Mengenai konten keamanan macOS High Sierra 10.13.4, Pembaruan Keamanan 2018-002 Sierra, dan Pembaruan Keamanan 2018-002 El Capitan

Dokumen ini menjelaskan mengenai konten keamanan macOS High Sierra 10.13.4, Pembaruan Keamanan 2018-002 Sierra, dan Pembaruan Keamanan 2018-002 El Capitan.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

macOS High Sierra 10.13.4, Pembaruan Keamanan 2018-002 Sierra, dan Pembaruan Keamanan 2018-002 El Capitan

Dirilis 29 Maret 2018

Kerangka Kerja Admin

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Kata sandi yang diberikan ke sysadminctl mungkin diungkapkan ke pengguna lokal lainnya

Deskripsi: Alat baris perintah sysadminctl mewajibkan kata sandi tersebut diteruskan di argumennya, yang berpotensi mengungkapkan kata sandi ke pengguna lokal lainnya. Pembaruan ini membuat parameter kata sandi menjadi opsional, dan sysadminctl akan meminta kata sandi jika diperlukan.

CVE-2018-4170: peneliti anonim

APFS

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Kata sandi volume APFS mungkin tiba-tiba terpotong

Deskripsi: Masalah injeksi telah diatasi melalui validasi input yang ditingkatkan.

CVE-2018-4105: David J Beitey (@davidjb_), Geoffrey Bugniot

ATS

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Dampak: Memproses file perusak yang berbahaya dapat mengungkapkan informasi pengguna

Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi melalui validasi symlink yang ditingkatkan.

CVE-2018-4112: Haik Aftandilian dari Mozilla

Sesi CFNetwork

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Dampak: Sebuah aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2018-4166: Samuel Groß (@5aelo)

CoreFoundation

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Dampak: Sebuah aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Memproses string perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah penolakan layanan telah diatasi melalui penanganan memori yang ditingkatkan.

CVE-2018-4142: Robin Leroy dari Google Switzerland GmbH

CoreTypes

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Dampak: Memproses laman web perusak yang berbahaya dapat mengakibatkan peningkatan image disk

Deskripsi: Masalah logika ditangani dengan meningkatkan pembatasan.

CVE-2017-13890: Apple, Theodor Ragnar Gislason dari Syndis

curl

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Dampak: Beberapa masalah di curl

Deskripsi: Kelebihan bilangan bulat terjadi di curl. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

CVE-2017-8816: Alex Nichols

Entri diperbarui 30 Maret 2018

Gambar Disk

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Dampak: Memasang gambar disk yang berbahaya dapat menyebabkan peluncuran aplikasi

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2018-4176: Theodor Ragnar Gislason dari Syndis

Manajemen Disk

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Kata sandi volume APFS mungkin tiba-tiba terpotong

Deskripsi: Masalah injeksi telah diatasi melalui validasi input yang ditingkatkan.

CVE-2018-4108: Kamatham Chaitanya dari ShiftLeft Inc., peneliti anonim

Kejadian Sistem File

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Sebuah aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2018-4167: Samuel Groß (@5aelo)

iCloud Drive

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Dampak: Sebuah aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2018-4151: Samuel Groß (@5aelo)

Driver Intel Graphics

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4132: Axis dan pjf dari IceSword Lab di Qihoo 360

IOFireWireFamily

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4135: Xiaolong Bai dan Min (Spark) Zheng dari Alibaba Inc.

Kernel

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4150: peneliti anonim

Kernel

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2018-4104: National Cyber Security Centre (NCSC) Inggris

Kernel

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4143: derrek (@derrekr6)

Kernel

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Pembacaan di luar batas telah diatasi melalui pemeriksaan batas yang ditingkatkan.

CVE-2018-4136: Jonas Jensen dari lgtm.com dan Semmle

Kernel

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Pembacaan di luar batas telah diatasi melalui pemeriksaan batas yang ditingkatkan.

CVE-2018-4160: Jonas Jensen dari lgtm.com dan Semmle

Kernel

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel

Deskripsi: Masalah pengungkapan informasi terjadi saat transisi kondisi program. Masalah ini telah diatasi dengan pengelolaan kondisi yang lebih baik.

CVE-2018-4185: Brandon Azad

Entri ditambahkan pada 19 Juli 2018

kext tools

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah logika muncul sehingga menyebabkan kerusakan memori. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2018-4139: Ian Beer dari Google Project Zero

LaunchServices

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Dampak: Aplikasi perusak yang berbahaya mungkin dapat melewati penerapan melewati penandatanganan kode

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2018-4175: Theodor Ragnar Gislason dari Syndis

Pengesahan Lokal

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Pengguna lokal mungkin dapat melihat informasi sensitif pengguna

Deskripsi: Terjadi masalah saat menangani PIN smartcard. Masalah ini telah diatasi dengan logik tambahan.

CVE-2018-4179: David Fuhrmann

Entri ditambahkan pada 13 April 2018

Mail

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat menarik konten email yang dienkripsi S/MIME

Deskripsi: Masalah muncul saat menangani email S/MIME HTML. Masalah ini telah diatasi dengan tidak memuat sumber daya jarak jauh di pesan yang dienkripsi S/MIME secara default jika pesan tersebut memiliki tanda tangan S/MIME yang tidak valid atau tidak memiliki tanda tangan S/MIME.

CVE-2018-4111: Damian Poddebniak dari Münster University of Applied Sciences, Christian Dresen dari Münster University of Applied Sciences, Jens Müller dari Ruhr University Bochum, Fabian Ising dari Münster University of Applied Sciences, Sebastian Schinzel dari Münster University of Applied Sciences, Simon Friedberger dari KU Leuven, Juraj Somorovsky dari Ruhr University Bochum, Jörg Schwenk dari Ruhr University Bochum

Entri diperbarui 13 April 2018

Mail

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat menghalangi konten email yang dienkripsi S/MIME

Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2018-4174: John McCombs dari Integrated Mapping Ltd, McClain Looney dari LoonSoft Inc.

Entri diperbarui 13 April 2018

Catatan

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Sebuah aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2018-4152: Samuel Groß (@5aelo)

NSURLSession

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Sebuah aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2018-4166: Samuel Groß (@5aelo)

Driver Grafis NVIDIA

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2018-4138: Axis dan pjf dari IceSword Lab di Qihoo 360

PDFKit

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Mengeklik URL di PDF dapat mengarahkan Anda ke situs web berbahaya

Deskripsi: Masalah muncul saat menguraikan URL di PDF. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

CVE-2018-4107: Nick Safford dari Innovia Technology

Entri diperbarui 9 April 2018

PluginKit

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Dampak: Sebuah aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2018-4156: Samuel Groß (@5aelo)

Quick Look

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Sebuah aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2018-4157: Samuel Groß (@5aelo)

Remote Management

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Pengguna jarak jauh dapat memperoleh hak istimewa dasar

Deskripsi: Masalah izin muncul di Remote Management. Masalah ini telah diatasi melalui validasi izin yang ditingkatkan.

CVE-2018-4298: Tim van der Werff dari SupCloud

Entri ditambahkan pada 19 Juli 2018

Security

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Dampak: Aplikasi yang berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Kelebihan buffer telah diatasi dengan meningkatkan validasi ukuran.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

SIP

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah konfigurasi telah diatasi melalui pembatasan tambahan.

CVE-2017-13911: peneliti anonim

Entri ditambahkan pada 8 Agustus 2018

Bar Status

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Aplikasi berbahaya mungkin dapat mengakses mikrofon tanpa pemberitahuan kepada pengguna

Deskripsi: Masalah konsistensi muncul saat memutuskan kapan menampilkan indikator penggunaan mikrofon. Masalah tersebut telah diatasi dengan validasi kapabilitas yang lebih baik.

CVE-2018-4173: Joshua Pokotilow dari pingmd

Entri ditambahkan pada 9 April 2018

Penyimpanan

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Dampak: Sebuah aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2018-4154: Samuel Groß (@5aelo)

Preferensi Sistem

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Profil konfigurasi mungkin dapat melakukan kekeliruan dengan tetap berlaku setelah penghapusan

Deskripsi: Masalah muncul di CFPreferences. Masalah ini telah diatasi melalui pembersihan preferensi yang ditingkatkan.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov, dan Matt Vlasach dari Wandera

Terminal

Tersedia untuk: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Dampak: Menempelkan konten berbahaya dapat menyebabkan pemalsuan eksekusi perintah arbitrer

Deskripsi: Masalah injeksi perintah muncul saat menangani Mode Tempel Dalam Kurung. Masalah ini telah diatasi dengan peningkatan validasi karakter khusus.

CVE-2018-4106: Simon Hosie

WindowServer

Tersedia untuk: macOS High Sierra 10.13.3

Dampak: Aplikasi tanpa hak istimewa mungkin dapat mencatat ketukan tombol yang dimasukkan ke dalam aplikasi lain, bahkan ketika mode input yang aman diaktifkan

Deskripsi: Dengan memindai status kunci, aplikasi tanpa hak istimewa dapat mencatat ketukan tombol yang dimasukkan ke dalam aplikasi lain, bahkan ketika mode input yang aman diaktifkan. Masalah ini telah diatasi melalui pengelolaan status yang ditingkatkan.

CVE-2018-4131: Andreas Hegenberg dari folivora.AI GmbH

Penghargaan tambahan

Mail

Kami ingin mengucapkan terima kasih kepada Sabri Haddouche (@pwnsdx) dari Wire Swiss GmbH atas bantuannya.

Entri ditambahkan pada 21 Juni 2018

Security

Kami ingin mengapresiasi Abraham Masri (@cheesecakeufo) atas bantuannya.

Entri ditambahkan pada 13 April 2018

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: