A macOS High Sierra 10.13.3, a Sierra 2018-001-es biztonsági frissítésének és az El Capitan 2018-001-es biztonsági frissítésének biztonsági változásjegyzéke

Ez a dokumentum a macOS High Sierra 10.13.3, a Sierra 2018-001-es biztonsági frissítésének és az El Capitan 2018-001-es biztonsági frissítésének biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

macOS High Sierra 10.13.3, a Sierra 2018-001-es biztonsági frissítése és az El Capitan 2018-001-es biztonsági frissítése

Kiadási dátum: 2018. január 23.

Hang

A következőkhöz érhető el: macOS High Sierra 10.13.2, macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4094: Mingi Cho, MinSik Shin, Seoyoung Kim, Yeongho Lee és Taekyoung Kwon (Information Security Lab), Yonsei University

curl

A következőhöz érhető el: macOS High Sierra 10.13.2.

Érintett terület: Több hiba is fennállt a curl esetén.

Leírás: Határértéket túllépő olvasási hiba állt fenn a curl esetén. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

CVE-2017-8817: az OSS-Fuzz által felfedezve

EFI

A következőkhöz érhető el: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6.

Leírás: Az Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 esetén a kernelben több puffertúlcsordulás állt fenn, ami miatt a rendszerhez helyi hozzáféréssel rendelkező támadók tetszőleges programkódot tudtak végrehajtani. 

CVE-2017-5705: Mark Ermolov és Maxim Goryachy (Positive Technologies)

Bejegyzés hozzáadva: 2018. január 30.

EFI

A következőkhöz érhető el: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6.

Leírás: Az Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 esetén a kernelben történő többszöri jogosultságkiterjesztés révén lehetővé vált privilegizált tartalmak elérése meghatározatlan vektoron keresztül.

CVE-2017-5708: Mark Ermolov és Maxim Goryachy (Positive Technologies)

Bejegyzés hozzáadva: 2018. január 30.

IOHIDFamily

A következőkhöz érhető el: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4098: Siguza

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6 és OS X El Capitan 10.11.6.

Érintett terület: Az alkalmazások olvasni tudták a kernelmemóriát (Meltdown).

Leírás: A spekulatív végrehajtást és az indirekt elágazás-előrejelzést használó mikroprocesszorokat tartalmazó rendszerek lehetővé tehetik a helyi felhasználói hozzáférést alkalmazó támadók számára a jogosulatlan hozzáférést információkhoz a gyorsítótár oldalcsatornás elemzésével.

CVE-2017-5754: Jann Horn (Google Project Zero); Moritz Lipp (Graz University of Technology); Michael Schwarz (Graz University of Technology); Daniel Gruss (Graz University of Technology); Thomas Prescher (Cyberus Technology GmbH); Werner Haas (Cyberus Technology GmbH); Stefan Mangard (Graz University of Technology); Paul Kocher; Daniel Genkin (University of Pennsylvania és University of Maryland); Yuval Yarom (University of Adelaide és Data61); Mike Hamburg (Rambus (Cryptography Research Division))

Kernel

A következőhöz érhető el: macOS High Sierra 10.13.2.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriainicializálási hibát.

CVE-2018-4090: Jann Horn (Google Project Zero)

Kernel

A következőhöz érhető el: macOS High Sierra 10.13.2.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy versenyhelyzeti problémát.

CVE-2018-4092: Stefan Esser (Antid0te UG)

Bejegyzés frissítve: 2018. február 8.

Kernel

A következőkhöz érhető el: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4082: Russ Cox (Google)

Kernel

A következőkhöz érhető el: macOS High Sierra 10.13.2, macOS Sierra 10.12.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy logikai hibát.

CVE-2018-4097: Resecurity, Inc.

Kernel

A következőhöz érhető el: macOS High Sierra 10.13.2.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy érvényesítési hibát.

CVE-2018-4093: Jann Horn (Google Project Zero)

Kernel

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.2.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4189: anonim kutató

Bejegyzés hozzáadva: 2018. május 2.

Kernel

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.2.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy határérték-olvasási hibát.

CVE-2018-4169: anonim kutató

Bejegyzés hozzáadva: 2018. május 2.

LinkPresentation

A következőkhöz érhető el: macOS High Sierra 10.13.2, macOS Sierra 10.12.6.2.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szöveges üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy erőforrásfogyással kapcsolatos hibát.

CVE-2018-4100: Abraham Masri (@cheesecakeufo)

QuartzCore

A következőkhöz érhető el: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Memóriasérülési hiba lépett fel a webes tartalmak feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.

CVE-2018-4085: Ret2 Systems Inc., a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Távoli felügyelet

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy a távoli felhasználók gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Egy engedélyezési hiba állt fenn a Távoli felügyeletben. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.

CVE-2018-4298: Tim van der Werff (SupCloud)

Bejegyzés hozzáadva: 2018. július 19.

Sandbox

A következőhöz érhető el: macOS High Sierra 10.13.2.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: További sandbox-korlátozásokkal elhárítottak egy hozzáféréssel összefüggő problémát.

CVE-2018-4091: Alex Gaynor (Mozilla)

Biztonság

A következőkhöz érhető el: macOS High Sierra 10.13.2, macOS Sierra 10.12.6.

Érintett terület: Előfordult, hogy helytelenül ment végbe a névmegkötések alkalmazása a tanúsítványok esetén.

Leírás: Tanúsítványkiértékeléssel kapcsolatos probléma lépett fel a névmegkötések kezelésekor. A tanúsítványok megbízhatóságának hatékonyabb kiértékelésével hárították el a problémát.

CVE-2018-4086: Ian Haken (Netflix)

Biztonság

A következőhöz érhető el: macOS High Sierra 10.13.2.

Érintett terület: A támadók meg tudták kerülni a rendszergazdai hitelesítést a rendszergazdai jelszó megadása nélkül.

Leírás: Logikai hiba lépett fel a hitelesítő adatok ellenőrzésekor. A hitelesítő adatok hatékonyabb ellenőrzésével hárították el a problémát.

CVE-2017-13889: Glenn G. Bruckno, P.E. (Automation Engineering), James Barnes, Kevin Manca (Computer Engineering Politecnico di Milano), Rene Malenfant (University of New Brunswick)

Bejegyzés hozzáadva: 2018. június 21.

Támogatás a Touch Barhoz

A következőkhöz érhető el: macOS High Sierra 10.13.2, macOS Sierra 10.12.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4083: Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2018. február 9.

WebKit

A következőhöz érhető el: macOS High Sierra 10.13.2.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2018-4088: Jeonghoon Shin (Theori)

CVE-2018-4089: Ivan Fratric (Google Project Zero)

CVE-2018-4096: az OSS-Fuzz által felfedezve

Wi-Fi

A következőkhöz érhető el: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy érvényesítési hibát.

CVE-2018-4084: Hyung Sup Lee of Minionz, You Chan Lee (Hanyang University)

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: