Tietoja macOS High Sierra 10.13.4:n suojaussisällöstä, suojauspäivityksestä 2018-002 Sierra sekä suojauspäivityksestä 2018-002 El Capitan
Tässä dokumentissa kerrotaan macOS High Sierra 10.13.4:n suojaussisällöstä, suojauspäivityksestä 2018-002 Sierra sekä suojauspäivityksestä 2018-002 El Capitan.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
macOS High Sierra 10.13.4, suojauspäivitys 2018-002 Sierra ja suojauspäivitys 2018-002 El Capitan
Admin Framework
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: sysadminctl-työkalulle toimitetut salasanat saattoivat paljastua muille paikallisille käyttäjille.
Kuvaus: sysadminctl-komentorivityökalu edellytti, että salasanat toimitetaan sille osana argumentteja, mikä on saattanut paljastaa salasanoja muille paikallisille käyttäjille. Tämän päivityksen myötä salasanaparametrista tulee valinnainen, ja sysadminctl pyytää salasanaa vain tarvittaessa.
CVE-2018-4170: nimetön tutkija
APFS
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: APFS-taltion salasana saatettiin katkaista odottamatta.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla tietojen syötön tarkistusta.
CVE-2018-4105: David J Beitey (@davidjb_), Geoffrey Bugniot
ATS
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjän tietoja.
Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2018-4112: Haik Aftandilian (Mozilla)
CFNetwork Session
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.
CVE-2018-4166: Samuel Groß (@5aelo)
CoreFoundation
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.
CVE-2018-4155: Samuel Groß (@5aelo)
CVE-2018-4158: Samuel Groß (@5aelo)
CoreText
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Haitallisen merkkijonon käsittely saattoi johtaa palvelunestoon.
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4142: Robin Leroy (Google Switzerland GmbH)
CoreTypes
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Vaikutus: Haitallisen verkkosivun käsittely saattoi aiheuttaa levytiedoston käyttöönoton.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2017-13890: Apple, Theodor Ragnar Gislason (Syndis)
curl
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Vaikutus: Curlissa oli useita ongelmia.
Kuvaus: Curlissa esiintyi kokonaisluvun ylivuoto. Ongelma on ratkaistu parantamalla rajojen tarkistamista.
CVE-2017-8816: Alex Nichols
Levytiedostot
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Haitallisen levytiedoston käyttöönotto saattoi käynnistää ohjelman.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2018-4176: Theodor Ragnar Gislason (Syndis)
Levynhallinta
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: APFS-taltion salasana saatettiin katkaista odottamatta.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla tietojen syötön tarkistusta.
CVE-2018-4108: Kamatham Chaitanya (ShiftLeft Inc.), nimetön tutkija
EFI
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Wi-Fi-kantaman alueella ollut hyökkääjä saattoi pakottaa nonce-avaimen uudelleenkäytön WPA-asiakkaissa (Key Reinstallation Attacks – KRACK).
Kuvaus: Tilasiirtymien käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2017-13080: Mathy Vanhoef (imec-DistriNet-ryhmä, KU Leuven)
Tiedostojärjestelmän tapahtumat
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.
CVE-2018-4167: Samuel Groß (@5aelo)
iCloud Drive
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.
CVE-2018-4151: Samuel Groß (@5aelo)
Intelin grafiikkaohjain
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4132: Axis ja pjf (Qihoo 360:n IceSword Lab)
IOFireWireFamily
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4135: Xiaolong Bai ja Min (Spark) Zheng (Alibaba Inc.)
Kernel
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4150: nimetön tutkija
Kernel
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2018-4104: Ison-Britannian National Cyber Security Centre (NCSC)
Kernel
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4143: derrek (@derrekr6)
Kernel
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2018-4136: Jonas Jensen (lgtm.com ja Semmle)
Kernel
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2018-4160: Jonas Jensen (lgtm.com ja Semmle)
Kernel
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Ohjelman tilan siirtymisessä oli tietojen paljastumiseen liittyvä ongelma. Ongelma on ratkaistu parantamalla tilankäsittelyä.
CVE-2018-4185: Brandon Azad
kext tools
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Logiikkaongelma aiheutti muistin vioittumisen. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2018-4139: Ian Beer (Google Project Zero)
LaunchServices
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Haitallisesti laadittu ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen pakotuksen.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2018-4175: Theodor Ragnar Gislason (Syndis)
libxml2
Saatavuus: macOS Sierra 10.12.6, macOS High Sierra 10.13.3, OS X El Capitan 10.11.6
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa Safarin odottamattomaan kaatumiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-15412: Nick Wellnhofer
LinkPresentation
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Haitallisen tekstiviestin käsittely saattoi aiheuttaa käyttöliittymän väärentämisen.
Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) (Tencent Security Platform Department)
Paikallinen todennus
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.
Kuvaus: Sirukortin PIN-koodin käsittelyssä oli ongelma. Ongelma on ratkaistu lisäämällä logiikkaa.
CVE-2018-4179: David Fuhrmann
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan S/MIME-salatun sähköpostin sisältövuodon.
Kuvaus: S/MIME HTML -sähköpostin käsittelyssä oli ongelma. Tämä ongelma korjattiin jättämällä S/MIME-salattujen viestien etäresurssit oletusarvoisesti lataamatta, jos viestin S/MIME-allekirjoitus puuttuu tai se on virheellinen.
CVE-2018-4111: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum), Jörg Schwenk (Ruhr University Bochum)
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä sieppaamaan S/MIME-salatun sähköpostin sisällön.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2018-4174: John McCombs (Integrated Mapping Ltd), McClain Looney (LoonSoft Inc.)
Muistiinpanot
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.
CVE-2018-4152: Samuel Groß (@5aelo)
Muistiinpanot
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.
CVE-2017-7151: Samuel Groß (@5aelo)
NSURLSession
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.
CVE-2018-4166: Samuel Groß (@5aelo)
NVIDIAn näytönohjaimet
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2018-4138: Axis ja pjf (Qihoo 360:n IceSword Lab)
PDFKit
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: PDF:ssä olevan URL-osoitteen klikkaaminen saattoi johtaa haitalliseen sivustoon.
Kuvaus: PDF-tiedostoissa olevien URL-osoitteiden jäsennyksessä oli ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2018-4107: Nick Safford (Innovia Technology)
PluginKit
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.
CVE-2018-4156: Samuel Groß (@5aelo)
Pikakatselu
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.
CVE-2018-4157: Samuel Groß (@5aelo)
Etähallinta
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Etäkäyttäjä saattoi saada pääkäyttöoikeudet.
Kuvaus: Etähallinnassa oli käyttöoikeusongelma. Ongelma on ratkaistu parantamalla käyttöoikeuden tarkistamista.
CVE-2018-4298: Tim van der Werff (SupCloud)
Suojaus
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
SIP
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Määritysongelma on ratkaistu lisäämällä rajoituksia.
CVE-2017-13911: Timothy Perfitt (Twocanoes Software)
Tilapalkki
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Haittaohjelma saattoi päästä käyttämään mikrofonia ilman ilmoitusta käyttäjälle.
Kuvaus: Mikrofonin käytön ilmaisimen näyttämisessä oli yhdenmukaisuusongelma. Ongelma on ratkaistu parantamalla valmiuksien validointia.
CVE-2018-4173: Joshua Pokotilow (pingmd)
Tallennus
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Kilpailutilanne on käsitelty lisätarkistuksilla.
CVE-2018-4154: Samuel Groß (@5aelo)
Järjestelmäasetukset
Saatavuus: macOS High Sierra 10.13.3
Vaikutus: Määritysprofiili saattoi jäädä virheellisesti voimaan poiston jälkeen.
Kuvaus: CFPreferences-ohjelmointirajapinnassa oli ongelma. Ongelma on ratkaistu parantamalla asetusten puhdistusta.
CVE-2018-4115: Johann Thalakada, Vladimir Zubkov ja Matt Vlasach (Wandera)
Terminal
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Haitallisen sisällön liittäminen saattoi johtaa mielivaltaisen komennon suorittamiseen.
Kuvaus: Ryhmitellyn sijoitustilan käsittelyssä oli komennon lisäämisongelma. Ongelma on ratkaistu parantamalla erikoismerkkien tarkistamista.
CVE-2018-4106: Simon Hosie
WindowServer
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Vaikutus: Valtuuttamaton ohjelma saattoi pystyä kirjaamaan toisiin ohjelmiin syötetyt näppäinpainallukset myös suojatussa syöttötilassa.
Kuvaus: Valtuuttamaton ohjelma saattoi kirjata toisiin ohjelmiin syötetyt näppäinpainallukset myös suojatussa syöttötilassa tarkistamalla näppäinten tilat. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2018-4131: Andreas Hegenberg (folivora.AI GmbH)
Kiitokset
Haluamme kiittää Wire Swiss GmbH:n Sabri Haddouchea (@pwnsdx) hänen avustaan.
Safarin kirjautumisen automaattinen täyttö
Haluamme kiittää Jun Kokatsua (@shhnjk) hänen avustaan.
Suojaus
Haluamme kiittää Abraham Masria (@cheesecakeufo) hänen avustaan.
Jakoasetukset-paneeli
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.