Over de beveiligingsinhoud van macOS High Sierra 10.13.4, Beveiligingsupdate 2018-002 Sierra en Beveiligingsupdate 2018-002 El Capitan

In dit document wordt de beveiligingsinhoud van macOS High Sierra 10.13.4, Beveiligingsupdate 2018-002 Sierra en Beveiligingsupdate 2018-002 El Capitan beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

macOS High Sierra 10.13.4, Beveiligingsupdate 2018-002 Sierra en Beveiligingsupdate 2018-002 El Capitan

Releasedatum: 29 maart 2018

Admin Framework

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: wachtwoorden die zijn doorgegeven aan sysadminctl, kunnen mogelijk worden bekeken door andere lokale gebruikers

Beschrijving: aan de opdrachtregeltool 'sysadminctl' moeten wachtwoorden als argument worden meegegeven, waardoor de wachtwoorden mogelijk kunnen worden bekeken door andere lokale gebruikers. Deze update zorgt ervoor dat de wachtwoordparameter optioneel is en dat sysadminctl indien nodig om het wachtwoord vraagt.

CVE-2018-4170: een anonieme onderzoeker

APFS

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een APFS-volumewachtwoord wordt mogelijk onverwacht ingekort

Beschrijving: een probleem met invoegen is opgelost door verbeterde invoervalidatie.

CVE-2018-4105: David J Beitey (@davidjb_), Geoffrey Bugniot

ATS

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot de onthulling van gebruikersgegevens

Beschrijving: Er was een validatieprobleem bij de verwerking van symlinks. Dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2018-4112: Haik Aftandilian van Mozilla

CFNetwork-sessie

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4166: Samuel Groß (@5aelo)

CoreFoundation

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: het verwerken van een kwaadwillig vervaardigde tekenreeks kan leiden tot een denial of service

Beschrijving: een probleem met denial of service is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4142: Robin Leroy van Google Switzerland GmbH

CoreTypes

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Impact: het verwerken van een kwaadaardige webpagina kan ertoe leiden dat een schijfkopie wordt gekoppeld

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2017-13890: Apple, Theodor Ragnar Gislason van Syndis

curl

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Impact: meerdere problemen in curl

Beschrijving: er bestond in curl een overloop van een geheel getal. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-2017-8816: Alex Nichols

Bijgewerkt op 30 maart 2018

Schijfkopieën

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Impact: het activeren van een schijfkopie kan leiden tot het opstarten van een programma

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2018-4176: Theodor Ragnar Gislason van Syndis

Schijfbeheer

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een APFS-volumewachtwoord wordt mogelijk onverwacht ingekort

Beschrijving: een probleem met invoegen is opgelost door verbeterde invoervalidatie.

CVE-2018-4108: Kamatham Chaitanya van ShiftLeft Inc., een anonieme onderzoeker

Bestandssysteemgebeurtenissen

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4167: Samuel Groß (@5aelo)

iCloud Drive

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4151: Samuel Groß (@5aelo)

Intel Graphics Driver

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4132: Axis en pjf van IceSword Lab van Qihoo 360

IOFireWireFamily

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4135: Xiaolong Bai en Min (Spark) Zheng van Alibaba Inc.

Kernel

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4150: een anonieme onderzoeker

Kernel

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2018-4104: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk

Kernel

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4143: derrek (@derrekr6)

Kernel

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met lezen buiten het bereik is verholpen door middel van een verbeterde controle van de grenzen.

CVE-2018-4136: Jonas Jensen van lgtm.com en Semmle

Kernel

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met lezen buiten het bereik is verholpen door middel van een verbeterde controle van de grenzen.

CVE-2018-4160: Jonas Jensen van lgtm.com en Semmle

Kernel

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

Beschrijving: er was een probleem met de vrijgave van informatie bij de overgang van de programmastatus. Dit probleem is verholpen door een verbeterde statusverwerking.

CVE-2018-4185: Brandon Azad

Toegevoegd op 19 juli 2018

kext tools

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: er was een logicaprobleem dat leidde tot geheugenbeschadiging. Dit is verholpen door verbeterd statusbeheer.

CVE-2018-4139: Ian Beer van Google Project Zero

LaunchServices

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Impact: een kwaadwillig vervaardigd programma kan het afdwingen van codeondertekening omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2018-4175: Theodor Ragnar Gislason van Syndis

Lokale identiteitscontrole

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken

Beschrijving: er was een probleem met de verwerking van smartcard-pincodes. Het probleem is verholpen met aanvullende logica.

CVE-2018-4179: David Fuhrmann

Toegevoegd op 13 april 2018

Mail

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de inhoud van met S/MIME gecodeerde e-mails exfiltreren

Beschrijving: er was een probleem met de verwerking van S/MIME HTML-e-mail. Het probleem is opgelost door externe bronnen niet standaard te laden in met S/MIME gecodeerde berichten als het bericht een ongeldige of ontbrekende S/MIME-handtekening heeft.

CVE-2018-4111: Damian Poddebniak van de Fachhochschule Münster, Christian Dresen van de Fachhochschule Münster, Jens Müller van de Ruhr-Universität Bochum, Fabian Ising van de Fachhochschule Münster, Sebastian Schinzel van de Fachhochschule Münster, Simon Friedberger van de KU Leuven, Juraj Somorovsky van de Ruhr-Universität Bochum, Jörg Schwenk van de Ruhr-Universität Bochum

Bijgewerkt op 13 april 2018

Mail

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de inhoud van met S/MIME gecodeerde e-mails onderscheppen

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen met verbeterd statusbeheer.

CVE-2018-4174: John McCombs van Integrated Mapping Ltd, McClain Looney van LoonSoft Inc.

Bijgewerkt op 13 april 2018

Opmerkingen

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4152: Samuel Groß (@5aelo)

NSURLSession

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4166: Samuel Groß (@5aelo)

NVIDIA Graphics Drivers

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2018-4138: Axis en pjf van IceSword Lab van Qihoo 360

PDFKit

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: als op een URL in een pdf wordt geklikt, wordt mogelijk een schadelijke website bezocht

Beschrijving: er was een probleem met het parseren van URL's in pdf's. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2018-4107: Nick Safford van Innovia Technology

Bijgewerkt op 9 april 2018

PluginKit

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4156: Samuel Groß (@5aelo)

Snelle weergave

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4157: Samuel Groß (@5aelo)

Extern beheer

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een externe gebruiker kan mogelijk rootbevoegdheden verkrijgen

Beschrijving: er was een probleem met bevoegdheden in Extern beheer. Dit probleem is verholpen door een verbeterde validatie van bevoegdheden.

CVE-2018-4298: Tim van der Werff van SupCloud

Toegevoegd op 19 juli 2018

Beveiliging

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Impact: een schadelijk programma kan de bevoegdheden verhogen

Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

SIP

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.

CVE-2017-13911: een anonieme onderzoeker

Toegevoegd op 8 augustus 2018

Statusbalk

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een schadelijk programma kan mogelijk toegang krijgen tot de microfoon zonder dat de gebruiker het merkt

Beschrijving: er was een consistentieprobleem bij het beslissen wanneer de indicator voor microfoongebruik moet worden getoond. Het probleem is verholpen met verbeterde functionaliteitsvalidatie.

CVE-2018-4173: Joshua Pokotilow van pingmd

Toegevoegd op 9 april 2018

Opslag

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2018-4154: Samuel Groß (@5aelo)

Systeemvoorkeuren

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: na verwijdering blijft een configuratieprofiel mogelijk ten onrechte nog van kracht

Beschrijving: er was een probleem in CFPreferences. Dit probleem is verholpen door een verbeterde opschoning van voorkeuren.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov en Matt Vlasach van Wandera

Terminal

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Impact: het plakken van schadelijke inhoud kan leiden tot spoofing van willekeurige opdrachtuitvoering

Beschrijving: er was een probleem met het invoegen van een commando bij de verwerking van Bracketed Paste Mode. Dit probleem is verholpen door een verbeterde validatie van speciale tekens.

CVE-2018-4106: Simon Hosie

WindowServer

Beschikbaar voor: macOS High Sierra 10.13.3

Impact: een onbevoegd programma kan toetsaanslagen in andere programma's registeren, zelfs wanneer de veilige invoermodus is ingeschakeld

Beschrijving: door het scannen van toetsstatussen kon een onbevoegd programma toetsaanslagen in andere programma's registreren, zelfs wanneer de veilige invoermodus was ingeschakeld. Dit probleem is verholpen door verbeterd statusbeheer.

CVE-2018-4131: Andreas Hegenberg van folivora.AI GmbH

Aanvullende erkenning

Mail

Met dank aan Sabri Haddouche (@pwnsdx) van Wire Swiss GmbH voor zijn hulp.

Toegevoegd op 21 juni 2018

Beveiliging

Met dank aan Abraham Masri (@cheesecakeufo) voor zijn hulp.

Toegevoegd op 13 april 2018

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: