVE-2018-4295: Jianjun Chen (@whucjj, Tsinghua University ja UC Berkeley)

AppleGraphicsControl

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2018-4410: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

AppleGraphicsControl

Saatavuus: macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2018-4417: Trend Micron Zero Day Initiativen parissa työskentelevä Lee (Information Security Lab, Yonsei University)

APR

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Perlissä oli useita puskurin ylivuoto-ongelmia.

Kuvaus: Useita Perlin ongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-12613: Craig Young (Tripwire VERT)

CVE-2017-12618: Craig Young (Tripwire VERT)

ATS

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2018-4411: Trend Micron Zero Day Initiativen parissa työskentelevä lilang wu moony Li (Trend Micro)

ATS

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Automator

Saatavuus: macOS Mojave 10.14

Vaikutus: Haitallinen appi saattoi pystyä käyttämään rajoitettuja tiedostoja.

Kuvaus: Ongelma on ratkaistu poistamalla lisäoikeudet.

CVE-2018-4468: Jeff Johnson (underpassapp.com)

CFNetwork

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4126: Trend Micron Zero Day Initiativen parissa työskentelevä Bruno Keith (@bkth_)

CoreAnimation

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4415: Beyond Securityn SecuriTeam Secure Disclosuren kanssa työskentelevä Liang Zhuo

CoreCrypto

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Hyökkääjä saattoi pystyä hyödyntämään Miller-Rabin-alkulukutestin heikkoutta alkulukujen virheelliseen tunnistamiseen.

Kuvaus: Alkulukujen määritysmenetelmässä oli ongelma. Ongelma on ratkaistu käyttämällä näennäissatunnaisia pohjia alkulukujen testaamiseen.

CVE-2018-4398: Martin Albrecht, Jake Massimo ja Kenny Paterson (Royal Holloway, University of London) sekä Juraj Somorovsky (Ruhr University, Bochum)

CoreFoundation

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2018-4412: Ison-Britannian National Cyber Security Centre (NCSC)

CUPS

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Joissakin määrityksissä etähyökkääjä saattoi voida korvata tulostuspalvelimen viestin sisällön mielivaltaisella sisällöllä.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla validointia.

CVE-2018-4153: Michael Hanselmann (hansmi.ch)

CUPS

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Etuoikeutetussa asemassa ollut hyökkääjä saattoi pystyä toteuttamaan palvelunestohyökkäyksen.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla vahvistamista.

CVE-2018-4406: Michael Hanselmann (hansmi.ch)

Sanakirja

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Haitallisen sanakirjatiedoston jäsennys saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: Varmistusongelma salli pääsyn paikallisiin tiedostoihin. Ongelma ratkaistiin annettujen tietojen puhdistamisella.

CVE-2018-4346: Wojciech Reguła (@_r3ggi, SecuRing)

Dock

Saatavuus: macOS Mojave 10.14

Vaikutus: Haitallinen appi saattoi pystyä käyttämään rajoitettuja tiedostoja.

Kuvaus: Ongelma on ratkaistu poistamalla lisäoikeudet.

CVE-2018-4403: Patrick Wardle (Digita Security)

dyld

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2018-4423: Youfu Zhang (Chaitin Security Research Lab, @ChaitinTech)

EFI

Saatavuus: macOS High Sierra 10.13.6

Vaikutus: Järjestelmät, joiden mikroprosessorit käyttävät ennakoivaa suoritusta ja ennakoivaa muistin lukemisten suoritusta ennen kaikkien aiempien muistikirjoitusten osoitteiden tuntemista, voivat sallia tietojen luvattoman paljastamisen hyökkääjälle, jolla on paikalliset käyttöoikeudet, sivukanavan analyysin avulla.

Kuvaus: Tietojen paljastumisongelma on korjattu mikrokoodipäivityksellä. Tällä varmistetaan, että vanhoja tietoja, jotka luetaan äskettäin kirjoitetuista osoitteista, ei voi lukea ennakoivan sivukanavan avulla.

CVE-2018-3639: Jann Horn (@tehjh, Google Project Zero, GPZ) ja Ken Johnson (Microsoft Security Response Center, MSRC)

EFI

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Paikallinen käyttäjä saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: Määritysongelma on ratkaistu lisäämällä rajoituksia.

CVE-2018-4342: Timothy Perfitt (Twocanoes Software)

Foundation

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Haitallisen tekstitiedoston käsittely saattoi johtaa palvelunestoon.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla vahvistamista.

CVE-2018-4304: jianan.huang (@Sevck)

Grand Central Dispatch

Saatavuus: macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4426: Brandon Azad

Heimdal

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4331: Brandon Azad

Hypervisor

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Järjestelmät, joiden mikroprosessorit käyttävät ennakoivaa suoritusta ja osoitteiden muuntamista, voivat sallia L1-tietovälimuistissa sijaitsevien tietojen luvattoman paljastumisen hyökkääjälle, jolla on paikalliset käyttöoikeudet ja vierailijan OS-käyttöoikeudet, päätesivuvirheen ja sivukanavan analyysin avulla.

Kuvaus: Tietojen paljastumiseen liittyvä ongelma korjattiin tyhjentämällä L1-tietovälimuisti virtuaalikoneessa.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse ja Thomas F. Wenisch (University of Michigan), Mark Silberstein ja Marina Minkin (Technion), Raoul Strackx, Jo Van Bulck ja Frank Piessens (KU Leuven), Rodrigo Branco, Henrique Kawakami, Ke Sun ja Kekai Hu (Intel Corporation) ja Yuval Yarom (University of Adelaide)

Hypervisor

Saatavuus: macOS Sierra 10.12.6

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

CVE-2018-4242: Zhuo Liang (Qihoo 360 Nirvan Team)

ICU

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6

Vaikutus: Haitallisen merkkijonon käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2018-4394: Erik Verbruggen (The Qt Company)

Intelin grafiikkaohjain

Saatavuus: macOS Sierra 10.12.6

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4334: Google Project Zeron Ian Beer

Intelin grafiikkaohjain

Saatavuus: macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2018-4396: Yu Wang (Didi Research America)

CVE-2018-4418: Yu Wang (Didi Research America)

Intelin grafiikkaohjain

Saatavuus: macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2018-4350: Yu Wang (Didi Research America)

Intelin grafiikkaohjain

Saatavuus: macOS Mojave 10.14

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin alustusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4421: Cisco Talosin Tyler Bohan

IOGraphics

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4422: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

IOHIDFamily

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2018-4408: Ian Beer (Google Project Zero)

IOKit

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4402: Proteas (Qihoo 360 Nirvan Team)

IOKit

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Haittaohjelma saattoi pystyä poistumaan eristyksestään.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4341: Google Project Zeron Ian Beer

CVE-2018-4354: Google Project Zeron Ian Beer

IOUserEthernet

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4401: Apple

IPSec

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2018-4371: Tim Michaud (@TimGMichaud) (Leviathan Security Group)

Kernel

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Kernel

Saatavuus: macOS High Sierra 10.13.6

Vaikutus: Haittaohjelma saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: Etuoikeutetuissa API-kutsuissa oli käyttöoikeusongelma. Ongelma on ratkaistu lisäämällä rajoituksia.

CVE-2018-4399: Fabiano Anemone (@anoane)

Kernel

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4419: Mohamed Ghannam (@_simo36)

CVE-2018-4425: Trend Micron Zero Day Initiativen parissa työskentelevä cc ja Trend Micron Zero Day Initiativen parissa työskentelevän Trend Micron Juwei Lin (@panicaII)

Kernel

Saatavuus: macOS Sierra 10.12.6

Vaikutus: Haitallisen NFS-verkkojaon näkyviin tuominen saattoi johtaa mielivaltaisen koodin suorittamiseen järjestelmän käyttöoikeuksilla.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4259: Kevin Backhouse (Semmle ja LGTM.com)

CVE-2018-4286: Kevin Backhouse (Semmle ja LGTM.com)

CVE-2018-4287: Kevin Backhouse (Semmle ja LGTM.com)

CVE-2018-4288: Kevin Backhouse (Semmle ja LGTM.com)

CVE-2018-4291: Kevin Backhouse (Semmle ja LGTM.com)

Kernel

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Appi saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Muistin alustusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4413: Juwei Lin (@panicaII) (TrendMicro Mobile Security Team)

Kernel

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2018-4407: Kevin Backhouse (Semmle Ltd.)

Kernel

Saatavuus: macOS Mojave 10.14

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.

CVE-2018-4424: Dr. Silvio Cesare (InfoSect)

LinkPresentation

Saatavuus: macOS Sierra 10.12.6

Vaikutus: Haitallisen tekstiviestin käsittely saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) (Tencent Security Platform Department)

Kirjautumisikkuna

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Paikallinen käyttäjä saattoi kyetä aiheuttamaan palveluneston.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

CVE-2018-4348: Ken Gannon (MWR InfoSecurity) ja Christian Demko (MWR InfoSecurity)

Mail

Saatavuus: macOS Mojave 10.14

Vaikutus: Haitallisen Mail-sähköpostiviestin käsittely saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason (Syndis)

mDNSOffloadUserClient

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4326: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija ja Zhuo Liang (Qihoo 360 Nirvan Team)

MediaRemote

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: Käyttöongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2018-4310: CodeColorist (Ant-Financial LightYear Labs)

Microcode

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Ennakoivaa suoritusta ja järjestelmärekisterin ennakoivaa lukua hyödyntäviä mikroprosessoreita käyttävät järjestelmät saattoivat sallia järjestelmäparametrien luvattoman paljastamisen hyökkääjälle, jolla on paikalliset käyttöoikeudet, sivukanavan analyysin avulla.

Kuvaus: Tietojen paljastumisongelma on korjattu mikrokoodipäivityksellä. Tämä varmistaa, että käyttöönottokohtaisia järjestelmärekistereitä ei voida vuotaa ennakoivan suorituksen sivukanavan kautta.

CVE-2018-3640: Innokentiy Sennovskiy (BiZone LLC, bi.zone), Zdenek Sojka, Rudolf Marek ja Alex Zuepke (SYSGO AG, sysgo.com)

NetworkExtension

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Yhteyden muodostaminen VPN-palvelimeen saattoi vuotaa DNS-kyselyitä DNS-välipalvelimelle.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2018-4369: nimetön tutkija

Perl

Saatavuus: macOS Sierra 10.12.6

Vaikutus: Perlissä oli useita puskurin ylivuoto-ongelmia.

Kuvaus: Useita Perlin ongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-6797: Brian Carpenter

Ruby

Saatavuus: macOS Sierra 10.12.6

Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Vaikutus: Useita Rubyn ongelmia on ratkaistu tällä päivityksellä.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

Suojaus

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Haitallisen S/MIME-allekirjoitetun viestin käsittely saattoi johtaa palvelunestoon.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

CVE-2018-4400: Yukinobu Nagayasu (LAC Co., Ltd.)

Suojaus

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Paikallinen käyttäjä saattoi kyetä aiheuttamaan palveluneston.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2018-4395: Patrick Wardle (Digita Security)

Spotlight

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4393: Lufeng Li

Symptom Framework

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2018-4203: Trend Micron Zero Day Initiativen parissa työskentelevä Bruno Keith (@bkth_)

Wi-Fi

Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14

Vaikutus: Etuoikeutetussa asemassa ollut hyökkääjä saattoi pystyä toteuttamaan palvelunestohyökkäyksen.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla vahvistamista.

CVE-2018-4368: Milan Stute ja Alex Mariotto (Secure Mobile Networking Lab, Technische Universität Darmstadt)

Kiitokset

Kalenteri

Haluamme kiittää Matthew Thomasia (Verisign) hänen avustaan.

coreTLS

Haluamme kiittää Eyal Ronenia (Weizmann Institute), Robert Gillhamia (University of Adelaide), Daniel Genkiniä (University of Michigan), Adi Shamiria (Weizmann Institute), David Wongia (NCC Group) ja Yuval Yaromia (University of Adelaide ja Data61) heidän avustaan.

iBooks

Haluamme kiittää Sem Voigtländeriä (Fontys Hogeschool ICT) hänen avustaan.

Kernel

Haluamme kiittää Brandon Azadia hänen avustaan.

LaunchServices

Haluamme kiittää Alok Menghrajania (Square) hänen avustaan.

Pikakatselu

Haluamme kiittää lokihardtia (Google Project Zero) hänen avustaan.

Suojaus

Haluamme kiittää Marinos Bernitsasia (Parachute) hänen avustaan.

Pääte

Haluamme kiittää Federico Bentoa hänen avustaan.

Time Machine

Haluamme kiittää Matthew Thomasia (Verisign) hänen avustaan.