Tietoja macOS High Sierra 10.13.3:n, suojauspäivitys 2018-001 Sierran sekä suojauspäivitys 2018-001 El Capitanin turvallisuussisällöstä
Tässä dokumentissa kerrotaan macOS High Sierra 10.13.3:n, suojauspäivitys 2018-001 Sierran sekä suojauspäivitys 2018-001 El Capitanin turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
macOS High Sierra 10.13.3, suojauspäivitys 2018-001 Sierra ja suojauspäivitys 2018-001 El Capitan
Ääni
Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2018-4094: Mingi Cho, Seoyoung Kim, Young-Ho Lee, MinSik Shin ja Taekyoung Kwon (Information Security Lab, Yonsei University)
curl
Saatavuus: macOS High Sierra 10.13.2
Vaikutus: Curlissa oli useita ongelmia.
Kuvaus: Curlissa esiintyi kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistamista.
CVE-2017-8816: Alex Nichols
curl
Saatavuus: macOS High Sierra 10.13.2
Vaikutus: Curlissa oli useita ongelmia.
Kuvaus: Curlissa esiintyi rajojen ulkopuolisen muistin lukuun liittyvä ongelma. Ongelma on ratkaistu parantamalla rajojen tarkistamista.
CVE-2017-8817: ongelman havaitsi OSS-Fuzz
EFI
Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Kuvaus: Useat puskurin ylivuodot Intel Manageability Engine Firmware -laiteohjelmiston (versiot 11.0/11.5/11.6/11.7/11.10/11.20) kerneleissä sallivat hyökkääjän, jolla oli paikallinen pääsy järjestelmään, suorittaa mielivaltaista koodia.
CVE-2017- 5705: Mark Ermolov ja Maxim Goryachy (Positive Technologies)
EFI
Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Kuvaus: Useat käyttöoikeuseskalaatiot Intel Manageability Engine Firmware -laiteohjelmiston (versiot 11.0/11.5/11.6/11.7/11.10/11.20) kerneleissä sallivat luvattomalle prosessille pääsyn etuoikeutettuun sisältöön määrittämättömän vektorin kautta.
CVE-2017- 5708: Mark Ermolov ja Maxim Goryachy (Positive Technologies)
IOHIDFamily
Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4098: Siguza
Kernel
Saatavuus: macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Vaikutus: Ohjelma saattoi pystyä lukemaan kernel-muistia (Meltdown).
Kuvaus: Järjestelmät, joiden mikroprosessorit käyttävät ennakoivaa suoritusta ja epäsuoraa haaran ennakointia, voivat sallia tietojen luvattoman paljastamisen hyökkääjälle, jolla on paikalliset käyttöoikeudet, tietovälimuistin sivukanavan analyysin avulla.
CVE-2017-5754: Jann Horn (Google Project Zero), Moritz Lipp (Grazin teknillinen korkeakoulu), Michael Schwarz (Grazin teknillinen korkeakoulu), Daniel Gruss (Grazin teknillinen korkeakoulu), Thomas Prescher (Cyberus Technology GmbH), Werner Haas (Cyberus Technology GmbH), Stefan Mangard (Grazin teknillinen korkeakoulu), Paul Kocher, Daniel Genkin (University of Pennsylvania ja University of Maryland), Yuval Yarom (University of Adelaide ja Data61) ja Mike Hamburg (Rambus, Cryptography Research Division)
Kernel
Saatavuus: macOS High Sierra 10.13.2
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Muistin alustusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4090: Jann Horn (Google Project Zero)
Kernel
Saatavuus: macOS High Sierra 10.13.2
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2018-4092: Stefan Esser (Antid0te UG)
Kernel
Saatavuus: macOS High Sierra 10.13.2
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2018-4082: Russ Cox (Google)
Kernel
Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2018-4097: Resecurity, Inc.
Kernel
Saatavuus: macOS High Sierra 10.13.2
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2018-4093: Jann Horn (Google Project Zero)
Kernel
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.2
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4189: nimetön tutkija
Kernel
Saatavuus: macOS High Sierra 10.13.2
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2018-4169: nimetön tutkija
LinkPresentation
Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Vaikutus: Haitallisen tekstiviestin käsittely saattoi johtaa ohjelman palvelunestoon.
Kuvaus: Resurssien loppumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2018-4100: Abraham Masri @cheesecakeufo
QuartzCore
Saatavuus: OS X El Capitan 10.11.6, macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Verkkosisällön käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2018-4085: Trend Micron Zero Day Initiativen parissa työskentelevä Ret2 Systems Inc.
Etähallinta
Saatavuus: macOS Sierra 10.12.6
Vaikutus: Etäkäyttäjä saattoi saada pääkäyttöoikeudet.
Kuvaus: Etähallinnassa oli käyttöoikeusongelma. Ongelma on ratkaistu parantamalla käyttöoikeuden tarkistamista.
CVE-2018-4298: Tim van der Werff (SupCloud)
Eristys
Saatavuus: macOS High Sierra 10.13.2
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Käyttöongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2018-4091: Alex Gaynor (Mozilla)
Suojaus
Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Vaikutus: Varmenteen nimipakotteita oli ehkä sovellettu väärin.
Kuvaus: Nimipakotteiden käsittelyssä oli varmenteen arviointiin liittyvä ongelma. Ongelma ratkaistiin parantamalla varmenteiden luottamusarviointia.
CVE-2018-4086: Ian Haken (Netflix)
Suojaus
Saatavuus: macOS High Sierra 10.13.2
Vaikutus: Hyökkääjä saattoi ohittaa ylläpitäjän todentamisen antamatta ylläpitäjän salasanaa.
Kuvaus: Tunnistetietojen tarkistamisessa esiintyi logiikkaongelma. Ongelma on ratkaistu parantamalla tunnistetietojen tarkistamista.
CVE-2017-13889: Glenn G. Bruckno (projekti-insinööri, automaatiotekniikka), James Barnes, Kevin Manca (tietotekniikka, Politecnico di Milano), Rene Malenfant (New Brunswickin yliopisto)
Touch Bar -tuki
Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2018-4083: Ian Beer (Google Project Zero)
WebKit
Saatavuus: macOS High Sierra 10.13.2
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4088: Jeonghoon Shin (Theori)
CVE-2018-4089: Ivan Fratric (Google Project Zero)
CVE-2018-4096: ongelman havaitsi OSS-Fuzz
WebKit
Saatavuus: macOS High Sierra 10.13.2
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4147: ongelman havaitsi OSS-Fuzz
WebKitin sivun lataaminen
Saatavuus: macOS High Sierra 10.13.2
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-7830: Jun Kokatsu (@shhnjk)
Wi-Fi
Saatavuus: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2018-4084: Hyung Sup Lee (Minionz), You Chan Lee (Hanyang University)
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.