Mengenai konten keamanan dari macOS Mojave 10.14
Dokumen ini menjelaskan konten keamanan dari macOS Mojave 10.14.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
macOS Mojave 10.14
Bluetooth
Tersedia untuk: iMac (21,5 inci, Akhir 2012), iMac (27 inci, Akhir 2012), iMac (21,5 inci, Akhir 2013), iMac (21,5 inci, Pertengahan 2014), iMac (Retina 5K, 27 inci, Akhir 2014), iMac (21,5 inci, Akhir 2015), Mac mini (Pertengahan 2011), Server Mac mini (Pertengahan 2011), Mac mini (Akhir 2012), Server Mac mini (Akhir 2012), Mac mini (Akhir 2014), Mac Pro (Akhir 2013), MacBook Air (11 inci, Pertengahan 2011), MacBook Air (13 inci, Pertengahan 2011), MacBook Air (11 inci, Pertengahan 2012), MacBook Air (13 inci, Pertengahan 2012), MacBook Air (11 inci, Pertengahan 2013), MacBook Air (13 inci, Pertengahan 2013), MacBook Air (11 inci, Awal 2015), MacBook Air (13 inci, Awal 2015), MacBook Pro (13 inci, Pertengahan 2012), MacBook Pro (15 inci, Pertengahan 2012), MacBook Pro (Retina, 13 inci, Awal 2013), MacBook Pro (Retina, 15 inci, Awal 2013), MacBook Pro (Retina, 13 inci, Akhir 2013), dan MacBook Pro (Retina, 15 inci, Akhir 2013)
Dampak: Penyerang dalam posisi jaringan yang memiliki hak istimewa mungkin dapat mencegat lalu lintas Bluetooth
Deskripsi: Masalah validasi input muncul di Bluetooth. Masalah ini telah diatasi dengan validasi yang ditingkatkan.
CVE-2018-5383: Lior Neumann dan Eli Biham
Pembaruan di bawah ini tersedia untuk model Mac berikut: MacBook (Awal 2015 dan versi lebih baru), MacBook Air (Pertengahan 2012 dan versi lebih baru), MacBook Pro (Pertengahan 2012 dan versi lebih baru), Mac mini (Akhir 2012 dan versi lebih baru), iMac (Akhir 2012 dan versi lebih baru), iMac Pro (semua model), Mac Pro (model Akhir 2013, Pertengahan 2010, dan Pertengahan 2012 yang dilengkapi prosesor grafis berkemampuan Metal yang disarankan, termasuk MSI Gaming Radeon RX 560 dan Sapphire Radeon PULSE RX 580)
afpserver
Dampak: Penyerang jarak jauh mungkin dapat menyerang server AFP melalui klien HTTP
Penjelasan: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.
CVE-2018-4295: Jianjun Chen (@whucjj) dari Tsinghua University dan UC Berkeley
App Store
Dampak: Aplikasi berbahaya mungkin dapat memperkirakan ID Apple pemilik komputer
Deskripsi: Masalah izin muncul saat menangani ID Apple. Masalah ini telah diatasi dengan kontrol akses yang ditingkatkan.
CVE-2018-4324: Sergii Kryvoblotskyi dari MacPaw Inc.
AppleGraphicsControl
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2018-4417: Lee dari Information Security Lab Yonsei University bekerja sama dengan Trend Micro's Zero Day Initiative
Application Firewall
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah konfigurasi telah diatasi dengan pembatasan tambahan.
CVE-2018-4353: Abhinav Bansal dari LinkedIn Inc.
APR
Dampak: Beberapa masalah kelebihan buffer muncul di Perl
Deskripsi: Beberapa masalah di Perl telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2017-12613: Craig Young dari Tripwire VERT
CVE-2017-12618: Craig Young dari Tripwire VERT
ATS
Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2018-4411: lilang wu moony Li dari Trend Micro bekerja sama dengan Trend Micro's Zero Day Initiative
ATS
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2018-4308: Mohamed Ghannam (@_simo36)
Buka Otomatis
Dampak: Aplikasi berbahaya mungkin dapat mengakses ID Apple pengguna lokal
Deskripsi: Masalah validasi muncul dalam verifikasi hak. Masalah ini telah diatasi dengan validasi hak proses yang ditingkatkan.
CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai dari Alibaba Inc.
CFNetwork
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4126: Bruno Keith (@bkth_) bekerja sama dengan Trend Micro's Zero Day Initiative
CoreFoundation
Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2018-4412: NCSC (National Cyber Security Centre) Inggris
CoreFoundation
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2018-4414: NCSC (National Cyber Security Centre) Inggris
CoreText
Dampak: Memproses file teks perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2018-4347: Vasyl Tkachuk dari Readdle
Pelapor Crash
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2018-4333: Brandon Azad
CUPS
Dampak: Dalam konfigurasi tertentu, penyerang jarak jauh dapat menggantikan konten pesan dari server cetak dengan konten arbitrer
Deskripsi: Masalah injeksi telah diatasi dengan validasi yang ditingkatkan.
CVE-2018-4153: Michael Hanselmann dari hansmi.ch
CUPS
Dampak: Penyerang di posisi dengan hak istimewa mungkin dapat melakukan penolakan layanan
Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi yang ditingkatkan.
CVE-2018-4406: Michael Hanselmann dari hansmi.ch
Kamus
Dampak: Menguraikan file kamus perusak berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Masalah validasi muncul yang memungkinkan akses file lokal. Masalah ini telah diatasi dengan sanitasi input.
CVE-2018-4346: Wojciech Reguła (@_r3ggi) dari SecuRing
DiskArbitration
Dampak: Aplikasi berbahaya mungkin dapat memodifikasi konten partisi sistem EFI dan mengeksekusi kode arbitrer dengan hak istimewa kernel jika boot aman tidak diaktifkan
Deskripsi: Masalah izin yang ada di DiskArbitration. Masalah ini telah diatasi dengan pemeriksaan kepemilikan tambahan.
CVE-2018-4296: Vitaly Cheptsov
dyld
Dampak: Aplikasi berbahaya mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah konfigurasi telah diatasi dengan pembatasan tambahan.
CVE-2018-4433: Vitaly Cheptsov
fdesetup
Dampak: Kode pemulihan institusional mungkin dilaporkan secara tidak benar saat ini
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2019-8643: Arun Sharma dari VMWare
Firmware
Dampak: Penyerang dengan akses fisik ke perangkat dapat meningkatkan hak istimewa
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2017-5731: Intel dan Eclypsium
CVE-2017-5732: Intel dan Eclypsium
CVE-2017-5733: Intel dan Eclypsium
CVE-2017-5734: Intel dan Eclypsium
CVE-2017-5735: Intel dan Eclypsium
Grand Central Dispatch
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4426: Brandon Azad
Heimdal
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4331: Brandon Azad
CVE-2018-4332: Brandon Azad
CVE-2018-4343: Brandon Azad
Hypervisor
Dampak: Sistem dengan mikroprosesor yang mengungkapkan eksekusi spekulatif dan terjemahan alamat dapat memungkinkan pengungkapan informasi yang berada di cache data L1 yang tidak sah kepada penyerang dengan akses pengguna lokal dan hak istimewa OS tamu melalui kerusakan halaman terminal dan analisis saluran-sisi
Deskripsi: Masalah pengungkapan informasi diatasi dengan membersihkan data cache L1 pada entri mesin virtual.
CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse, dan Thomas F. Wenisch dari University of Michigan, Mark Silberstein dan Marina Minkin dari Technion, Raoul Strackx, Jo Van Bulck, dan Frank Piessens dari KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun, dan Kekai Hu dari Intel Corporation, Yuval Yarom dari The University of Adelaide
iBooks
Dampak: Menguraikan file iBooks perusak berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Masalah konfigurasi telah diatasi dengan pembatasan tambahan.
CVE-2018-4355: evi1m0 dari bilibili security team
Driver Intel Graphics
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2018-4396: Yu Wang dari Didi Research America
CVE-2018-4418: Yu Wang dari Didi Research America
Driver Intel Graphics
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4351: Appology Team @ Theori yang bekerja sama Zero Day Initiative dari Trend Micro
Driver Intel Graphics
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2018-4350: Yu Wang dari Didi Research America
Driver Intel Graphics
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4334: Ian Beer dari Google Project Zero
Driver Intel Graphics
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2018-4451: Tyler Bohan dari Cisco Talos
CVE-2018-4456: Tyler Bohan dari Cisco Talos
IOHIDFamily
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2018-4408: Ian Beer dari Google Project Zero
IOKit
Dampak: Aplikasi berbahaya mungkin dapat keluar dari sandbox
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4341: Ian Beer dari Google Project Zero
CVE-2018-4354: Ian Beer dari Google Project Zero
IOKit
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2018-4383: Apple
IOUserEthernet
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4401: Apple
Kernel
Dampak: Aplikasi berbahaya mungkin dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah akses muncul pada panggilan API istimewa. Masalah ini telah diatasi dengan pembatasan tambahan.
CVE-2018-4399: Fabiano Anemone (@anoane)
Kernel
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengeksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi yang ditingkatkan.
CVE-2018-4407: Kevin Backhouse dari Semmle Ltd.
Kernel
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4336: Brandon Azad
CVE-2018-4337: Ian Beer dari Google Project Zero
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4344: NCSC (National Cyber Security Centre) Inggris
CVE-2018-4425: cc bekerja sama dengan Trend Micro's Zero Day Initiative, Juwei Lin (@panicaII) dari Trend Micro bekerja sama dengan Trend Micro's Zero Day Initiative
LibreSSL
Dampak: Beberapa masalah dalam libressl telah diatasi dalam pembaruan ini
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke libressl versi 2.6.4.
CVE-2015-3194
CVE-2015-5333
CVE-2015-5334
CVE-2016-0702
Jendela Masuk
Dampak: Pengguna lokal dapat menyebabkan penolakan layanan
Deskripsi: Masalah validasi telah diatasi dengan logika yang ditingkatkan.
CVE-2018-4348: Ken Gannon dari MWR InfoSecurity dan Christian Demko dari MWR InfoSecurity
mDNSOffloadUserClient
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4326: peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro, Zhuo Liang dari Qihoo 360 Nirvan Team
MediaRemote
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.
CVE-2018-4310: CodeColorist dari Ant-Financial LightYear Labs
Microcode
Dampak: Sistem dengan mikroprosesor yang memanfaatkan eksekusi spekulatif dan eksekusi spekulatif dari pembacaan memori sebelum alamat semua penulisan memori sebelumnya diketahui dapat memungkinkan pengungkapan informasi yang tidak sah kepada penyerang dengan akses pengguna lokal melalui analisis saluran-sisi
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan pembaruan microcode. Hal ini memastikan bahwa data lebih lama yang dibaca dari alamat yang baru saja ditulis tidak dapat dibaca melalui saluran-sisi spekulatif.
CVE-2018-3639: Jann Horn (@tehjh) dari Google Project Zero (GPZ), Ken Johnson dari Microsoft Security Response Center (MSRC)
Keamanan
Dampak: Pengguna lokal dapat menyebabkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2018-4395: Patrick Wardle dari Digita Security
Keamanan
Dampak: Penyerang mungkin dapat mengeksploitasi kelemahan dalam algoritma kriptopgrafis RC4
Deskripsi: Masalah ini telah diatasi dengan menghapus RC4.
CVE-2016-1777: Pepi Zawodsky
Spotlight
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4393: Lufeng Li
Kerangka Kerja Gejala
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2018-4203: Bruno Keith (@bkth_) bekerja sama dengan Trend Micro's Zero Day Initiative
Teks
Dampak: Memproses file teks perusak berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi yang ditingkatkan.
CVE-2018-4304: jianan.huang (@Sevck)
Wi-Fi
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2018-4338: Lee dari SECLAB, Yonsei University, bekerja sama dengan Zero Day Initiative dari Trend Micro
Penghargaan tambahan
Accessibility Framework
Kami berterima kasih kepada Ryan Govostes atas bantuannya.
Data Inti
Kami berterima kasih kepada Andreas Kurtz (@aykay) dari NESO Security Labs GmbH atas bantuannya.
CoreDAV
Kami berterima kasih kepada Matthew Thomas dari Verisign atas bantuannya.
CoreGraphics
Kami berterima kasih kepada Nitin Arya dari Roblox Corporation atas bantuannya.
CoreSymbolication
Kami berterima kasih kepada Brandon Azad atas bantuannya.
CUPS
Kami ingin mengucapkan terima kasih kepada Michael Hanselmann dari hansmi.ch atas bantuannya.
IOUSBHostFamily
Kami berterima kasih kepada Dragos Ruiu dari CanSecWest atas bantuannya.
Kernel
Kami berterima kasih kepada Brandon Azad atas bantuannya.
Kami berterima kasih kepada Alessandro Avagliano dari Rocket Internet SE, John Whitehead dari The New York Times, Kelvin Delbarre dari Omicron Software Systems, dan Zbyszek Żółkiewski atas bantuannya.
Lihat Cepat
Kami berterima kasih kepada lokihardt of Google Project Zero, Wojciech Reguła (@_r3ggi) dari SecuRing, dan Patrick Wardle dari Digita Security atas bantuannya.
Keamanan
Kami ingin mengucapkan terima kasih kepada Christoph Sinai, Daniel Dudek (@dannysapples) dari The Irish Times dan Filip Klubička (@lemoncloak) dari ADAPT Centre, Dublin Institute of Technology (Institut Teknologi Dublin), Horatiu Graur dari SoftVision, Istvan Csanady dari Shapr3D, Omar Barkawi dari ITG Software, Inc., Phil Caleno, Wilson Ding, peneliti anonim atas bantuannya.
SQLite
Kami berterima kasih kepada Andreas Kurtz (@aykay) dari NESO Security Labs GmbH atas bantuannya.
Terminal
Kami ingin mengucapkan terima kasih kepada Federico Bento atas bantuannya.
Time Machine
Kami berterima kasih kepada Matthew Thomas dari Verisign atas bantuannya.
WindowServer
Kami berterima kasih kepada Patrick Wardle di Digita Security atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.