Tietoja macOS High Sierra 10.13.5:n suojaussisällöstä, suojauspäivityksestä 2018-003 Sierra sekä suojauspäivityksestä 2018-003 El Capitan

Tässä dokumentissa kerrotaan macOS High Sierra 10.13.5:n suojaussisällöstä, suojauspäivityksestä 2018-003 Sierra sekä suojauspäivityksestä 2018-003 El Capitan.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

macOS High Sierra 10.13.5, suojauspäivitys 2018-003 Sierra ja suojauspäivitys 2018-003 El Capitan

Julkaistu 1.6.2018

Käyttöaputoimintojen sovelluskehys

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Käyttöaputoimintojen sovelluskehyksessä oli tietojen paljastumiseen liittyvä ongelma. Ongelma on korjattu parantamalla muistin hallintaa.

CVE-2018-4196: Trend Micron Zero Day Initiativen parissa työskentelevät Alex Plaskett, Georgi Geshev ja Fabian Beterke (MWR Labs) ja WanderingGlitch (Trend Micro Zero Day Initiative)

Kohta päivitetty 19.7.2018

AMD

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2018-4253: shrek_wzw (Qihoo 360 Nirvan Team)

AMD

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2018-4256: shrek_wzw (Qihoo 360 Nirvan Team)

Kohta lisätty 19.7.2018

apache_mod_php

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: PHP:ssä ilmenneet ongelmat on ratkaistu tämän päivityksen avulla.

Kuvaus: Ongelma on korjattu päivittämällä PHP-versioon 7.1.16.

CVE-2018-7584: Wei Lei ja Liu Yang (Nanyang Technological University)

ATS

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4219: Mohamed Ghannam (@_simo36)

Bluetooth

Saatavuus: MacBook Pro (Retina, 15 tuumaa, vuoden 2015 puoliväli), MacBook Pro (Retina, 15 tuumaa, 2015), MacBook Pro (Retina, 13 tuumaa, alkuvuosi 2015), MacBook Pro (15 tuumaa, 2017), MacBook Pro (15 tuumaa, 2016), MacBook Pro (13 tuumaa, loppuvuosi 2016, kaksi Thunderbolt 3 -porttia), MacBook Pro (13 tuumaa, loppuvuosi 2016, neljä Thunderbolt 3 -porttia), MacBook Pro (13 tuumaa, 2017, neljä Thunderbolt 3 -porttia), MacBook (Retina, 12 tuumaa, alkuvuosi 2016), MacBook (Retina, 12 tuumaa, alkuvuosi 2015), MacBook (Retina, 12 tuumaa, 2017), iMac Pro, iMac (Retina 5K, 27 tuumaa, loppuvuosi 2015), iMac (Retina 5K, 27 tuumaa, 2017), iMac (Retina 4K, 21,5 tuumaa, loppuvuosi 2015), iMac (Retina 4K, 21,5 tuumaa, 2017), iMac (21,5 tuumaa, loppuvuosi 2015) ja iMac (21,5 tuumaa, 2017)

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi katkaista Bluetoothin verkkoliikenteen.

Kuvaus: Bluetoothissa oli annettujen tietojen vahvistusongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2018-5383: Lior Neumann ja Eli Biham

Kohta lisätty 23.7.2018

Bluetooth

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Laitteen ominaisuuksissa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on korjattu parantamalla objektien hallintaa.

CVE-2018-4171: shrek_wzw (Qihoo 360 Nirvan Team)

CoreGraphics

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2018-4194: Jihui Lu (Tencent KeenLab), Yu Zhou (Ant-financial Light-Year Security Lab)

Kohta lisätty 21.6.2018

CUPS

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Paikallinen prosessi pystyi muokkaamaan muita prosesseja ilman oikeustarkistuksia.

Kuvaus: CUPSissa oli ongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2018-4180: Dan Bastone (Gotham Digital Science)

Kohta lisätty 11.7.2018

CUPS

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan mielivaltaisia tiedostoja root-käyttäjänä.

Kuvaus: CUPSissa oli ongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.

CVE-2018-4181: Eric Rafaloff ja John Dunlap (Gotham Digital Science)

Kohta lisätty 11.7.2018

CUPS

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: Käyttöongelma on ratkaistu lisäämällä CUPSiin eristysrajoituksia.

CVE-2018-4182: Dan Bastone (Gotham Digital Science)

Kohta lisätty 11.7.2018

CUPS

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: Käyttöongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2018-4183: Dan Bastone ja Eric Rafaloff (Gotham Digital Science)

Kohta lisätty 11.7.2018

Laiteohjelmisto

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Haittaohjelma, jolla on pääkäyttöoikeudet, saattoi pystyä muuttamaan EFI-flash-muistin aluetta.

Kuvaus: Laitteen määritysongelma on korjattu päivittämällä määritystä.

CVE-2018-4251: Maxim Goryachy ja Mark Ermolov

FontParser

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2018-4211: Proteas (Qihoo 360 Nirvan Team)

Grand Central Dispatch

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: Oikeuksiin liittyvien plist-tiedostojen jäsentämisessä oli ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2018-4229: Jakob Rieck (@0xdead10cc) (Security in Distributed Systems Group, University of Hamburg)

Näytönohjaimen ajurit

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2018-4159: Axis ja pjf (IceSword Lab) (Qihoo 360)

Hypervisor

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

CVE-2018-4242: Zhuo Liang (Qihoo 360 Nirvan Team)

iBooks

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi väärentää iBooksin salasanakehotteita.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.

CVE-2018-4202: Jerry Decime

Intelin grafiikkaohjain

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2018-4141: nimetön tutkija, Zhao Qixun (@S0rryMybad) (Qihoo 360 Vulcan Team)

IOFireWireAVC

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2018-4228: Benjamin Gnahm (@mitp0sh) (Mentor Graphics)

IOGraphics

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4236: Zhao Qixun(@S0rryMybad) (Qihoo 360 Vulcan Team)

IOHIDFamily

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4234: Proteas (Qihoo 360 Nirvan Team)

Kernel

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Vaikutus: Etuoikeutetussa asemassa ollut hyökkääjä saattoi pystyä toteuttamaan palvelunestohyökkäyksen.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla vahvistamista.

CVE-2018-4249: Kevin Backhouse (Semmle Ltd.)

Kernel

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Joissakin olosuhteissa jotkin käyttöjärjestelmät eivät käsittele oikein Intel-arkkitehtuurin vianmäärityksen poikkeamaa tai varaudu siihen oikein tiettyjen ohjeiden jälkeen. Ongelma näyttää johtuvan jostakin ohjeiden dokumentoimattomasta sivuvaikutuksesta. Hyökkääjä saattaa hyödyntää tämän poikkeuksen käsittelyä voidakseen käyttää Ring 0:aa ja arkaluontoista muistia tai hallitakseen käyttöjärjestelmäprosesseja.

CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox, Everdox Tech LLC)

Kernel

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2018-4241: Ian Beer (Google Project Zero)

CVE-2018-4243: Ian Beer (Google Project Zero)

libxpc

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2018-4237: Trend Micron Zero Day Initiativen parissa työskentelevä Samuel Groß (@5aelo)

Mail

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Hyökkääjä saattoi voida vuotaa S/MIME-salauksella suojatun sähköpostiviestin sisällön.

Kuvaus: Salatun Mailin käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla MIMEn eristystä Mailissa.

CVE-2018-4227: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum), Jörg Schwenk (Ruhr University Bochum)

Viestit

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan tekeytymishyökkäyksiä.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla tietojen syötön tarkistusta.

CVE-2018-4235: Anurodh Pokharel (Salesforce.com)

Viestit

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Haitallisen viestin käsittely saattoi johtaa palvelunestoon.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistamista.

CVE-2018-4240: Sriram (@Sri_Hxor) (Primefort Pvt. Ltd)

NVIDIAn näytönohjaimet

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2018-4230: Ian Beer (Google Project Zero)

Suojaus

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Asiakasvarmenteita käyttävät haitalliset verkkosivustot saattoivat jäljittää käyttäjiä.

Kuvaus: S-MIME-varmenteiden käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla S-MIME-varmenteiden validointia.

CVE-2018-4221: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum), Jörg Schwenk (Ruhr University Bochum)

Suojaus

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan pysyvän tilitunnuksen.

Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

Suojaus

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan pysyvän laitetunnisteen.

Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Suojaus

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Paikallinen käyttäjä saattoi pystyä muokkaamaan avainnipun tilaa.

Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2018-4225: Abraham Masri (@cheesecakeufo)

Suojaus

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.

Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2018-4226: Abraham Masri (@cheesecakeufo)

Puhe

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.

Kuvaus: Mikrofonin käytön käsittelyssä oli eristysongelma. Ongelma on ratkaistu parantamalla mikrofonin käytön käsittelyä.

CVE-2018-4184: Jakob Rieck (@0xdead10cc) (Security in Distributed Systems Group, University of Hamburg)

UIKit

Saatavuus: macOS High Sierra 10.13.4

Vaikutus: Haitallisen tekstitiedoston käsittely saattoi johtaa palvelunestoon.

Kuvaus: Tekstin käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla tekstin tarkistamista.

CVE-2018-4198: Hunter Byrnes

Windows-palvelin

Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2018-4193: Trend Micron Zero Day Initiativen parissa työskentelevät Markus Gaasedelen, Nick Burnett ja Patrick Biernat (Ret2 Systems, Inc), Trend Micron Zero Day Initiativen parissa työskentelevä Richard Zhu (fluorescence)

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: