Tietoja macOS High Sierra 10.13.5:n suojaussisällöstä, suojauspäivityksestä 2018-003 Sierra sekä suojauspäivityksestä 2018-003 El Capitan
Tässä dokumentissa kerrotaan macOS High Sierra 10.13.5:n suojaussisällöstä, suojauspäivityksestä 2018-003 Sierra sekä suojauspäivityksestä 2018-003 El Capitan.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
macOS High Sierra 10.13.5, suojauspäivitys 2018-003 Sierra ja suojauspäivitys 2018-003 El Capitan
Käyttöaputoimintojen sovelluskehys
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Käyttöaputoimintojen sovelluskehyksessä oli tietojen paljastumiseen liittyvä ongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-2018-4196: Trend Micron Zero Day Initiativen parissa työskentelevät Alex Plaskett, Georgi Geshev ja Fabian Beterke (MWR Labs) ja WanderingGlitch (Trend Micro Zero Day Initiative)
AMD
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2018-4253: shrek_wzw (Qihoo 360 Nirvan Team)
AMD
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2018-4256: shrek_wzw (Qihoo 360 Nirvan Team)
AMD
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2018-4255: shrek_wzw (Qihoo 360 Nirvan Team)
AMD
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kernelissä oli syötön validointiongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2018-4254: nimetön tutkija
AMD
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kernelissä oli syötön validointiongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2018-4254: shrek_wzw (Qihoo 360 Nirvan Team)
AppleGraphicsControl
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2018-4258: shrek_wzw (Qihoo 360 Nirvan Team)
AppleGraphicsPowerManagement
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.
CVE-2018-4257: shrek_wzw (Qihoo 360 Nirvan Team)
apache_mod_php
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: PHP:ssä ilmenneet ongelmat on ratkaistu tämän päivityksen avulla.
Kuvaus: Ongelma on korjattu päivittämällä PHP-versioon 7.1.16.
CVE-2018-7584: Wei Lei ja Liu Yang (Nanyang Technological University)
ATS
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4219: Mohamed Ghannam (@_simo36)
Bluetooth
Saatavuus: MacBook Pro (Retina, 15 tuumaa, vuoden 2015 puoliväli), MacBook Pro (Retina, 15 tuumaa, 2015), MacBook Pro (Retina, 13 tuumaa, alkuvuosi 2015), MacBook Pro (15 tuumaa, 2017), MacBook Pro (15 tuumaa, 2016), MacBook Pro (13 tuumaa, loppuvuosi 2016, kaksi Thunderbolt 3 -porttia), MacBook Pro (13 tuumaa, loppuvuosi 2016, neljä Thunderbolt 3 -porttia), MacBook Pro (13 tuumaa, 2017, neljä Thunderbolt 3 -porttia), MacBook (Retina, 12 tuumaa, alkuvuosi 2016), MacBook (Retina, 12 tuumaa, alkuvuosi 2015), MacBook (Retina, 12 tuumaa, 2017), iMac Pro, iMac (Retina 5K, 27 tuumaa, loppuvuosi 2015), iMac (Retina 5K, 27 tuumaa, 2017), iMac (Retina 4K, 21,5 tuumaa, loppuvuosi 2015), iMac (Retina 4K, 21,5 tuumaa, 2017), iMac (21,5 tuumaa, loppuvuosi 2015) ja iMac (21,5 tuumaa, 2017)
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattaa kyetä katkaisemaan Bluetooth-liikenteen.
Kuvaus: Bluetoothissa oli annettujen tietojen vahvistusongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2018-5383: Lior Neumann ja Eli Biham
Bluetooth
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Laitteen ominaisuuksissa oli tietojen paljastumiseen liittyvä ongelma. Ongelma on korjattu parantamalla objektien hallintaa.
CVE-2018-4171: shrek_wzw (Qihoo 360 Nirvan Team)
CoreGraphics
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2018-4194: Jihui Lu (Tencent KeenLab) ja Yu Zhou (Ant-financial Light-Year Security Lab)
CUPS
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Paikallinen prosessi pystyi muokkaamaan muita prosesseja ilman oikeustarkistuksia.
Kuvaus: CUPSissa oli ongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.
CVE-2018-4180: Dan Bastone (Gotham Digital Science)
CUPS
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan mielivaltaisia tiedostoja root-käyttäjänä.
Kuvaus: CUPSissa oli ongelma. Ongelma on ratkaistu parantamalla käyttörajoituksia.
CVE-2018-4181: Eric Rafaloff ja John Dunlap (Gotham Digital Science)
CUPS
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Käyttöongelma on ratkaistu lisäämällä CUPSiin eristysrajoituksia.
CVE-2018-4182: Dan Bastone (Gotham Digital Science)
CUPS
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Käyttöongelma on ratkaistu lisäämällä eristysrajoituksia.
CVE-2018-4183: Dan Bastone ja Eric Rafaloff (Gotham Digital Science)
EFI
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Hyökkääjä, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.
CVE-2018-4478: nimetön tutkija, nimetön tutkija, Ben Erickson (Trusted Computer Consulting, LLC)
Laiteohjelmisto
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Haittaohjelma, jolla on pääkäyttöoikeudet, saattoi pystyä muuttamaan EFI-flash-muistin aluetta.
Kuvaus: Laitteen määritysongelma on korjattu päivittämällä määritystä.
CVE-2018-4251: Maxim Goryachy ja Mark Ermolov
FontParser
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2018-4211: Proteas (Qihoo 360 Nirvan Team)
Grand Central Dispatch
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Oikeuksiin liittyvien plist-tiedostojen jäsentämisessä oli ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2018-4229: Jakob Rieck (@0xdead10cc) (Security in Distributed Systems Group, University of Hamburg)
Näytönohjaimen ajurit
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2018-4159: Axis ja pjf (IceSword Lab) (Qihoo 360)
Hypervisor
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.
CVE-2018-4242: Zhuo Liang (Qihoo 360 Nirvan Team)
iBooks
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi väärentää iBooksin salasanakehotteita.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.
CVE-2018-4202: Jerry Decime
Identiteettipalvelut
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään paikallisten käyttäjien Apple ID:itä.
Kuvaus: Open Directory -tietueiden käsittelyssä ilmennyt tietosuojaongelma ratkaistiin parantamalla indeksointia.
CVE-2018-4217: Jacob Greenfield (Commonwealth School)
Intelin grafiikkaohjain
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2018-4141: nimetön tutkija, Zhao Qixun (@S0rryMybad) (Qihoo 360 Vulcan Team)
IOFireWireAVC
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2018-4228: Benjamin Gnahm (@mitp0sh) (Mentor Graphics)
IOGraphics
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4236: Zhao Qixun(@S0rryMybad) (Qihoo 360 Vulcan Team)
IOHIDFamily
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4234: Proteas (Qihoo 360 Nirvan Team)
Kernel
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4249: Kevin Backhouse (Semmle Ltd.)
Kernel
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Joissakin olosuhteissa jotkin käyttöjärjestelmät eivät käsittele oikein Intel-arkkitehtuurin vianmäärityksen poikkeamaa tai varaudu siihen oikein tiettyjen ohjeiden jälkeen. Ongelma näyttää johtuvan jostakin ohjeiden dokumentoimattomasta sivuvaikutuksesta. Hyökkääjä saattaa hyödyntää tämän poikkeuksen käsittelyä voidakseen käyttää Ring 0:aa ja arkaluontoista muistia tai hallitakseen käyttöjärjestelmäprosesseja.
CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox, Everdox Tech LLC)
Kernel
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2018-4241: Ian Beer (Google Project Zero)
CVE-2018-4243: Ian Beer (Google Project Zero)
libxpc
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2018-4237: Trend Micron Zero Day Initiativen parissa työskentelevä Samuel Groß (@5aelo)
libxpc
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4404: Trend Micron Zero Day Initiativen parissa työskentelevä Samuel Groß (@5aelo)
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Hyökkääjä saattoi voida vuotaa S/MIME-salauksella suojatun sähköpostiviestin sisällön.
Kuvaus: Salatun Mailin käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla MIMEn eristystä Mailissa.
CVE-2018-4227: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum) ja Jörg Schwenk (Ruhr University Bochum)
Viestit
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan tekeytymishyökkäyksiä.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla tietojen syötön tarkistusta.
CVE-2018-4235: Anurodh Pokharel (Salesforce.com)
Viestit
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Haitallisen viestin käsittely saattoi johtaa palvelunestoon.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistamista.
CVE-2018-4240: Sriram (@Sri_Hxor, PrimeFort Pvt. Ltd)
NVIDIAn näytönohjaimet
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2018-4230: Ian Beer (Google Project Zero)
Suojaus
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Asiakasvarmenteita käyttävät haitalliset verkkosivustot saattoivat jäljittää käyttäjiä.
Kuvaus: S-MIME-varmenteiden käsittelyssä oli ongelma. Ongelma on ratkaistu parantamalla S-MIME-varmenteiden validointia.
CVE-2018-4221: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum) ja Jörg Schwenk (Ruhr University Bochum)
Suojaus
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan pysyvän tilitunnuksen.
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2018-4223: Abraham Masri (@cheesecakeufo)
Suojaus
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan pysyvän laitetunnisteen.
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2018-4224: Abraham Masri (@cheesecakeufo)
Suojaus
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Paikallinen käyttäjä saattoi pystyä muokkaamaan avainnipun tilaa.
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2018-4225: Abraham Masri (@cheesecakeufo)
Suojaus
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2018-4226: Abraham Masri (@cheesecakeufo)
Puhe
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Mikrofonin käytön käsittelyssä oli eristysongelma. Ongelma on ratkaistu parantamalla mikrofonin käytön käsittelyä.
CVE-2018-4184: Jakob Rieck (@0xdead10cc) (Security in Distributed Systems Group, University of Hamburg)
UIKit
Saatavuus: macOS High Sierra 10.13.4
Vaikutus: Haitallisen tekstitiedoston käsittely saattoi johtaa palvelunestoon.
Kuvaus: Tekstin käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla tekstin tarkistamista.
CVE-2018-4198: Hunter Byrnes
Windows Server
Saatavuus: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2018-4193: Trend Micron Zero Day Initiativen parissa työskentelevät Markus Gaasedelen, Nick Burnett ja Patrick Biernat (Ret2 Systems, Inc), Trend Micron Zero Day Initiativen parissa työskentelevä Richard Zhu (fluorescence)
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.