A macOS High Sierra 10.13.5, a Sierra 2018-003-as biztonsági frissítésének és az El Capitan 2018-003-as biztonsági frissítésének biztonsági változásjegyzéke

Ez a dokumentum a macOS High Sierra 10.13.5, a Sierra 2018-003-as biztonsági frissítésének és az El Capitan 2018-003-as biztonsági frissítésének biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

macOS High Sierra 10.13.5, a Sierra 2018-003-as biztonsági frissítése és az El Capitan 2018-003-as biztonsági frissítése

Kiadási dátum: 2018. június 1.

Accessibility Framework

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Adatközzétételi probléma állt fenn az Accessibility Framework esetében. Hatékonyabb memóriakezeléssel küszöböltük ki a problémát.

CVE-2018-4196: Alex Plaskett, Georgi Geshev és Fabian Beterke (MWR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, valamint WanderingGlitch (Trend Micro Zero Day Initiative)

Bejegyzés frissítve: 2018. július 19.

AMD

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Egy határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4253: shrek_wzw (Qihoo 360 Nirvan Team)

AMD

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határérték-olvasási hibát.

CVE-2018-4256: shrek_wzw (Qihoo 360 Nirvan Team)

Bejegyzés hozzáadva: 2018. július 19.

AMD

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határérték-olvasási hibát.

CVE-2018-4255: anonim kutató

Bejegyzés hozzáadva: 2018. október 18.

AMD

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Beviteli érvényesség-ellenőrzési probléma állt fenn a kernelben. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4254: anonim kutató

Bejegyzés hozzáadva: 2018. október 18.

AppleGraphicsControl

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2018-4258: shrek_wzw (Qihoo 360 Nirvan Team)

Bejegyzés hozzáadva: 2018. október 18.

AppleGraphicsPowerManagement

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2018-4257: shrek_wzw (Qihoo 360 Nirvan Team)

Bejegyzés hozzáadva: 2018. október 18.

apache_mod_php

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A frissítés a php esetében jelentkező hibákat hárította el.

Leírás: A php 7.1.16-os verziójára való frissítéssel hárult el a probléma.

CVE-2018-7584: Wei Lei és Liu Yang (Nanyang Technological University)

ATS

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy típustévesztési hibát.

CVE-2018-4219: Mohamed Ghannam (@_simo36)

Bluetooth

A következőkhöz érhető el: MacBook Pro (Retina kijelzős, 15 hüvelykes, 2015 közepe), MacBook Pro (Retina kijelzős, 15 hüvelykes, 2015), MacBook Pro (Retina kijelzős, 13 hüvelykes, 2015 eleje), MacBook Pro (15 hüvelykes, 2017), MacBook Pro (15 hüvelykes, 2016), MacBook Pro (13 hüvelykes, 2016 vége, két Thunderbolt 3 port), MacBook Pro (13 hüvelykes, 2016 vége, négy Thunderbolt 3 port), MacBook Pro (13 hüvelykes, 2017, négy Thunderbolt 3 port), MacBook (Retina kijelzős, 12 hüvelykes, 2016 eleje), MacBook (Retina kijelzős, 12 hüvelykes, 2015 eleje), MacBook (Retina kijelzős, 12 hüvelykes, 2017), iMac Pro, iMac (5K-s Retina kijelzős, 27 hüvelykes, 2015 vége), iMac (5K-s Retina kijelzős, 27 hüvelykes, 2017), iMac (4K-s Retina kijelzős, 21.5 hüvelykes, 2015 vége), iMac (4K-s Retina kijelzős, 21,5 hüvelykes, 2017), iMac (21,5 hüvelykes, 2015 vége) és iMac (21,5 hüvelykes, 2017)

Érintett terület: A magas hálózati jogosultságú támadók adott esetben hozzá tudtak férni a Bluetooth-forgalomhoz.

Leírás: Beviteli érvényesség-ellenőrzési probléma állt fenn a Bluetooth esetén. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-5383: Lior Neumann és Eli Biham

Bejegyzés hozzáadva: 2018. július 23.

Bluetooth

A következőkhöz érhető el: OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.

Leírás: Adatközzétételi probléma állt fenn az eszköztulajdonságok esetében. Hatékonyabb objektumkezeléssel küszöböltük ki a problémát.

CVE-2018-4171: shrek_wzw (Qihoo 360 Nirvan Team)

CoreGraphics

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határérték-olvasási hibát.

CVE-2018-4194: Jihui Lu (Tencent KeenLab), Yu Zhou (Ant-financial Light-Year Security Lab)

Bejegyzés hozzáadva: 2018. június 21.

CUPS

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A helyi folyamatok jogosultsági ellenőrzések nélkül is módosítani tudtak más folyamatokat.

Leírás: Hiba állt fenn a CUPS-ben. Hatékonyabb hozzáférés-korlátozással hárították el a problémát.

CVE-2018-4180: Dan Bastone (Gotham Digital Science)

Bejegyzés hozzáadva: 2018. július 11.

CUPS

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A helyi felhasználók root felhasználóként olvasni tudtak tetszőleges fájlokat.

Leírás: Hiba állt fenn a CUPS-ben. Hatékonyabb hozzáférés-korlátozással hárították el a problémát.

CVE-2018-4181: Eric Rafaloff és John Dunlap (Gotham Digital Science)

Bejegyzés hozzáadva: 2018. július 11.

CUPS

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát a CUPS-ben.

CVE-2018-4182: Dan Bastone (Gotham Digital Science)

Bejegyzés hozzáadva: 2018. július 11.

CUPS

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2018-4183: Dan Bastone és Eric Rafaloff (Gotham Digital Science)

Bejegyzés hozzáadva: 2018. július 11.

Firmware

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A gyökérszintű jogosultsággal rendelkező rosszindulatú alkalmazások módosítani tudták az EFI-flashmemória területét.

Leírás: Frissített konfiguráció révén elhárult egy készülékkonfigurációs probléma.

CVE-2018-4251: Maxim Goryachy és Mark Ermolov

FontParser

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4211: Proteas (Qihoo 360 Nirvan Team)

Grand Central Dispatch

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Probléma állt fenn a jogosultságokat meghatározó plist-fájlok elemzésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4229: Jakob Rieck (@0xdead10cc; Security in Distributed Systems Group, University of Hamburg)

Grafikus illesztőprogramok

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy érvényesítési hibát.

CVE-2018-4159: Axis és pjf (IceSword Lab; Qihoo 360)

Hipervizor

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2018-4242: Zhuo Liang (Qihoo 360 Nirvan Team)

iBooks

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A magas hálózati jogosultságú támadók meg tudták hamisítani a jelszó megerősítésére szolgáló párbeszédpaneleket az iBooksban.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2018-4202: Jerry Decime

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy érvényesítési hibát.

CVE-2018-4141: anonim kutató, Zhao Qixun (@S0rryMybad; Qihoo 360 Vulcan Team)

IOFireWireAVC

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2018-4228: Benjamin Gnahm (@mitp0sh; Mentor Graphics)

IOGraphics

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4236: Zhao Qixun(@S0rryMybad; Qihoo 360 Vulcan Team)

IOHIDFamily

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4234: Proteas (Qihoo 360 Nirvan Team)

Kernel

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2018-4249: Kevin Backhouse (Semmle Ltd.)

Kernel

A következőkhöz érhető el: OS X El Capitan 10.11.6 és macOS Sierra 10.12.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Bizonyos körülmények között néhány operációs rendszer nem számított Intel-architektúrájú hibakeresési kivételre bizonyos instrukciók után, illetve nem kezelte azt megfelelően. Úgy tűnik, hogy az instrukciók egyik nem dokumentált mellékhatása okozta a problémát. A támadók a kivételkezelés kihasználásával hozzá tudtak férni a rendszermag módhoz (Ring 0), és így el tudták érni a bizalmas memóriát, illetve vezérelni tudták az operációs rendszer egyes folyamatait.

CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox; Everdox Tech LLC)

Kernel

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2018-4241: Ian Beer (Google Project Zero)

CVE-2018-4243: Ian Beer (Google Project Zero)

libxpc

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2018-4237: Samuel Groß (@5aelo), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Mail

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: Előfordult, hogy a támadók ki tudták szivárogtatni az S/MIME-titkosítású e-mailek tartalmát.

Leírás: Hiba lépett fel a Mailben a titkosított levelek kezelésekor. A Mailben a MIME hatékonyabb izolációjával hárult el a probléma.

CVE-2018-4227: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum), Jörg Schwenk (Ruhr University Bochum)

Üzenetek

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A helyi felhasználók személyes adatok eltulajdonítására irányuló támadásokat tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárult egy beszúrási probléma.

CVE-2018-4235: Anurodh Pokharel (Salesforce.com)

Üzenetek

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Az üzenetek hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2018-4240: Sriram (@Sri_Hxor; Primefort Pvt. Ltd)

NVIDIA grafikus illesztőprogramok

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2018-4230: Ian Beer (Google Project Zero)

Biztonság

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A rosszindulatú webhelyek nyomon tudták követni a felhasználókat klienstanúsítványok segítségével.

Leírás: Hiba lépett fel az S-MIME-tanúsítványok kezelésekor. Az S-MIME-tanúsítványok hatékonyabb ellenőrzésével hárult el a probléma.

CVE-2018-4221: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum), Jörg Schwenk (Ruhr University Bochum)

Biztonság

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták az állandó fiókazonosítókat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

Biztonság

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták az állandó készülékazonosítókat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Biztonság

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A helyi felhasználók módosítani tudták a Kulcskarika állapotát.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2018-4225: Abraham Masri (@cheesecakeufo)

Biztonság

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy engedélyekkel kapcsolatos problémát.

CVE-2018-4226: Abraham Masri (@cheesecakeufo)

Beszéd

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Probléma lépett fel a sandbox esetén a mikrofonhoz való hozzáférés kezelésekor. A mikrofonhoz való hozzáférés hatékonyabb kezelésével hárult el a probléma.

CVE-2018-4184: Jakob Rieck (@0xdead10cc; Security in Distributed Systems Group, University of Hamburg)

UIKit

A következőhöz érhető el: macOS High Sierra 10.13.4.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szöveges fájlok feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Ellenőrzési hiba lépett fel a szövegek kezelésekor. A szövegek hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2018-4198: Hunter Byrnes

Windows Server

A következőkhöz érhető el: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 és macOS High Sierra 10.13.4.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4193: Markus Gaasedelen, Nick Burnett és Patrick Biernat (Ret2 Systems, Inc), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Richard Zhu (fluorescence), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: