Mengenai konten keamanan macOS High Sierra 10.13.5, Pembaruan Keamanan 2018-003 Sierra, Pembaruan Keamanan 2018-003 El Capitan
Dokumen ini menjelaskan mengenai konten keamanan macOS High Sierra 10.13.5, Pembaruan Keamanan 2018-003 Sierra, Pembaruan Keamanan 2018-003 El Capitan.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
macOS High Sierra 10.13.5, Pembaruan Keamanan 2018-003 Sierra, Pembaruan Keamanan 2018-003 El Capitan
Accessibility Framework
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah pengungkapan informasi muncul di Accessibility Framework. Masalah ini telah diatasi melalui pengelolaan memori yang ditingkatkan.
CVE-2018-4196: Alex Plaskett, Georgi Geshev dan Fabian Beterke dari MWR Labs bekerja sama dengan Zero Day Initiative dari Trend Micro, dan WanderingGlitch dari Trend Micro Zero Day Initiative
AMD
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Pengguna lokal dapat membaca memori kernel
Deskripsi: Terjadi masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah ini telah diatasi dengan validasi input yang ditingkatkan.
CVE-2018-4253: shrek_wzw dari Qihoo 360 Nirvan Team
AMD
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Pengguna lokal dapat membaca memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang lebih baik.
CVE-2018-4256: shrek_wzw dari Qihoo 360 Nirvan Team
AMD
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Pengguna lokal dapat membaca memori kernel
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang lebih baik.
CVE-2018-4255: shrek_wzw dari Qihoo 360 Nirvan Team
AMD
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah validasi input muncul di kernel. Masalah ini telah diatasi dengan validasi yang lebih baik.
CVE-2018-4254: peneliti anonim
AMD
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah validasi input muncul di kernel. Masalah ini telah diatasi dengan validasi yang lebih baik.
CVE-2018-4254: shrek_wzw dari Qihoo 360 Nirvan Team
AppleGraphicsControl
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2018-4258: shrek_wzw dari Qihoo 360 Nirvan Team
AppleGraphicsPowerManagement
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kelebihan buffer telah diatasi dengan meningkatkan validasi ukuran.
CVE-2018-4257: shrek_wzw dari Qihoo 360 Nirvan Team
apache_mod_php
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Beberapa masalah dalam php telah diatasi dalam pembaruan ini
Deskripsi: Masalah ini telah diatasi dengan memperbarui ke php versi 7.1.16.
CVE-2018-7584: Wei Lei dan Liu Yang dari Nanyang Technological University
ATS
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi yang berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-2018-4219: Mohamed Ghannam (@_simo36)
Bluetooth
Tersedia untuk: MacBook Pro (Retina, 15 inci, Pertengahan 2015), MacBook Pro (Retina, 15 inci, 2015), MacBook Pro (Retina, 13 inci, Awal 2015), MacBook Pro (15 inci, 2017), MacBook Pro (15 inci, 2016), MacBook Pro (13 inci, Akhir 2016, Dua Port Thunderbolt 3), MacBook Pro (13 inci, Akhir 2016, Empat Port Thunderbolt 3), MacBook Pro (13 inci, 2017, Empat Port Thunderbolt 3), MacBook (Retina, 12 inci, Awal 2016), MacBook (Retina, 12 inci, Awal 2015), MacBook (Retina, 12 inci, 2017), iMac Pro, iMac (Retina 5K, 27 inci, Akhir 2015), iMac (Retina 5K, 27 inci, 2017), iMac (Retina 4K, 21,5 inci, Akhir 2015), iMac (Retina 4K, 21,5 inci, 2017), iMac (21,5 inci, Akhir 2015), dan iMac (21,5 inci, 2017)
Dampak: Penyerang dalam posisi jaringan yang memiliki hak istimewa mungkin dapat mencegat lalu lintas Bluetooth
Deskripsi: Masalah validasi input muncul di Bluetooth. Masalah ini telah diatasi dengan validasi yang ditingkatkan.
CVE-2018-5383: Lior Neumann dan Eli Biham
Bluetooth
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel.
Deskripsi: Masalah pengungkapan informasi muncul di properti perangkat. Masalah ini telah diatasi dengan pengelolaan objek yang ditingkatkan.
CVE-2018-4171: shrek_wzw dari Qihoo 360 Nirvan Team
CoreGraphics
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2018-4194: Jihui Lu dari Tencent KeenLab, Yu Zhou dari Ant-financial Light-Year Security Lab
CUPS
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Penyerang lokal dapat memodifikasi proses lain tanpa pemeriksaan hak
Deskripsi: Masalah muncul di CUPS. Masalah ini telah diatasi dengan pembatasan akses yang ditingkatkan.
CVE-2018-4180: Dan Bastone dari Gotham Digital Science
CUPS
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Pengguna lokal mungkin dapat membaca file acak sebagai root
Deskripsi: Masalah muncul di CUPS. Masalah ini telah diatasi dengan pembatasan akses yang ditingkatkan.
CVE-2018-4181: Eric Rafaloff dan John Dunlap dari Gotham Digital Science
CUPS
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan pada CUPS.
CVE-2018-4182: Dan Bastone dari Gotham Digital Science
CUPS
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.
CVE-2018-4183: Dan Bastone dan Eric Rafaloff dari Gotham Digital Science
EFI
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Penyerang dengan akses fisik ke perangkat dapat meningkatkan hak istimewa
Deskripsi: Masalah validasi telah diatasi dengan logika yang ditingkatkan.
CVE-2018-4478: peneliti anonim, peneliti anonim, Ben Erickson dari Trusted Computer Consulting, LLC
Firmware
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi berbahaya dengan hak istimewa dasar mungkin dapat memodifikasi bidang memori flash EFI
Deskripsi: Masalah konfigurasi perangkat telah diatasi dengan konfigurasi terbaru.
CVE-2018-4251: Maxim Goryachy dan Mark Ermolov
FontParser
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi yang ditingkatkan.
CVE-2018-4211: Proteas dari Qihoo 360 Nirvan Team
Grand Central Dispatch
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah muncul saat menguraikan plist hak. Masalah ini telah diatasi dengan validasi yang lebih baik.
CVE-2018-4229: Jakob Rieck (@0xdead10cc) dari Security di Distributed Systems Group, University of Hamburg
Driver Grafis
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2018-4159: Axis dan pjf dari IceSword Lab di Qihoo 360
Hypervisor
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kerentanan kerusakan memori telah diatasi melalui penguncian yang ditingkatkan.
CVE-2018-4242: Zhuo Liang dari Qihoo 360 Nirvan Team
iBooks
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Seorang penyerang di posisi jaringan dengan hak istimewa mungkin dapat mengakali permintaan kata sandi di iBooks
Penjelasan: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.
CVE-2018-4202: Jerry Decime
Layanan Identitas
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi berbahaya mungkin dapat mengakses ID Apple pengguna lokal
Deskripsi: Masalah privasi dalam penanganan arsip Open Directory telah diatasi dengan pengindeksan yang ditingkatkan.
CVE-2018-4217: Jacob Greenfield dari Commonwealth School
Driver Intel Graphics
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2018-4141: peneliti anonim, Zhao Qixun (@S0rryMybad) dari Qihoo 360 Vulcan Team
IOFireWireAVC
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.
CVE-2018-4228: Benjamin Gnahm (@mitp0sh) dari Mentor Graphics
IOGraphics
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4236: Zhao Qixun (@S0rryMybad) dari Qihoo 360 Vulcan Team
IOHIDFamily
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4234: Proteas dari Qihoo 360 Nirvan Team
Kernel
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4249: Kevin Backhouse dari Semmle Ltd.
Kernel
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Dalam situasi tertentu, sejumlah sistem operasi tidak dapat mengantisipasi atau menangani pengecualian debug arsitektur Intel dengan semestinya setelah melakukan instruksi tertentu. Masalah tampaknya terjadi akibat dari instruksi yang tidak terdokumentasi. Penyerang mungkin menggunakan penanganan pengecualian ini untuk mendapatkan akses ke Ring 0 dan mengakses memori sensitif atau mengontrol proses sistem operasi.
CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox) dari Everdox Tech LLC
Kernel
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2018-4241: Ian Beer dari Google Project Zero
CVE-2018-4243: Ian Beer dari Google Project Zero
libxpc
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Sebuah aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2018-4237: Samuel Groß (@5aelo) bekerja sama dengan Zero Day Initiative dari Trend Micro
libxpc
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4404: Samuel Groß (@5aelo) bekerja sama dengan Zero Day Initiative dari Trend Micro
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Penyerang mungkin dapat menarik konten dari email yang dienkripsi S/MIME
Deskripsi: Masalah muncul saat menangani Mail yang dienkripsi. Masalah ini telah diatasi dengan pemisahan MIME di Mail yang ditingkatkan.
CVE-2018-4227: Damian Poddebniak dari Münster University of Applied Sciences, Christian Dresen dari Münster University of Applied Sciences, Jens Müller dari Ruhr University Bochum, Fabian Ising dari Münster University of Applied Sciences, Sebastian Schinzel dari Münster University of Applied Sciences, Simon Friedberger dari KU Leuven, Juraj Somorovsky dari Ruhr University Bochum, Jörg Schwenk dari Ruhr University Bochum
Message
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Pengguna lokal dapat melakukan serangan penyamaran
Deskripsi: Masalah injeksi telah diatasi dengan validasi input yang ditingkatkan.
CVE-2018-4235: Anurodh Pokharel dari Salesforce.com
Pesan
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Memproses pesan perusak yang berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan validasi pesan yang ditingkatkan.
CVE-2018-4240: Sriram (@Sri_Hxor) dari PrimeFort Pvt. Ltd
Driver Grafis NVIDIA
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.
CVE-2018-4230: Ian Beer dari Google Project Zero
Security
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Pengguna dapat dilacak oleh situs web berbahaya menggunakan sertifikat klien
Deskripsi: Masalah muncul saat menangani sertifikat S-MIME. Masalah ini telah diatasi dengan validasi nomor sertifikat S-MIME yang ditingkatkan.
CVE-2018-4221: Damian Poddebniak dari Münster University of Applied Sciences, Christian Dresen dari Münster University of Applied Sciences, Jens Müller dari Ruhr University Bochum, Fabian Ising dari Münster University of Applied Sciences, Sebastian Schinzel dari Münster University of Applied Sciences, Simon Friedberger dari KU Leuven, Juraj Somorovsky dari Ruhr University Bochum, Jörg Schwenk dari Ruhr University Bochum
Security
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Pengguna lokal mungkin dapat membaca pengenal akun permanen
Deskripsi: Masalah otorisasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2018-4223: Abraham Masri (@cheesecakeufo)
Security
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Pengguna lokal mungkin dapat membaca pengenal perangkat permanen
Deskripsi: Masalah otorisasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2018-4224: Abraham Masri (@cheesecakeufo)
Security
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Pengguna lokal mungkin dapat memodifikasi status Rantai Kunci
Deskripsi: Masalah otorisasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2018-4225: Abraham Masri (@cheesecakeufo)
Security
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna
Deskripsi: Masalah otorisasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2018-4226: Abraham Masri (@cheesecakeufo)
Ucapan
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah sandbox muncul saat menangani akses mikrofon. Masalah ini telah diatasi dengan penanganan akses mikrofon yang ditingkatkan.
CVE-2018-4184: Jakob Rieck (@0xdead10cc) dari Security di Distributed Systems Group, University of Hamburg
UIKit
Tersedia untuk: macOS High Sierra 10.13.4
Dampak: Memproses file teks perusak berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah validasi muncul saat menangani teks. Masalah ini telah diatasi dengan validasi teks yang ditingkatkan.
CVE-2018-4198: Hunter Byrnes
Windows Server
Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4193: Markus Gaasedelen, Amy Burnett, dan Patrick Biernat dari Ret2 Systems, Inc bekerja sama dengan Zero Day Initiative dari Trend Micro, Richard Zhu (fluorescence) bekerja sama dengan Zero Day Initiative dari Trend Micro
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.