A macOS Mojave 10.14.2 biztonsági változásjegyzéke, a High Sierra 2018-003-as biztonsági frissítése, a Sierra 2018-006-os biztonsági frissítése

Ez a dokumentum a macOS Mojave 10.14.2 biztonsági változásjegyzékét, a High Sierra 2018-003-as biztonsági frissítését és a Sierra 2018-006-os biztonsági frissítését ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

macOS Mojave 10.14.2, a High Sierra 2018-003-as biztonsági frissítése, a Sierra 2018-006-os biztonsági frissítése

Kiadási dátum: 2018. december 5.

Airport

A következőhöz érhető el: macOS Mojave 10.14.1.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2018-4303: Mohamed Ghannam (@_simo36)

Bejegyzés frissítve: 2018. december 21.

AMD

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2018-4462: cocoahuke, Lilang Wu és Moony Li (TrendMicro Mobile Security Research Team), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés frissítve: 2018. december 21.

Carbon Core

A következőhöz érhető el: macOS Mojave 10.14.1.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)

Lemezképek

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4465: Pangu Team

Hipervizor

A következőhöz érhető el: macOS Mojave 10.14.1.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise és Fred Jacobs (Virtual Machine Monitor Group of VMware, Inc.)

Bejegyzés hozzáadva: 2019. január 22.

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS Mojave 10.14.1.

Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2018-4452: Liu Long (Qihoo 360 Vulcan Team)

Bejegyzés hozzáadva: 2019. január 22.

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS Mojave 10.14.1.

Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2018-4434: Zhuo Liang (Qihoo 360 Nirvan Team)

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS Sierra 10.12.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4456: Tyler Bohan (Cisco Talos)

Bejegyzés hozzáadva: 2018. december 21-én, frissítve 2019. január 22-én.

Intel grafikus illesztőprogram

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2018-4421: Tyler Bohan (Cisco Talos)

Bejegyzés hozzáadva: 2018. december 21.

IOHIDFamily

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4427: Pangu Team

Kernel

A következőhöz érhető el: macOS Mojave 10.14.1.

Érintett terület: A magas jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Elhárítottunk egy szolgáltatásmegtagadási hibát a sebezhető kód eltávolításával.

CVE-2018-4460: Kevin Backhouse (Semmle Security Research Team)

Kernel

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.1.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2018-4431: Egy független biztonsági kutató jelentette ezt a biztonsági rést a Beyond Security által vezetett SecuriTeam Secure Disclosure programnak

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4447: Juwei Lin(@panicaII) és Zhengyu Dong (TrendMicro Mobile Security Team), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés frissítve: 2018. december 18.

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2018-4435: Jann Horn (Google Project Zero), Juwei Lin(@panicaII) és Junzhi Lu (TrendMicro Mobile Security Team), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés frissítve: 2018. december 18.

Kernel

A következőhöz érhető el: macOS Mojave 10.14.1.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4461: Ian Beer (Google Project Zero)

WindowServer

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4449: Hanqing Zhao, Yufeng Ruan és Kun Yang (Chaitin Security Research Lab)

CVE-2018-4450: Hanqing Zhao, Yufeng Ruan és Kun Yang (Chaitin Security Research Lab)

További köszönetnyilvánítás

LibreSSL

Köszönjük Keegan Ryan (NCC Group) segítségét.

NetAuth

Köszönjük Vladimir Ivanov (Digital Security) segítségét.

Simple certificate enrollment protocol (SCEP)

Köszönjük Tim Cappalli (Aruba) és a Hewlett Packard Enterprise vállalat segítségét.

Time Machine

Köszönjük Matthew Thomas (Verisign) segítségét.

Bejegyzés hozzáadva: 2019. január 22.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: