Informationen zum Sicherheitsinhalt von macOS Mojave 10.14.1, Sicherheitsupdate 2018-002 High Sierra und Sicherheitsupdate 2018-005 Sierra

In diesem Dokument wird der Sicherheitsinhalt von macOS Mojave 10.14.1, Sicherheitsupdate 2018-002 High Sierra und Sicherheitsupdate 2018-005 Sierra beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit. Deine Kommunikation mit Apple kannst du mit dem PGP-Schlüssel für die Apple-Produktsicherheit verschlüsseln.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

macOS Mojave 10.14.1, Sicherheitsupdate 2018-002 High Sierra, Sicherheitsupdate 2018-005 Sierra

afpserver

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Remote-Angreifer ist möglicherweise in der Lage, AFP-Server über HTTP-Clients anzugreifen.

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4295: Jianjun Chen (@whucjj) von der Tsinghua University und UC Berkeley

AppleGraphicsControl

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4410: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

AppleGraphicsControl

Verfügbar für: macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4417: Lee vom Information Security Lab der Yonsei University in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

APR

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: In Perl gab es mehrere Probleme in Zusammenhang mit Pufferüberläufen.

Beschreibung: Mehrere Probleme in Perl wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2017-12613: Craig Young von Tripwire VERT

CVE-2017-12618: Craig Young von Tripwire VERT

ATS

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4411: lilang wu moony Li von Trend Micro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

ATS

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Automator

Verfügbar für: macOS Mojave 10.14

Auswirkung: Ein Schadprogramm kann möglicherweise auf beschränkte Dateien zugreifen.

Beschreibung: Dieses Problem wurde durch das Entfernen zusätzlicher Berechtigungen behoben.

CVE-2018-4468: Jeff Johnson von underpassapp.com

CFNetwork

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4126: Bruno Keith (@bkth_) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CoreAnimation

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4415: Liang Zhuo in Zusammenarbeit mit dem SecuriTeam Secure Disclosure-Programm von Beyond Security

CoreCrypto

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Ein Angreifer ist möglicherweise in der Lage, eine Schwachstelle im Miller-Rabin-Primzahltest auszunutzen und Primzahlen falsch zu identifizieren.

Beschreibung: Es bestand ein Problem mit der Methode zum Ermitteln von Primzahlen. Dieses Problem wurde durch die Verwendung pseudozufälliger Grundlagen zum Testen von Primzahlen behoben.

CVE-2018-4398: Martin Albrecht, Jake Massimo und Kenny Paterson von Royal Holloway, University of London und Juraj Somorovsky von der Ruhr-Universität Bochum

CoreFoundation

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4412: Britisches National Cyber Security Centre (NCSC)

CUPS

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Bei bestimmten Konfigurationen ist ein Remote-Angreifer unter Umständen in der Lage, den Nachrichteninhalt des Druckservers durch willkürlichen Inhalt zu ersetzen.

Beschreibung: Ein Eingabeproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2018-4153: Michael Hanselmann von hansmi.ch

CUPS

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2018-4406: Michael Hanselmann von hansmi.ch

Lexikon

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Die Analyse einer in böser Absicht erstellten Wörterbuchdatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Es lag ein Validierungsproblem vor, das lokalen Dateizugriff erlaubte. Dieses Problem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) von SecuRing

Dock

Verfügbar für: macOS Mojave 10.14

Auswirkung: Ein Schadprogramm kann möglicherweise auf beschränkte Dateien zugreifen.

Beschreibung: Dieses Problem wurde durch das Entfernen zusätzlicher Berechtigungen behoben.

CVE-2018-4403: Patrick Wardle von Digita Security

dyld

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2018-4423: Youfu Zhang vom Chaitin Security Research Lab (@ChaitinTech)

EFI

Verfügbar für: macOS High Sierra 10.13.6

Auswirkung: Systeme mit Mikroprozessoren, die eine spekulative Ausführung und spekulative Ausführung von Speicherlesevorgängen vor Kenntnis der Adressen aller vorherigen Speicherschreibvorgänge nutzen, können die nicht autorisierte Preisgabe von Informationen an einen Angreifer mit lokalem Benutzerzugriff per Seitenkanalanalyse erlauben.

Beschreibung: Ein Problem in Zusammenhang mit der Preisgabe von Informationen wurde durch eine Mikrocodeaktualisierung behoben. Damit wird sichergestellt, dass ältere Datenlesevorgänge von kürzlich für Schreibvorgänge genutzten Adressen nicht über einen spekulativen Seitenkanal gelesen werden können.

CVE-2018-3639: Jann Horn (@tehjh) von Google Project Zero (GPZ), Ken Johnson vom Microsoft Security Response Center (MSRC)

EFI

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Ein lokaler Benutzer kann unter Umständen geschützte Bereiche des Dateisystems ändern.

Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.

CVE-2018-4342: Timothy Perfitt von Twocanoes Software

Foundation

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zu einem Denial-of-Service führen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2018-4304: jianan.huang (@Sevck)

Grand Central Dispatch

Verfügbar für: macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4426: Brandon Azad

Heimdal

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4331: Brandon Azad

Hypervisor

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Systeme mit Mikroprozessoren, die spekulative Ausführung und Adressübersetzung nutzen, können die nicht autorisierte Preisgabe von Informationen im L1-Datencache an einen Angreifer mit lokalem Benutzerzugriff und Gast-Betriebssystemberechtigungen über einen Terminalseitenfehler und eine Seitenkanalanalyse erlauben.

Beschreibung: Ein Problem in Zusammenhang mit der Preisgabe von Informationen wurde durch die Leerung des L1-Datencache bei Aufruf des virtuellen Computers behoben.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse und Thomas F. Wenisch von der University of Michigan, Mark Silberstein und Marina Minkin von Technion, Raoul Strackx, Jo Van Bulck und Frank Piessens von der KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun und Kekai Hu von der Intel Corporation, Yuval Yarom von der University of Adelaide

Hypervisor

Verfügbar für: macOS Sierra 10.12.6

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Sperrung behoben.

CVE-2018-4242: Zhuo Liang vom Qihoo 360 Nirvan Team

ICU

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14, macOS Sierra 10.12.6

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Strings kann zu einer Heapbeschädigung führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4394: Erik Verbruggen von The Qt Company

Intel-Grafiktreiber

Verfügbar für: macOS Sierra 10.12.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4334: Ian Beer von Google Project Zero

Intel-Grafiktreiber

Verfügbar für: macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2018-4396: Yu Wang von Didi Research America

CVE-2018-4418: Yu Wang von Didi Research America

Intel-Grafiktreiber

Verfügbar für: macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4350: Yu Wang von Didi Research America

Intel-Grafiktreiber

Verfügbar für: macOS Mojave 10.14

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4421: Tyler Bohan von Cisco Talos

IOGraphics

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4422: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

IOHIDFamily

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4408: Ian Beer von Google Project Zero

IOKit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4402: Proteas vom Qihoo 360 Nirvan Team

IOKit

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Schadprogramm kann die Sandbox umgehen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4341: Ian Beer von Google Project Zero

CVE-2018-4354: Ian Beer von Google Project Zero

IOUserEthernet

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4401: Apple

IPSec

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Eine Anwendung kann erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4371: Tim Michaud (@TimGMichaud) von der Leviathan Security Group

Kernel

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Kernel

Verfügbar für: macOS High Sierra 10.13.6

Auswirkung: Ein Schadprogramm kann vertrauliche Benutzerdaten offenlegen.

Beschreibung: Es bestand ein Zugriffsproblem mit privilegierten API-Aufrufen. Dieses Problem wurde durch zusätzliche Einschränkungen behoben.

CVE-2018-4399: Fabiano Anemone (@anoane)

Kernel

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4419: Mohamed Ghannam (@_simo36)

CVE-2018-4425: cc in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Juwei Lin (@panicaII) von Trend Micro in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Kernel

Verfügbar für: macOS Sierra 10.12.6

Auswirkung: Die Einbindung einer in böser Absicht erstellten NFS-Netzwerkfreigabe kann zur Ausführung von willkürlichem Code mit Systemrechten führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4259: Kevin Backhouse von Semmle und LGTM.com

CVE-2018-4286: Kevin Backhouse von Semmle und LGTM.com

CVE-2018-4287: Kevin Backhouse von Semmle und LGTM.com

CVE-2018-4288: Kevin Backhouse von Semmle und LGTM.com

CVE-2018-4291: Kevin Backhouse von Semmle und LGTM.com

Kernel

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4413: Juwei Lin (@panicaII) vom TrendMicro Mobile Security Team

Kernel

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2018-4407: Kevin Backhouse von Semmle Ltd.

Kernel

Verfügbar für: macOS Mojave 10.14

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einem Stapelpufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.

CVE-2018-4424: Dr. Silvio Cesare von InfoSect

LinkPresentation

Verfügbar für: macOS Sierra 10.12.6

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textnachricht kann zu UI-Spoofing führen.

Beschreibung: Es bestand eine Spoofing-Schwachstelle bei der Verarbeitung von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) vom Tencent Security Platform Department

Anmeldefenster

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein lokaler Benutzer kann einen Denial-of-Service-Angriff verursachen

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2018-4348: Ken Gannon von MWR InfoSecurity und Christian Demko von MWR InfoSecurity

Mail

Verfügbar für: macOS Mojave 10.14

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten E-Mail-Nachricht kann zu UI-Spoofing führen.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason von Syndis

mDNSOffloadUserClient

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4326: ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Zhuo Liang vom Qihoo 360 Nirvan Team

MediaRemote

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2018-4310: CodeColorist vom Ant-Financial LightYear Labs

Microcode

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Systeme mit Mikroprozessoren, die eine spekulative Ausführung nutzen und spekulative Lesevorgänge von Systemregistern ausführen, können die nicht autorisierte Preisgabe von Systemparametern an einen Angreifer mit lokalem Benutzerzugriff über eine Seitenkanalanalyse erlauben.

Beschreibung: Ein Problem in Zusammenhang mit der Preisgabe von Informationen wurde durch eine Mikrocodeaktualisierung behoben. So wird sichergestellt, dass implementierungsspezifische Systemregister nicht über eine spekulative Ausführung per Seitenkanal offengelegt werden können.

CVE-2018-3640: Innokentiy Sennovskiy von BiZone LLC (bi.zone), Zdenek Sojka, Rudolf Marek und Alex Zuepke von SYSGO AG (sysgo.com)

NetworkExtension

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Bei Verbindung mit einem VPN-Server können DNS-Anfragen an einen DNS-Proxy preisgegeben werden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4369: Ein anonymer Forscher

Perl

Verfügbar für: macOS Sierra 10.12.6

Auswirkung: In Perl gab es mehrere Probleme in Zusammenhang mit Pufferüberläufen.

Beschreibung: Mehrere Probleme in Perl wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-6797: Brian Carpenter

Ruby

Verfügbar für: macOS Sierra 10.12.6

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen

Beschreibung: Mehrere Probleme in Ruby wurden mit diesem Update behoben.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

Sicherheit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten S/MIME-signierten Nachricht kann zu einem Denial-of-Service führen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2018-4400: Yukinobu Nagayasu von LAC Co., Ltd.

Sicherheit

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein lokaler Benutzer kann einen Denial-of-Service-Angriff verursachen

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2018-4395: Patrick Wardle von Digita Security

Spotlight

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4393: Lufeng Li

Symptom-Framework

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2018-4203: Bruno Keith (@bkth_) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WLAN

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 und macOS Mojave 10.14

Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2018-4368: Milan Stute und Alex Mariotto vom Secure Mobile Networking Lab an der Technischen Universität Darmstadt

Zusätzliche Danksagung

Kalender

Wir danken Matthew Thomas von Verisign für die Unterstützung.

coreTLS

Wir danken Eyal Ronen (Weizmann Institute), Robert Gillham (University of Adelaide), Daniel Genkin (University of Michigan), Adi Shamir (Weizmann Institute), David Wong (NCC Group) und Yuval Yarom (University of Adelaide und Data61) für ihre Unterstützung.

iBooks

Wir möchten uns bei Sem Voigtländer von der Fontys Hogeschool ICT für die Unterstützung bedanken.

Kernel

Wir danken Brandon Azad für die Unterstützung.

LaunchServices

Wir möchten uns bei Alok Menghrajani von Square für die Unterstützung bedanken.

Übersicht

Wir möchten uns bei lokihardt von Google Project Zero für die Unterstützung bedanken.

Sicherheit

Wir möchten uns bei Marinos Bernitsas von Parachute für die Unterstützung bedanken.

Terminal

Wir danken Federico Bento für die Unterstützung.

Time Machine

Wir danken Matthew Thomas von Verisign für die Unterstützung.