macOS Mojave 10.14 のセキュリティコンテンツについて

macOS Mojave 10.14 のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最近のリリースについては、「Apple セキュリティアップデート」ページに一覧形式でまとめています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。Apple との通信は、Apple Product Security PGP キーで暗号化できます。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

macOS Mojave 10.14

2018 年 9 月 24 日リリース

Bluetooth

対象モデル:iMac (21.5-inch, Late 2012)、iMac (27-inch, Late 2012)、iMac (21.5-inch, Late 2013)、iMac (21.5-inch, Mid 2014)、iMac (Retina 5K, 27-inch, Late 2014)、iMac (21.5-inch, Late 2015)、Mac mini (Mid 2011)、Mac mini Server (Mid 2011)、Mac mini (Late 2012)、Mac mini Server (Late 2012)、Mac mini (Late 2014)、Mac Pro (Late 2013)、MacBook Air (11-inch, Mid 2011)、MacBook Air (13-inch, Mid 2011)、MacBook Air (11-inch, Mid 2012)、MacBook Air (13-inch, Mid 2012)、MacBook Air (11-inch, Mid 2013)、MacBook Air (13-inch, Mid 2013)、MacBook Air (11-inch, Early 2015)、MacBook Air (13-inch, Early 2015)、MacBook Pro (13-inch, Mid 2012)、MacBook Pro (15-inch, Mid 2012)、MacBook Pro (Retina, 13-inch, Early 2013)、MacBook Pro (Retina, 15-inch, Early 2013)、MacBook Pro (Retina, 13-inch, Late 2013)、MacBook Pro (Retina, 15-inch, Late 2013)

影響:ネットワーク上で特権的な地位を悪用した攻撃者が、Bluetooth トラフィックを傍受できる可能性がある。

説明:Bluetooth における入力検証に脆弱性がありました。入力検証を強化し、この脆弱性に対処しました。

CVE-2018-5383:Lior Neumann 氏および Eli Biham 氏

 

以下のアップデート内容は次の Mac モデルに適用されます:MacBook (Early 2015 以降)、MacBook Air (Mid 2012 以降)、MacBook Pro (Mid 2012 以降)、Mac mini (Late 2012 以降)、iMac (Late 2012 以降)、iMac Pro (全モデル)、Mac Pro (Late 2013、Mid 2010、Mid 2012 モデル、MSI Gaming Radeon RX 560 や Sapphire Radeon PULSE RX 580 などの Metal 対応の推奨グラフィックプロセッサ搭載)

App Store

影響:悪意のあるアプリケーションが、コンピュータの所有者の Apple ID を判断できる可能性がある。

説明:Apple ID の処理に、アクセス権の問題がありました。この問題は、アクセス制御を強化することで解決されました。

CVE-2018-4324:MacPaw Inc. の Sergii Kryvoblotskyi 氏

アプリケーションファイアウォール

影響:サンドボックス化されたプロセスが、サンドボックスの制約を回避できる可能性がある。

説明:制限を強化し、構成の問題に対処しました。

CVE-2018-4353:Zscaler, Inc. の Abhinav Bansal 氏

自動ロック解除

影響:悪意のあるアプリケーションが、ローカルユーザの Apple ID にアクセスできる可能性がある。

説明:エンタイトルメントの確認処理に検証不備の脆弱性がありました。この問題は、プロセスエンタイトルメントの検証を強化することで解決されました。

CVE-2018-4321:Min (Spark) Zheng 氏、Alibaba Inc. の Xiaolong Bai 氏

Crash Reporter

影響:アプリケーションが、制限されたメモリを読み取れる可能性がある。

説明:入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。

CVE-2018-4333:Brandon Azad 氏

カーネル

影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2018-4336:Brandon Azad 氏

CVE-2018-4344:英国の National Cyber Security Centre (NCSC)

セキュリティ

影響:攻撃者に、RC4 暗号化アルゴリズムの脆弱性を悪用される場合がある。

説明:この問題は、RC4 を削除することで解決されました。

CVE-2016-1777:Pepi Zawodsky 氏

ご協力いただいたその他の方々

Accessibility Framework

Ryan Govostes 氏のご協力に感謝いたします。

Core Data

NESO Security Labs GmbH の Andreas Kurtz 氏 (@aykay) のご協力に感謝いたします。

CoreGraphics

Roblox Corporation の Nitin Arya 氏のご協力に感謝いたします。

メール

Rocket Internet SE の Alessandro Avagliano 氏、The New York Times の John Whitehead 氏、Omicron Software Systems の Kelvin Delbarre 氏、Zbyszek Żółkiewski 氏のご協力に感謝いたします。

セキュリティ

Christoph Sinai 氏、The Irish Times の Daniel Dudek 氏 (@dannysapples)、Dublin Institute of Technology の ADAPT Centre の Filip Klubička 氏 (@lemoncloak)、Shapr3D の Istvan Csanady 氏、ITG Software, Inc. の Omar Barkawi 氏、Phil Caleno 氏、Wilson Ding 氏、匿名の研究者のご協力に感謝いたします。

SQLite

NESO Security Labs GmbH の Andreas Kurtz 氏 (@aykay) のご協力に感謝いたします。

Apple 製以外の製品に関する情報や、Apple が管理または検証していない個々の Web サイトは、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選定、性能、使用については一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性については一切明言いたしません。インターネットの使用にはリスクがつきものです。詳しくは各社にお問い合わせください。その他の会社名や製品名は、それぞれの所有者の商標である場合があります。

公開日: