A macOS Mojave 10.14 biztonsági változásjegyzéke

Ez a dokumentum a macOS Mojave 10.14 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

macOS Mojave 10.14

Kiadási dátum: 2018. szeptember 24.

Bluetooth

A következőkhöz áll rendelkezésre: iMac (21, 5 hüvelykes, 2012 vége), iMac (27 hüvelykes, 2012 vége), iMac (21,5 hüvelykes, 2013 vége), iMac (21,5 hüvelykes, 2014 közepe), iMac (5K-s Retina kijelző, 27-hüvelykes, 2014 vége), iMac (21,5 hüvelykes, 2015 vége), Mac mini (2011 közepe), Mac mini Server (2011 közepe), Mac mini (2012 vége), Mac mini Server (2012 vége), Mac mini (2014 vége), Mac Pro (2013 vége), MacBook Air (11 hüvelykes, 2011 közepe), MacBook Air (13 hüvelykes, 2011 közepe), MacBook Air (11 hüvelykes, 2012 közepe), MacBook Air (13 hüvelykes, 2012 közepe), MacBook Air (11 hüvelykes, 2013 közepe), MacBook Air (13 hüvelykes, 2013 közepe), MacBook Air (11 hüvelykes, 2015 eleje), MacBook Air (13 hüvelykes, 2015 eleje), MacBook Pro (13 hüvelykes, 2012 közepe), MacBook Pro (15 hüvelykes, 2012 közepe), MacBook Pro (Retina kijelzős, 13 hüvelykes, 2013 eleje), MacBook Pro (Retina kijelzős, 15 hüvelykes, 2013 eleje), MacBook Pro (Retina kijelzős, 13 hüvelykes, 2013 vége) és MacBook Pro (Retina kijelzős, 15 hüvelykes, 2013 vége)

Érintett terület: A magas hálózati jogosultságú támadók adott esetben hozzá tudtak férni a Bluetooth-forgalomhoz.

Leírás: Beviteli érvényesség-ellenőrzési probléma állt fenn a Bluetooth esetén. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-5383: Lior Neumann és Eli Biham

 

A lenti frissítések a következő Mac-modellekre telepíthetők: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (összes modell), Mac Pro (2013 végén, 2010 közepén és 2012 közepén forgalomba hozott modellek, amelyekben az ajánlott Metal-kompatibilis grafikus processzor található meg, például az MSI Gaming Radeon RX 560 vagy a Sapphire Radeon PULSE RX 580)

afpserver

Érintett terület: A távoli támadók meg tudtak támadni AFP-kiszolgálókat HTTP-klienseken keresztül.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2018-4295: Jianjun Chen (@whucjj; Tsinghua University) és UC Berkeley

Bejegyzés hozzáadva: 2018. október 30.

App Store

Érintett terület: A rosszindulatú alkalmazások meg tudták határozni a számítógép tulajdonosának Apple ID azonosítóját.

Leírás: Engedélyezési hiba lépett fel az Apple ID kezelésekor. Hatékonyabb hozzáférés-ellenőrzéssel hárították el a problémát.

CVE-2018-4324: Sergii Kryvoblotskyi (MacPaw Inc.)

AppleGraphicsControl

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy érvényesítési hibát.

CVE-2018-4417: Lee (Information Security Lab Yonsei University), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2018. október 30.

Alkalmazástűzfal

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2018-4353: Abhinav Bansal (LinkedIn Inc.)

A bejegyzés frissítve: 2018. október 30.

APR

Leírás: Több, puffertúlcsordulást okozó probléma állt fenn a Perlben.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több problémát a Perlben.

CVE-2017-12613: Craig Young (Tripwire VERT)

CVE-2017-12618: Craig Young (Tripwire VERT)

Bejegyzés hozzáadva: 2018. október 30.

ATS

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4411: lilang wu moony Li (Trend Micro), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2018. október 30.

ATS

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Bejegyzés hozzáadva: 2018. október 30.

Automatikus feloldás

Érintett terület: A rosszindulatú alkalmazások hozzá tudtak férni a helyi felhasználók AppleID azonosítójához.

Leírás: Érvényesítési hiba lépett fel a jogosultsági ellenőrzések során. A folyamatjogosultság hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai (Alibaba Inc.)

CFNetwork

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4126: Bruno Keith (@bkth_), a Trend Micro Zero Day Initiative kezdeményezésének keretében

Bejegyzés hozzáadva: 2018. október 30.

CoreFoundation

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4412: National Cyber Security Centre (NCSC, Egyesült Királyság)

Bejegyzés hozzáadva: 2018. október 30.

CoreFoundation

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4414: National Cyber Security Centre (NCSC, Egyesült Királyság)

Bejegyzés hozzáadva: 2018. október 30.

CoreText

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szövegfájlok feldolgozásakor tetszőleges kódvégrehajtásra került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2018-4347: anonim kutató

Bejegyzés hozzáadva: 2018. október 30.

Crash Reporter

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy érvényesítési hibát.

CVE-2018-4333: Brandon Azad

CUPS

Érintett terület: Bizonyos konfigurációk esetén távoli támadók le tudták cserélni tetszőleges tartalomra a nyomtatószerverről származó üzenetet.

Leírás: Hatékonyabb ellenőrzéssel elhárult egy beszúrási probléma.

CVE-2018-4153: Michael Hanselmann (hansmi.ch)

Bejegyzés hozzáadva: 2018. október 30.

CUPS

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2018-4406: Michael Hanselmann (hansmi.ch)

Bejegyzés hozzáadva: 2018. október 30.

Szótár

Érintett terület: Az ártó szándékkal létrehozott szótárfájlok elemzésekor felfedhetők voltak a felhasználói adatok.

Leírás: Érvényesítési hiba állt fenn, ami lehetőséget adott a helyi fájlok elérésére. Beviteltisztítással hárítottuk el a problémát.

CVE-2018-4346: Wojciech Reguła (@_r3ggi; SecuRing)

Bejegyzés hozzáadva: 2018. október 30.

Grand Central Dispatch

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4426: Brandon Azad

Bejegyzés hozzáadva: 2018. október 30.

Heimdal

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Bejegyzés hozzáadva: 2018. október 30.

Hipervizor

Érintett terület: A spekulatív végrehajtást és a címfordításokat használó mikroprocesszorokat tartalmazó rendszerek lehetővé tették a jogosulatlan hozzáférést az L1 adatgyorsítótárban lévő információkhoz az olyan támadóknak, akik helyi felhasználói hozzáféréssel rendelkeztek vendég operációs rendszer jogosultsággal egy végső oldalhiba és oldalcsatornás elemzés révén.

Leírás: Elhárult egy információfelfedéssel kapcsolatos probléma az L1-adatgyorsítótár virtuális gépbejegyzésnél való kiürítésével.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse és Thomas F. Wenisch (University of Michigan), Mark Silberstein és Marina Minkin (Technion), Raoul Strackx, Jo Van Bulck és Frank Piessens (KU Leuven), Rodrigo Branco, Henrique Kawakami, Ke Sun és Kekai Hu (Intel Corporation), Yuval Yarom (The University of Adelaide)

Bejegyzés hozzáadva: 2018. október 30.

iBooks

Érintett terület: Az ártó szándékkal létrehozott iBooks-fájlok elemzésekor felfedhetők voltak a felhasználói adatok.

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2018-4355: evi1m0 (bilibili security team)

Bejegyzés hozzáadva: 2018. október 30.

Intel grafikus illesztőprogram

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy érvényesítési hibát.

CVE-2018-4396: Yu Wang (Didi Research America)

CVE-2018-4418: Yu Wang (Didi Research America)

Bejegyzés hozzáadva: 2018. október 30.

Intel grafikus illesztőprogram

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4351: Appology Team @ Theori, a Trend Micro Zero Day Initiative kezdeményezésének keretében

Bejegyzés hozzáadva: 2018. október 30.

Intel grafikus illesztőprogram

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4350: Yu Wang (Didi Research America)

Bejegyzés hozzáadva: 2018. október 30.

Intel grafikus illesztőprogram

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4334: Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2018. október 30.

IOHIDFamily

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát

CVE-2018-4408: Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2018. október 30.

IOKit

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4341: Ian Beer (Google Project Zero)

CVE-2018-4354: Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2018. október 30.

IOKit

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4383: Apple

Bejegyzés hozzáadva: 2018. október 30.

IOUserEthernet

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4401: Apple

Bejegyzés hozzáadva: 2018. október 30.

Kernel

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Egy hozzáférési hiba állt fenn a privilegizált API-hívások esetén. További korlátozásokkal hárítottuk el a problémát.

CVE-2018-4399: Fabiano Anemone (@anoane)

Bejegyzés hozzáadva: 2018. október 30.

Kernel

Érintett terület: A magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4407: Kevin Backhouse (Semmle Ltd.)

Bejegyzés hozzáadva: 2018. október 30.

Kernel

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer (Google Project Zero)

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: National Cyber Security Centre (NCSC, Egyesült Királyság)

CVE-2018-4425: cc, a Trend Micro Zero Day Initiative kezdeményezésének keretében, Juwei Lin (@panicaII; Trend Micro), a Trend Micro Zero Day Initiative kezdeményezésének keretében

A bejegyzés frissítve: 2018. október 30.

LibreSSL

Érintett terület: A frissítés keretében több hiba is elhárult a libressl vonatkozásában.

Leírás: Több hibát elhárítottak a libressl 2.6.4-es verziójára való frissítéssel.

CVE-2015-3194

CVE-2015-5333

CVE-2015-5334

CVE-2016-702

Bejegyzés hozzáadva: 2018. október 30.

Bejelentkezési ablak

Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2018-4348: Ken Gannon (MWR InfoSecurity) és Christian Demko (MWR InfoSecurity)

Bejegyzés hozzáadva: 2018. október 30.

mDNSOffloadUserClient

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2018-4326: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének keretében, Zhuo Liang (Qihoo 360 Nirvan Team)

Bejegyzés hozzáadva: 2018. október 30.

MediaRemote

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2018-4310: CodeColorist (Ant-Financial LightYear Labs)

Bejegyzés hozzáadva: 2018. október 30.

Microcode

Érintett terület: A spekulatív végrehajtást és a címek előtt spekulatív memóriaolvasást használó mikroprocesszorokat tartalmazó rendszerek lehetővé tették a helyi felhasználói hozzáférést alkalmazó támadók számára a jogosulatlan hozzáférést információkhoz a gyorsítótár oldalcsatornás elemzésével.

Leírás: Elhárult egy információfelfedéssel kapcsolatos probléma egy mikrokódfrissítés révén. Ez biztosítja, hogy a nemrég beírt címekből beolvasott régebbi adatokat ne lehessen olvasni egy spekulatív oldalcsatornából.

CVE-2018-3639: Jann Horn (@tehjh; Google Project Zero [GPZ]), Ken Johnson (Microsoft Security Response Center [MSRC])

Bejegyzés hozzáadva: 2018. október 30.

Biztonság

Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2018-4395: Patrick Wardle (Digita Security)

Bejegyzés hozzáadva: 2018. október 30.

Biztonság

Érintett terület: A támadók ki tudták használni az RC4 kriptografikus algoritmusban fennálló réseket.

Leírás: Az RC4 algoritmus eltávolításával hárítottuk el a problémát.

CVE-2016-1777: Pepi Zawodsky

Spotlight

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4393: Lufeng Li

Bejegyzés hozzáadva: 2018. október 30.

Symptom Framework

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.

CVE-2018-4203: Bruno Keith (@bkth_), a Trend Micro Zero Day Initiative kezdeményezésének keretében

Bejegyzés hozzáadva: 2018. október 30.

Szöveg

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szöveges fájlok feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2018-4304: jianan.huang (@Sevck)

Bejegyzés hozzáadva: 2018. október 30.

Wi-Fi

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy érvényesítési hibát.

CVE-2018-4338: Lee @ SECLAB (Yonsei University, a Trend Micro Zero Day Initiative programjának keretében)

Bejegyzés hozzáadva: 2018. október 23.

További köszönetnyilvánítás

Accessibility Framework

Köszönjük Ryan Govostes segítségét.

Core Data

Köszönjük Andreas Kurtz (@aykay; NESO Security Labs GmbH) segítségét.

CoreGraphics

Köszönjük Nitin Arya (Roblox Corporation) segítségét.

Mail

Köszönjük Alessandro Avagliano (Rocket Internet SE), John Whitehead (The New York Times), Kelvin Delbarre (Omicron Software Systems) és Zbyszek Żółkiewski segítségét.

Biztonság

Köszönjük Christoph Sinai, Daniel Dudek (@dannysapples; The Irish Times) és Filip Klubička (@lemoncloak; ADAPT Centre), a Dublin Institute of Technology, Csanády István (Shapr3D), Omar Barkawi (ITG Software, Inc.), Phil Caleno, Wilson Ding és egy anonim kutató segítségét.

SQLite

Köszönjük Andreas Kurtz (@aykay; NESO Security Labs GmbH) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: