Mengenai konten keamanan dari macOS Mojave 10.14

Dokumen ini menjelaskan konten keamanan dari macOS Mojave 10.14.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

macOS Mojave 10.14

Dirilis pada 24 September 2018

Bluetooth

Tersedia untuk: iMac (21,5 inci, Akhir 2012), iMac (27 inci, Akhir 2012), iMac (21,5 inci, Akhir 2013), iMac (21,5 inci, Pertengahan 2014), iMac (Retina 5K, 27 inci, Akhir 2014), iMac (21,5 inci, Akhir 2015), Mac mini (Pertengahan 2011), Server Mac mini (Pertengahan 2011), Mac mini (Akhir 2012), Server Mac mini (Akhir 2012), Mac mini (Akhir 2014), Mac Pro (Akhir 2013), MacBook Air (11 inci, Pertengahan 2011), MacBook Air (13 inci, Pertengahan 2011), MacBook Air (11 inci, Pertengahan 2012), MacBook Air (13 inci, Pertengahan 2012), MacBook Air (11 inci, Pertengahan 2013), MacBook Air (13 inci, Pertengahan 2013), MacBook Air (11 inci, Awal 2015), MacBook Air (13 inci, Awal 2015), MacBook Pro (13 inci, Pertengahan 2012), MacBook Pro (15 inci, Pertengahan 2012), MacBook Pro (Retina, 13 inci, Awal 2013), MacBook Pro (Retina, 15 inci, Awal 2013), MacBook Pro (Retina, 13 inci, Akhir 2013), dan MacBook Pro (Retina, 15 inci, Akhir 2013)

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat mencegat lalu lintas Bluetooth

Deskripsi: Masalah validasi input muncul di Bluetooth. Masalah ini telah diatasi dengan validasi yang lebih baik.

CVE-2018-5383: Lior Neumann dan Eli Biham

 

Pembaruan di bawah ini tersedia untuk model Mac berikut: MacBook (Awal 2015 dan versi lebih baru), MacBook Air (Pertengahan 2012 dan versi lebih baru), MacBook Pro (Pertengahan 2012 dan versi lebih baru), Mac mini (Akhir 2012 dan versi lebih baru), iMac (Akhir 2012 dan versi lebih baru), iMac Pro (semua model), Mac Pro (model Akhir 2013, Pertengahan 2010, dan Pertengahan 2012 yang dilengkapi prosesor grafis berkemampuan Metal yang disarankan, termasuk MSI Gaming Radeon RX 560 dan Sapphire Radeon PULSE RX 580)

afpserver

Dampak: Penyerang dari jarak jauh mungkin dapat menyerang server AFP melalui klien HTTP

Penjelasan: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.

CVE-2018-4295: Jianjun Chen (@whucjj) dari Tsinghua University dan UC Berkeley

Entri ditambahkan pada 30 Oktober 2018

App Store

Dampak: Aplikasi berbahaya mungkin dapat memperkirakan ID Apple pemilik komputer

Deskripsi: Masalah izin muncul saat menangani ID Apple. Masalah ini telah diatasi dengan kontrol akses yang ditingkatkan.

CVE-2018-4324: Sergii Kryvoblotskyi dari MacPaw Inc.

AppleGraphicsControl

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2018-4417: Lee dari Information Security Lab Yonsei University yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 30 Oktober 2018

Application Firewall

Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox

Deskripsi: Masalah konfigurasi diatasi dengan pembatasan tambahan.

CVE-2018-4353: Abhinav Bansal dari LinkedIn Inc.

Entri diperbarui pada 30 Oktober 2018

APR

Dampak: Beberapa masalah kelebihan buffer muncul di Perl

Deskripsi: Beberapa masalah di Perl ditangani dengan penanganan memori yang ditingkatkan.

CVE-2017-12613: Craig Young dari Tripwire VERT

CVE-2017-12618: Craig Young dari Tripwire VERT

Entri ditambahkan pada 30 Oktober 2018

ATS

Dampak: Aplikasi yang berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2018-4411: lilang wu moony Li dari Trend Micro yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 30 Oktober 2018

ATS

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Entri ditambahkan pada 30 Oktober 2018

Buka Otomatis

Dampak: Aplikasi berbahaya mungkin dapat mengakses ID Apple pengguna lokal

Deskripsi: Masalah validasi muncul dalam verifikasi hak. Masalah ini telah diatasi dengan validasi hak proses yang lebih baik.

CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai dari Alibaba Inc.

CFNetwork

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4126: Bruno Keith (@bkth_) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 30 Oktober 2018

CoreFoundation

Dampak: Aplikasi yang berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2018-4412: National Cyber Security Centre (NCSC) Inggris

Entri ditambahkan pada 30 Oktober 2018

CoreFoundation

Dampak: Sebuah aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2018-4414: National Cyber Security Centre (NCSC) Inggris

Entri ditambahkan pada 30 Oktober 2018

CoreText

Dampak: Memproses file teks perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi melalui pengelolaan memori yang ditingkatkan.

CVE-2018-4347: peneliti anonim

Entri ditambahkan pada 30 Oktober 2018

Pelapor Crash

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2018-4333: Brandon Azad

CUPS

Dampak: Dalam konfigurasi tertentu, penyerang dari jarak jauh dapat menggantikan konten pesan dari server cetak dengan konten arbitrer

Deskripsi: Masalah injeksi telah diatasi dengan validasi yang ditingkatkan.

CVE-2018-4153: Michael Hanselmann dari hansmi.ch

Entri ditambahkan pada 30 Oktober 2018

CUPS

Dampak: Penyerang di posisi dengan hak istimewa mungkin dapat melakukan penolakan layanan

Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi yang disempurnakan.

CVE-2018-4406: Michael Hanselmann dari hansmi.ch

Entri ditambahkan pada 30 Oktober 2018

Kamus

Dampak: Menguraikan file kamus perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah validasi muncul yang memungkinkan akses file lokal. Masalah ini telah diatasi dengan sanitasi input.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) dari SecuRing

Entri ditambahkan pada 30 Oktober 2018

Grand Central Dispatch

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4426: Brandon Azad

Entri ditambahkan pada 30 Oktober 2018

Heimdal

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Entri ditambahkan pada 30 Oktober 2018

Hypervisor

Dampak: Sistem dengan mikroprosesor yang mengungkapkan eksekusi spekulatif dan terjemahan alamat dapat memungkinkan pengungkapan informasi yang berada di cache data L1 yang tidak sah kepada penyerang dengan akses pengguna lokal dan hak istimewa OS tamu melalui kerusakan halaman terminal dan analisis saluran-sisi

Deskripsi: Masalah pengungkapan informasi diatasi dengan membersihkan data cache L1 pada entri mesin virtual.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse, dan Thomas F. Wenisch dari University of Michigan, Mark Silberstein dan Marina Minkin dari Technion, Raoul Strackx, Jo Van Bulck, dan Frank Piessens dari KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun, dan Kekai Hu dari Intel Corporation, Yuval Yarom dari The University of Adelaide

Entri ditambahkan pada 30 Oktober 2018

iBooks

Dampak: Menguraikan file iBooks perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah konfigurasi diatasi dengan pembatasan tambahan.

CVE-2018-4355: evi1m0 dari bilibili security team

Entri ditambahkan pada 30 Oktober 2018

Driver Intel Graphics

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2018-4396: Yu Wang dari Didi Research America

CVE-2018-4418: Yu Wang dari Didi Research America

Entri ditambahkan pada 30 Oktober 2018

Driver Intel Graphics

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4351: Appology Team @ Theori yang bekerja sama Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 30 Oktober 2018

Driver Intel Graphics

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2018-4350: Yu Wang dari Didi Research America

Entri ditambahkan pada 30 Oktober 2018

Driver Intel Graphics

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4334: Ian Beer dari Google Project Zero

Entri ditambahkan pada 30 Oktober 2018

IOHIDFamily

Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan

CVE-2018-4408: Ian Beer dari Google Project Zero

Entri ditambahkan pada 30 Oktober 2018

IOKit

Dampak: Aplikasi berbahaya mungkin dapat keluar dari sandbox

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4341: Ian Beer dari Google Project Zero

CVE-2018-4354: Ian Beer dari Google Project Zero

Entri ditambahkan pada 30 Oktober 2018

IOKit

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2018-4383: Apple

Entri ditambahkan pada 30 Oktober 2018

IOUserEthernet

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4401: Apple

Entri ditambahkan pada 30 Oktober 2018

Kernel

Dampak: Aplikasi perusak yang berbahaya dapat membocorkan informasi rahasia pengguna

Deskripsi: Masalah akses muncul pada panggilan API istimewa. Masalah ini telah diatasi dengan pembatasan tambahan.

CVE-2018-4399: Fabiano Anemone (@anoane)

Entri ditambahkan pada 30 Oktober 2018

Kernel

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengeksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi yang ditingkatkan.

CVE-2018-4407: Kevin Backhouse dari Semmle Ltd.

Entri ditambahkan pada 30 Oktober 2018

Kernel

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer dari Google Project Zero

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: National Cyber Security Centre (NCSC) Inggris

CVE-2018-4425: cc yang bekerja sama dengan Zero Day Initiative dari Trend Micro, Juwei Lin (@panicaII) dari Trend Micro yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri diperbarui pada 30 Oktober 2018

LibreSSL

Dampak: Beberapa masalah dalam libressl telah diatasi dalam pembaruan ini

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke libressl versi 2.6.4.

CVE-2015-3194

CVE-2015-5333

CVE-2015-5334

CVE-2016-702

Entri ditambahkan pada 30 Oktober 2018

Jendela Masuk

Dampak: Pengguna lokal dapat menyebabkan penolakan layanan

Deskripsi: Masalah validasi telah diatasi dengan logika yang ditingkatkan.

CVE-2018-4348: Ken Gannon dari MWR InfoSecurity dan Christian Demko dari MWR InfoSecurity

Entri ditambahkan pada 30 Oktober 2018

mDNSOffloadUserClient

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4326: peneliti anonim yang bekerja sama dengan Zero Day Initiative dari Trend Micro, Zhuo Liang dari Qihoo 360 Nirvan Team

Entri ditambahkan pada 30 Oktober 2018

MediaRemote

Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox

Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.

CVE-2018-4310: CodeColorist dari Ant-Financial LightYear Labs

Entri ditambahkan pada 30 Oktober 2018

Microcode

Dampak: Sistem dengan mikroprosesor yang memanfaatkan eksekusi spekulatif dan eksekusi spekulatif dari pembacaan memori sebelum alamat semua penulisan memori sebelumnya diketahui dapat memungkinkan pengungkapan informasi yang tidak sah kepada penyerang dengan akses pengguna lokal melalui analisis saluran-sisi

Deskripsi: Masalah pengungkapan informasi ditangani dengan pembaruan microcode. Hal ini memastikan bahwa data lebih lama yang dibaca dari alamat yang baru saja ditulis tidak dapat dibaca melalui saluran-sisi spekulatif.

CVE-2018-3639: Jann Horn (@tehjh) dari Google Project Zero (GPZ), Ken Johnson dari Microsoft Security Response Center (MSRC)

Entri ditambahkan pada 30 Oktober 2018

Keamanan

Dampak: Pengguna lokal dapat menyebabkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan peningkatan pemeriksaan.

CVE-2018-4395: Patrick Wardle dari Digita Security

Entri ditambahkan pada 30 Oktober 2018

Keamanan

Dampak: Penyerang mungkin dapat mengeksploitasi kelemahan dalam algoritma kriptopgrafis RC4

Deskripsi: Masalah ini telah diatasi dengan menghapus RC4.

CVE-2016-1777: Pepi Zawodsky

Spotlight

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4393: Lufeng Li

Entri ditambahkan pada 30 Oktober 2018

Kerangka Kerja Gejala

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2018-4203: Bruno Keith (@bkth_) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 30 Oktober 2018

Teks

Dampak: Memproses file teks perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi yang disempurnakan.

CVE-2018-4304: jianan.huang (@Sevck)

Entri ditambahkan pada 30 Oktober 2018

Wi-Fi

Dampak: Aplikasi mungkin dapat membaca memori terbatas

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2018-4338: Lee dari SECLAB, Yonsei University, bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 23 Oktober 2018

Penghargaan tambahan

Accessibility Framework

Kami ingin berterima kasih kepada Ryan Govostes atas bantuannya.

Data Inti

Kami ingin mengucapkan terima kasih kepada Andreas Kurtz (@aykay) dari NESO Security Labs GmbH atas bantuannya.

CoreGraphics

Kami ingin berterima kasih kepada Nitin Arya dari Roblox Corporation atas bantuannya.

Mail

Kami ingin berterima kasih kepada Alessandro Avagliano dari Rocket Internet SE, John Whitehead dari The New York Times, Kelvin Delbarre dari Omicron Software Systems, dan Zbyszek Żółkiewski atas bantuannya.

Security

Kami ingin mengucapkan terima kasih kepada Christoph Sinai, Daniel Dudek (@dannysapples) dari The Irish Times dan Filip Klubička (@lemoncloak) dari ADAPT Centre, Dublin Institute of Technology (Institut Teknologi Dublin), Istvan Csanady dari Shapr3D, Omar Barkawi dari ITG Software, Inc., Phil Caleno, Wilson Ding, dan peneliti anonim atas bantuannya.

SQLite

Kami ingin mengucapkan terima kasih kepada Andreas Kurtz (@aykay) dari NESO Security Labs GmbH atas bantuannya.

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: