Informacije o sigurnosnom sadržaju sustava macOS High Sierra 10.13.4, sigurnosnom ažuriranju 2018-002 Sierra i sigurnosnom ažuriranju 2018-002 El Capitan

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS High Sierra 10.13.4, sigurnosno ažuriranje 2018-002 Sierra i sigurnosno ažuriranje 2018-002 El Capitan.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

macOS High Sierra 10.13.4, sigurnosno ažuriranje 2018-002 Sierra i sigurnosno ažuriranje 2018-002 El Capitan

Objavljeno 29. ožujka 2018.

Admin Framework

Dostupno za: macOS High Sierra 10.13.3

Učinak: lozinke koje su unesene u alat sysadminctl mogu se otkriti drugim lokalnim korisnicima

Opis: naredbeni redak alata sysadminctl zahtijevao je da se lozinke proslijede u alat u njegovim argumentima, čime se lozinke potencijalno mogu otkriti drugim lokalnim korisnicima. S ovim ažuriranjem parametar lozinki postaje izborni, a alat sysadminctl tražit će lozinku ako je potrebno.

CVE-2018-4170: anonimni istraživač

APFS

Dostupno za: macOS High Sierra 10.13.3

Učinak: lozinka particije spremnika APFS može se neočekivano skratiti

Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4105: David J Beitey (@davidjb_), Geoffrey Bugniot

ATS

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: obrada zlonamjerno izrađene datoteke može otkriti korisničke informacije

Opis: u rukovanju simboličkim vezama otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2018-4112: Haik Aftandilian (Mozilla)

CFNetwork Session

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4166: Samuel Groß (@5aelo)

CoreFoundation

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

Jezgreni tekst

Dostupno za: macOS High Sierra 10.13.3

Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4142: Robin Leroy (Google Switzerland GmbH)

Unos ažuriran 3. travnja 2019.

CoreTypes

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Učinak: obradom zlonamjerne web-stranice može doći do namještanja slike diska

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2017-13890: Apple, Theodor Ragnar Gislason (Syndis)

curl

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Učinak: veći broj problema u biblioteci curl

Opis: u biblioteci curl otkriveno je prekoračenje cijelih brojeva. Taj je problem riješen poboljšanom provjerom ograničenja.

CVE-2017-8816: Alex Nichols

Unos ažuriran 3. travnja 2019.

Slike diska

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: namještanje zlonamjerne slike diska može dovesti do pokretanja aplikacije

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2018-4176: Theodor Ragnar Gislason (Syndis)

Upravljanje diskom

Dostupno za: macOS High Sierra 10.13.3

Učinak: lozinka particije spremnika APFS može se neočekivano skratiti

Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4108: Kamatham Chaitanya (ShiftLeft Inc.), anonimni istraživač

EFI

Dostupno za: macOS High Sierra 10.13.3

Učinak: napadač u dosegu Wi-Fi mreže može prisilno omogućiti ponovno korištenje privremenog broja na WPA klijentima (napadi ponovnom instalacijom ključa – Key Reinstallation Attacks, KRACK)

Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2017-13080: Mathy Vanhoef (grupa imec-DistriNet, KU Leuven)

Unos dodan 18. listopada 2018.

Događaji datotečnog sustava

Dostupno za: macOS High Sierra 10.13.3

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4167: Samuel Groß (@5aelo)

iCloud Drive

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4151: Samuel Groß (@5aelo)

Intelov grafički upravljački program

Dostupno za: macOS High Sierra 10.13.3

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4132: Axis i pjf (laboratorij IceSword, Qihoo 360)

IOFireWireFamily

Dostupno za: macOS High Sierra 10.13.3

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4135: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.)

Kernel

Dostupno za: macOS High Sierra 10.13.3

Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2018-4150: anonimni istraživač

Kernel

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2018-4104: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)

Kernel

Dostupno za: macOS High Sierra 10.13.3

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4143: derrek (@derrekr6)

Kernel

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2018-4136: Jonas Jensen (lgtm.com i Semmle)

Kernel

Dostupno za: macOS High Sierra 10.13.3

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2018-4160: Jonas Jensen (lgtm.com i Semmle)

Kernel

Dostupno za: macOS High Sierra 10.13.3

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: u prijelazu između stanja programa otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim rukovanjem stanjem.

CVE-2018-4185: Brandon Azad

Unos dodan 19. srpnja 2018.

kext alati

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: postojeći logički problem rezultirao je oštećenjem memorije. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2018-4139: Ian Beer (Google Project Zero)

LaunchServices

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: zlonamjerno izrađena aplikacija može zaobići provedbu potpisivanja koda

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2018-4175: Theodor Ragnar Gislason (Syndis)

libxml2

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.3, OS X El Capitan 10.11.6

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2017-15412: Nick Wellnhofer

Unos ažuriran 18. listopada 2018.

LinkPresentation

Dostupno za: macOS High Sierra 10.13.3

Učinak: obradom zlonamjerne tekstne poruke može se poremetiti korisničko sučelje

Opis: u načinu obrade URL-ova otkriven je problem s lažiranjem. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng ((@Wester), Tencentov odjel sigurnosne platforme)

Unos dodan 3. travnja 2019.

Lokalna provjera autentičnosti

Dostupno za: macOS High Sierra 10.13.3

Učinak: lokalni korisnik može pregledavati osjetljive korisničke informacije

Opis: otkriven je problem s upravljanjem PIN-ovima pametnih kartica. Problem je riješen dodatnom logikom.

CVE-2018-4179: David Fuhrmann

Unos dodan 13. travnja 2018.

Mail

Dostupno za: macOS High Sierra 10.13.3

Učinak: napadač s mrežnim ovlastima može presresti sadržaj e-mailova šifriranih pomoću standarda S/MIME

Opis: otkriven je problem u upravljanju HTML e-mailovima šifriranima pomoću standarda S/MIME. Problem je riješen tako da se udaljeni resursi ne učitavaju prema zadanim postavkama u porukama šifriranima pomoću standarda S/MIME ako poruka ima nevažeći potpis standarda S/MIME ili on nedostaje.

CVE-2018-4111: Damian Poddebniak (Sveučilište primijenjenih znanosti u Münsteru), Christian Dresen (Sveučilište primijenjenih znanosti u Münsteru), Jens Müller (Sveučilište Ruhr-Universität Bochum), Fabian Ising (Sveučilište primijenjenih znanosti u Münsteru), Sebastian Schinzel (Sveučilište primijenjenih znanosti u Münsteru), Simon Friedberger (Katoličko sveučilište u Leuvenu), Juraj Somorovsky (Sveučilište Ruhr-Universität Bochum), Jörg Schwenk (Sveučilište Ruhr-Universität Bochum)

Unos ažuriran 13. travnja 2018.

Mail

Dostupno za: macOS High Sierra 10.13.3

Učinak: napadači s mrežnim ovlastima mogli su presresti sadržaj e-mail poruka šifriranih pomoću standarda S/MIME

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2018-4174: John McCombs (Integrated Mapping Ltd), McClain Looney (LoonSoft Inc).

Unos ažuriran 13. travnja 2018.

Napomene

Dostupno za: macOS High Sierra 10.13.3

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4152: Samuel Groß (@5aelo)

Napomene

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2017-7151: Samuel Groß (@5aelo)

Unos dodan 18. listopada 2018.

NSURLSession

Dostupno za: macOS High Sierra 10.13.3

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4166: Samuel Groß (@5aelo)

Upravljački programi za grafičke kartice NVIDIA

Dostupno za: macOS High Sierra 10.13.3

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2018-4138: Axis i pjf (laboratorij IceSword, Qihoo 360)

PDFKit

Dostupno za: macOS High Sierra 10.13.3

Učinak: klikanje URL-a u PDF-u može odvesti na zlonamjernu web-stranicu

Opis: otkriven je problem s raščlanjivanjem URL-ova u PDF-ovima. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4107: Nick Safford (Innovia Technology)

Unos ažuriran 9. travnja 2018.

PluginKit

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4156: Samuel Groß (@5aelo)

Brzi pregled

Dostupno za: macOS High Sierra 10.13.3

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4157: Samuel Groß (@5aelo)

Daljinsko upravljanje

Dostupno za: macOS High Sierra 10.13.3

Učinak: udaljeni korisnik može dobiti korijenske ovlasti

Opis: otkriven je problem s dozvolama u daljinskom upravljanju. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.

CVE-2018-4298: Tim van der Werff (SupCloud)

Unos dodan 19. srpnja 2018.

Sigurnost

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

SIP

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.

CVE-2017-13911: Timothy Perfitt (Twocanoes Software)

Unos dodan 8. kolovoza 2018., ažuriran 25. rujna 2018.

Traka stanja

Dostupno za: macOS High Sierra 10.13.3

Učinak: zlonamjerne aplikacije mogle su pristupiti mikrofonu bez obavještavanja korisnika

Opis: postojao je problem s dosljednošću prilikom donošenja odluke o tome kada prikazati indikator korištenja mikrofona. Problem je riješen poboljšanom provjerom valjanosti mogućnosti.

CVE-2018-4173: Joshua Pokotilow (pingmd)

Unos dodan 9. travnja 2018.

Pohrana

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4154: Samuel Groß (@5aelo)

Postavke sustava

Dostupno za: macOS High Sierra 10.13.3

Učinak: konfiguracijski profil mogao je i nakon uklanjanja ostati pogrešno aktivan

Opis: u modulu CFPreferences postojao je problem. Problem je riješen poboljšanim čišćenjem postavki.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov i Matt Vlasach (Wandera)

Unos ažuriran 3. travnja 2019.

Terminal

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: lijepljenje zlonamjernog sadržaja može dovesti do proizvoljnog izvršenja naredbe

Opis: problem s ubacivanjem otkriven je u upravljanju modom za lijepljenje s uglatim zagradama. Taj je problem riješen poboljšanom provjerom posebnih znakova.

CVE-2018-4106: Simon Hosie

Unos ažuriran 15. svibnja 2019.

WindowServer

Dostupno za: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Učinak: aplikacije bez ovlasti mogle su bilježiti pritiske na tipke u drugim aplikacijama i uz omogućen mod za sigurni unos

Opis: aplikacije bez ovlasti mogle su putem provjere stanja tipki bilježiti pritiske na tipke u drugim aplikacijama i uz omogućen mod za sigurni unos. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2018-4131: Andreas Hegenberg (folivora.AI GmbH)

Unos ažuriran 3. travnja 2019.

Dodatna zahvala

Mail

Željeli bismo zahvaliti Sabriju Haddoucheu (@pwnsdx) (Wire Swiss GmbH) na pomoći.

Unos dodan 21. lipnja 2018.

Automatska ispuna prilikom prijave u pregledniku Safari

Željeli bismo zahvaliti Junu Kokatsuu (@shhnjk) na pomoći.

Unos dodan 3. travnja 2019.

Sigurnost

Na pomoći zahvaljujemo Abrahamu Masriju (@cheesecakeufo).

Unos dodan 13. travnja 2018.

Dijeljenje panela postavki

Željeli bismo zahvaliti anonimnom istraživaču na pomoći.

Unos dodan 3. travnja 2019.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 03. studenoga 2023.