Tietoja macOS High Sierra 10.13.4:n suojaussisällöstä, suojauspäivityksestä 2018-002 Sierra sekä suojauspäivityksestä 2018-002 El Capitan

Tässä dokumentissa kerrotaan macOS High Sierra 10.13.4:n suojaussisällöstä, suojauspäivityksestä 2018-002 Sierra sekä suojauspäivityksestä 2018-002 El Capitan.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

macOS High Sierra 10.13.4, suojauspäivitys 2018-002 Sierra ja suojauspäivitys 2018-002 El Capitan

Julkaistu 29.3.2018

Admin Framework

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: sysadminctl-työkalulle toimitetut salasanat saattoivat paljastua muille paikallisille käyttäjille.

Kuvaus: sysadminctl-komentorivityökalu edellytti, että salasanat toimitetaan sille osana argumentteja, mikä on saattanut paljastaa salasanoja muille paikallisille käyttäjille. Tämän päivityksen myötä salasanaparametrista tulee valinnainen, ja sysadminctl pyytää salasanaa vain tarvittaessa.

CVE-2018-4170: nimetön tutkija

APFS

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: APFS-taltion salasana saatettiin katkaista odottamatta.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla tietojen syötön tarkistusta.

CVE-2018-4105: David J Beitey (@davidjb_), Geoffrey Bugniot

ATS

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjän tietoja.

Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2018-4112: Haik Aftandilian (Mozilla)

CFNetwork Session

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.

CVE-2018-4166: Samuel Groß (@5aelo)

CoreFoundation

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Haitallisen merkkijonon käsittely saattoi johtaa palvelunestoon.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4142: Robin Leroy (Google Switzerland GmbH)

CoreTypes

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Vaikutus: Haitallisen verkkosivun käsittely saattoi aiheuttaa levytiedoston käyttöönoton.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2017-13890: Apple, Theodor Ragnar Gislason (Syndis)

curl

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Vaikutus: Curlissa oli useita ongelmia.

Kuvaus: Curlissa esiintyi kokonaisluvun ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2017-8816: Alex Nichols

Kohta päivitetty 30.3.2018

Levytiedostot

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Vaikutus: Haitallisen levytiedoston käyttöönotto saattoi käynnistää ohjelman.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2018-4176: Theodor Ragnar Gislason (Syndis)

Levynhallinta

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: APFS-taltion salasana saatettiin katkaista odottamatta.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla tietojen syötön tarkistusta.

CVE-2018-4108: Kamatham Chaitanya (ShiftLeft Inc.), nimetön tutkija

Tiedostojärjestelmän tapahtumat

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.

CVE-2018-4167: Samuel Groß (@5aelo)

iCloud Drive

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.

CVE-2018-4151: Samuel Groß (@5aelo)

Intelin grafiikkaohjain

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4132: Axis ja pjf (Qihoo 360:n IceSword Lab)

IOFireWireFamily

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4135: Xiaolong Bai ja Min (Spark) Zheng (Alibaba Inc.)

Kernel

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4150: nimetön tutkija

Kernel

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2018-4104: Ison-Britannian National Cyber Security Centre (NCSC)

Kernel

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4143: derrek (@derrekr6)

Kernel

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2018-4136: Jonas Jensen (lgtm.com ja Semmle)

Kernel

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2018-4160: Jonas Jensen (lgtm.com ja Semmle)

Kernel

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Ohjelman tilan siirtymisessä oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla tilankäsittelyä.

CVE-2018-4185: Brandon Azad

Kohta lisätty 19.7.2018

kext tools

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Logiikkaongelma aiheutti muistin vioittumisen. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2018-4139: Ian Beer (Google Project Zero)

LaunchServices

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Vaikutus: Haitallisesti laadittu ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen pakotuksen.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2018-4175: Theodor Ragnar Gislason (Syndis)

Paikallinen todennus

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.

Kuvaus: Sirukortin PIN-koodin käsittelyssä oli ongelma. Ongelma on ratkaistu lisäämällä logiikkaa.

CVE-2018-4179: David Fuhrmann

Kohta lisätty 13.4.2018

Mail

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan S/MIME-salatun sähköpostin sisältövuodon.

Kuvaus: S/MIME HTML -sähköpostin käsittelyssä oli ongelma. Tämä ongelma korjattiin jättämällä S/MIME-salattujen viestien etäresurssit oletusarvoisesti lataamatta, jos viestin S/MIME-allekirjoitus puuttuu tai se on virheellinen.

CVE-2018-4111: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum), Jörg Schwenk (Ruhr University Bochum)

Kohta päivitetty 13.4.2018

Mail

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä sieppaamaan S/MIME-salatun sähköpostin sisällön.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2018-4174: John McCombs (Integrated Mapping Ltd), McClain Looney (LoonSoft Inc.)

Kohta päivitetty 13.4.2018

Muistiinpanot

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.

CVE-2018-4152: Samuel Groß (@5aelo)

NSURLSession

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.

CVE-2018-4166: Samuel Groß (@5aelo)

NVIDIAn näytönohjaimet

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2018-4138: Axis ja pjf (Qihoo 360:n IceSword Lab)

PDFKit

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: PDF:ssä olevan URL-osoitteen klikkaaminen saattoi johtaa haitalliseen sivustoon.

Kuvaus: PDF-tiedostoissa olevien URL-osoitteiden jäsennyksessä oli ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2018-4107: Nick Safford (Innovia Technology)

Kohta päivitetty 9.4.2018

PluginKit

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.

CVE-2018-4156: Samuel Groß (@5aelo)

Pikakatselu

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.

CVE-2018-4157: Samuel Groß (@5aelo)

Etähallinta

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Etäkäyttäjä saattoi saada pääkäyttöoikeudet.

Kuvaus: Etähallinnassa oli käyttöoikeusongelma. Ongelma on ratkaistu parantamalla käyttöoikeuden tarkistamista.

CVE-2018-4298: Tim van der Werff (SupCloud)

Kohta lisätty 19.7.2018

Suojaus

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

SIP

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Määritysongelma korjattiin lisäämällä rajoituksia.

CVE-2017-13911: nimetön tutkija

Kohta lisätty 8.8.2018

Tilapalkki

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Haittaohjelma saattoi päästä käyttämään mikrofonia ilman ilmoitusta käyttäjälle.

Kuvaus: Mikrofonin käytön ilmaisimen näyttämisessä oli yhdenmukaisuusongelma. Ongelma on ratkaistu parantamalla valmiuksien validointia.

CVE-2018-4173: Joshua Pokotilow (pingmd)

Kohta lisätty 9.4.2018

Tallennus

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.

CVE-2018-4154: Samuel Groß (@5aelo)

Järjestelmäasetukset

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Määritysprofiili saattoi jäädä virheellisesti voimaan poiston jälkeen.

Kuvaus: CFPreferences-ohjelmointirajapinnassa oli ongelma. Ongelma on ratkaistu parantamalla asetusten puhdistusta.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov ja Matt Vlasach (Wandera)

Pääte

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Vaikutus: Haitallisen sisällön liittäminen saattoi johtaa mielivaltaisen komennon suorittamishuijaukseen.

Kuvaus: Ryhmitellyn sijoitustilan käsittelyssä oli komennon lisäämisongelma. Ongelma on ratkaistu parantamalla erikoismerkkien tarkistamista.

CVE-2018-4106: Simon Hosie

WindowServer

Saatavuus: macOS High Sierra 10.13.3

Vaikutus: Valtuuttamaton ohjelma saattoi pystyä kirjaamaan toisiin ohjelmiin syötetyt näppäinpainallukset myös suojatussa syöttötilassa.

Kuvaus: Valtuuttamaton ohjelma saattoi kirjata toisiin ohjelmiin syötetyt näppäinpainallukset myös suojatussa syöttötilassa tarkistamalla näppäinten tilat. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2018-4131: Andreas Hegenberg (folivora.AI GmbH)

Kiitokset

Mail

Haluamme kiittää Wire Swiss GmbH:n Sabri Haddouchea (@pwnsdx) hänen avustaan.

Kohta lisätty 21.6.2018

Suojaus

Haluamme kiittää Abraham Masria (@cheesecakeufo) hänen avustaan.

Kohta lisätty 13.4.2018

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: