Tietoja macOS High Sierra 10.13.3:n, suojauspäivitys 2018-001 Sierran sekä suojauspäivitys 2018-001 El Capitanin turvallisuussisällöstä

Tässä dokumentissa kerrotaan macOS High Sierra 10.13.3:n, suojauspäivitys 2018-001 Sierran sekä suojauspäivitys 2018-001 El Capitanin turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

macOS High Sierra 10.13.3, suojauspäivitys 2018-001 Sierra ja suojauspäivitys 2018-001 El Capitan

Julkaistu 23.1.2018

Ääni

Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2018-4094: Mingi Cho, MinSik Shin, Seoyoung Kim, Yeongho Lee ja Taekyoung Kwon (Information Security Lab, Yonsei University)

curl

Saatavuus: macOS High Sierra 10.13.2

Vaikutus: Curlissa oli useita ongelmia.

Kuvaus: Curlissa esiintyi rajojen ulkopuolisen muistin lukuun liittyvä ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2017-8817: ongelman havaitsi OSS-Fuzz

EFI

Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Kuvaus: Useat puskurin ylivuodot Intel Manageability Engine Firmware -laiteohjelmiston (versiot 11.0/11.5/11.6/11.7/11.10/11.20) kerneleissä sallivat hyökkääjän, jolla oli paikallinen pääsy järjestelmään, suorittaa mielivaltaista koodia. 

CVE-2017- 5705: Mark Ermolov ja Maxim Goryachy (Positive Technologies)

Kohta lisätty 30.1.2018

EFI

Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Kuvaus: Useat käyttöoikeuseskalaatiot Intel Manageability Engine Firmware -laiteohjelmiston (versiot 11.0/11.5/11.6/11.7/11.10/11.20) kerneleissä sallivat luvattomalle prosessille pääsyn etuoikeutettuun sisältöön määrittämättömän vektorin kautta.

CVE-2017- 5708: Mark Ermolov ja Maxim Goryachy (Positive Technologies)

Kohta lisätty 30.1.2018

IOHIDFamily

Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4098: Siguza

Kernel

Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Ohjelma saattoi pystyä lukemaan kernel-muistia (Meltdown).

Kuvaus: Järjestelmät, joiden mikroprosessorit käyttävät ennakoivaa suoritusta ja epäsuoraa haaran ennakointia, voivat sallia tietojen luvattoman paljastamisen hyökkääjälle, jolla on paikalliset käyttöoikeudet, tietovälimuistin sivukanavan analyysin avulla.

CVE-2017-5754: Jann Horn (Google Project Zero), Moritz Lipp (Grazin teknillinen korkeakoulu), Michael Schwarz (Grazin teknillinen korkeakoulu), Daniel Gruss (Grazin teknillinen korkeakoulu), Thomas Prescher (Cyberus Technology GmbH), Werner Haas (Cyberus Technology GmbH), Stefan Mangard (Grazin teknillinen korkeakoulu), Paul Kocher, Daniel Genkin (University of Pennsylvania ja University of Maryland), Yuval Yarom (University of Adelaide ja Data61) ja Mike Hamburg (Rambus, Cryptography Research Division)

Kernel

Saatavuus: macOS High Sierra 10.13.2

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Muistin alustamisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4090: Jann Horn (Google Project Zero)

Kernel

Saatavuus: macOS High Sierra 10.13.2

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Kilpailutilanne ratkaistiin parantamalla muistin käsittelyä.

CVE-2018-4092: Stefan Esser (Antid0te UG)

Kohta päivitetty 8.2.2018

Kernel

Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2018-4082: Russ Cox (Google)

Kernel

Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2018-4097: Resecurity, Inc.

Kernel

Saatavuus: macOS High Sierra 10.13.2

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2018-4093: Jann Horn (Google Project Zero)

Kernel

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.2

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4189: nimetön tutkija

Kohta lisätty 2.5.2018

Kernel

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.2

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2018-4169: nimetön tutkija

Kohta lisätty 2.5.2018

LinkPresentation

Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6.2

Vaikutus: Haitallisen tekstiviestin käsittely saattoi johtaa ohjelman palvelunestoon.

Kuvaus: Resurssien loppumisongelma korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2018-4100: Abraham Masri (@cheesecakeufo)

QuartzCore

Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Verkkosisällön käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2018-4085: Trend Micron Zero Day Initiativen parissa työskentelevä Ret2 Systems Inc.

Etähallinta

Saatavuus: macOS Sierra 10.12.6

Vaikutus: Etäkäyttäjä saattoi saada pääkäyttöoikeudet.

Kuvaus: Etähallinnassa oli käyttöoikeusongelma. Ongelma on ratkaistu parantamalla käyttöoikeuden tarkistamista.

CVE-2018-4298: Tim van der Werff (SupCloud)

Kohta lisätty 19.7.2018

Eristys

Saatavuus: macOS High Sierra 10.13.2

Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: Käyttöongelma on ratkaistu lisäeristysrajoituksilla.

CVE-2018-4091: Alex Gaynor (Mozilla)

Suojaus

Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Vaikutus: Varmenteen nimipakotteita oli ehkä sovellettu väärin.

Kuvaus: Nimipakotteiden käsittelyssä oli varmenteen arviointiin liittyvä ongelma. Ongelma ratkaistiin parantamalla varmenteiden luottamusarviointia.

CVE-2018-4086: Ian Haken (Netflix)

Suojaus

Saatavuus: macOS High Sierra 10.13.2

Vaikutus: Hyökkääjä saattoi ohittaa ylläpitäjän todentamisen antamatta ylläpitäjän salasanaa.

Kuvaus: Tunnistetietojen tarkistamisessa esiintyi logiikkaongelma. Ongelma on ratkaistu parantamalla tunnistetietojen tarkistamista.

CVE-2017-13889: Glenn G. Bruckno (projekti-insinööri, automaatiotekniikka), James Barnes, Kevin Manca (tietotekniikka, Politecnico di Milano), Rene Malenfant (New Brunswickin yliopisto)

Kohta lisätty 21.6.2018

Touch Bar -tuki

Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2018-4083: Ian Beer (Google Project Zero)

Kohta lisätty 9.2.2018

WebKit

Saatavuus: macOS High Sierra 10.13.2

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4088: Jeonghoon Shin (Theori)

CVE-2018-4089: Ivan Fratric (Google Project Zero)

CVE-2018-4096: ongelman havaitsi OSS-Fuzz

WebKit

Saatavuus: macOS High Sierra 10.13.2

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4147: ongelman havaitsi OSS-Fuzz

Kohta lisätty 18.10.2018

WebKitin sivun lataaminen

Saatavuus: macOS High Sierra 10.13.2

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-7830: Jun Kokatsu (@shhnjk)

Kohta lisätty 18.10.2018

Wi-Fi

Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2018-4084: Hyung Sup Lee (Minionz), You Chan Lee (Hanyang University)

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: