Over de beveiligingsinhoud van macOS High Sierra 10.13.5, Beveiligingsupdate 2018-003 Sierra, Beveiligingsupdate 2018-003 El Capitan
In dit document wordt de beveiligingsinhoud beschreven van macOS High Sierra 10.13.5, Beveiligingsupdate 2018-003 Sierra, Beveiligingsupdate 2018-003 El Capitan.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
macOS High Sierra 10.13.5, Beveiligingsupdate 2018-003 Sierra, Beveiligingsupdate 2018-003 El Capitan
Framework voor toegankelijkheid
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met de vrijgave van informatie in het framework voor toegankelijkheid. Dit probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2018-4196: Alex Plaskett, Georgi Geshev en Fabian Beterke van MWR Labs in samenwerking met het Zero Day Initiative van Trend Micro en WanderingGlitch van het Zero Day Initiative van Trend Micro
AMD
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2018-4253: shrek_wzw van het Qihoo 360 Nirvan Team
AMD
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2018-4256: shrek_wzw van het Qihoo 360 Nirvan Team
AMD
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2018-4255: shrek_wzw van het Qihoo 360 Nirvan Team
AMD
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een probleem met de invoervalidatie in de kernel. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2018-4254: een anonieme onderzoeker
AMD
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een probleem met de invoervalidatie in de kernel. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2018-4254: shrek_wzw van het Qihoo 360 Nirvan Team
AppleGraphicsControl
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een bufferoverloop is verholpen door verbeterde bereikcontrole.
CVE-2018-4258: shrek_wzw van het Qihoo 360 Nirvan Team
AppleGraphicsPowerManagement
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2018-4257: shrek_wzw van het Qihoo 360 Nirvan Team
apache_mod_php
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: problemen in php zijn verholpen in deze update
Beschrijving: dit probleem is opgelost door een update van php naar versie 7.1.16.
CVE-2018-7584: Wei Lei en Liu Yang van Nanyang Technological University
ATS
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een type confusion-probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4219: Mohamed Ghannam (@_simo36)
Bluetooth
Beschikbaar voor: MacBook Pro (Retina, 15-inch, medio 2015), MacBook Pro (Retina, 15-inch, 2015), MacBook Pro (Retina, 13-inch, begin 2015), MacBook Pro (15-inch, 2017), MacBook Pro (15-inch, 2016), MacBook Pro (13-inch, eind 2016, twee Thunderbolt 3-poorten), MacBook Pro (13-inch, eind 2016, vier Thunderbolt 3-poorten), MacBook Pro (13-inch, 2017, vier Thunderbolt 3-poorten), MacBook (Retina, 12-inch, begin 2016), MacBook (Retina, 12-inch, begin 2015), MacBook (Retina, 12-inch, 2017), iMac Pro, iMac (Retina 5K, 27-inch, eind 2015), iMac (Retina 5K, 27-inch, 2017), iMac (Retina 4K, 21,5-inch, eind 2015), iMac (Retina 4K, 21,5-inch, 2017), iMac (21,5-inch, eind 2015) en iMac (21,5-inch, 2017)
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk Bluetooth-verkeer onderscheppen
Beschrijving: er was een probleem met de invoervalidatie in Bluetooth. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2018-5383: Lior Neumann en Eli Biham
Bluetooth
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen.
Beschrijving: er was een probleem met de vrijgave van informatie bij apparaateigenschappen. Dit probleem is verholpen door verbeterd objectbeheer.
CVE-2018-4171: shrek_wzw van het Qihoo 360 Nirvan Team
CoreGraphics
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2018-4194: Jihui Lu van Tencent KeenLab, Yu Zhou van Ant-financial Light-Year Security Lab
CUPS
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een lokaal proces kan andere processen wijzigen zonder controle van de bevoegdheden
Beschrijving: er was een probleem in CUPS. Dit is verholpen met verbeterde toegangsbeperkingen.
CVE-2018-4180: Dan Bastone van Gotham Digital Science
CUPS
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een lokale gebruiker kan willekeurige bestanden lezen als root
Beschrijving: er was een probleem in CUPS. Dit is verholpen met verbeterde toegangsbeperkingen.
CVE-2018-4181: Eric Rafaloff en John Dunlap van Gotham Digital Science
CUPS
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: een toegangsprobleem is verholpen met aanvullende sandboxbeperkingen in CUPS.
CVE-2018-4182: Dan Bastone van Gotham Digital Science
CUPS
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2018-4183: Dan Bastone en Eric Rafaloff van Gotham Digital Science
EFI
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een aanvaller met fysieke toegang tot een apparaat kan mogelijk de bevoegdheden verhogen
Beschrijving: een validatieprobleem is verholpen door verbeterde logica.
CVE-2018-4478: een anonieme onderzoeker, een anonieme onderzoeker, Ben Erickson van Trusted Computer Consulting, LLC
Firmware
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een schadelijk programma met root-bevoegdheden kan mogelijk het EFI-flashgeheugengebied wijzigen
Beschrijving: een probleem met de apparaatconfiguratie is verholpen door een bijgewerkte configuratie.
CVE-2018-4251: Maxim Goryachy en Mark Ermolov
FontParser
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2018-4211: Proteas van het Qihoo 360 Nirvan Team
Grand Central Dispatch
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: er was een probleem bij het parseren van entitlement.plists. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2018-4229: Jakob Rieck (@0xdead10cc) van de Security in Distributed Systems Group, Universität Hamburg
Grafische besturingsbestanden
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2018-4159: Axis en pjf van IceSword Lab van Qihoo 360
Hypervisor
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een kwetsbaarheid voor geheugenbeschadiging is verholpen door verbeterde vergrendeling.
CVE-2018-4242: Zhuo Liang van het Qihoo 360 Nirvan Team
iBooks
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk valselijk om wachtwoorden vragen in iBooks
Beschrijving: een probleem met de invoervalidatie is verholpen door een verbeterde invoervalidatie.
CVE-2018-4202: Jerry Decime
Identiteitsvoorzieningen
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een schadelijk programma heeft mogelijk toegang tot de Apple ID's van lokale gebruikers
Beschrijving: een privacyprobleem bij de verwerking van Open Directory-records is verholpen door verbeterde indexering.
CVE-2018-4217: Jacob Greenfield van Commonwealth School
Intel Graphics Driver
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2018-4141: een anonieme onderzoeker, Zhao Qixun (@S0rryMybad) van het Qihoo 360 Vulcan Team
IOFireWireAVC
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een 'race condition' is verholpen door verbeterde vergrendeling.
CVE-2018-4228: Benjamin Gnahm (@mitp0sh) van Mentor Graphics
IOGraphics
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4236: Zhao Qixun (@S0rryMybad) van het Qihoo 360 Vulcan Team
IOHIDFamily
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4234: Proteas van het Qihoo 360 Nirvan Team
Kernel
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4249: Kevin Backhouse van Semmle Ltd.
Kernel
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: in bepaalde omstandigheden verwachten sommige besturingssystemen na bepaalde instructies geen door de Intel-architectuur afgegeven debuguitzondering of verwerken ze deze niet correct. Het probleem lijkt het gevolg te zijn van een niet-gedocumenteerde bijwerking van de instructies. Een aanvaller kan mogelijk deze verwerking van uitzonderingen gebruiken om toegang te krijgen tot Ring 0 en tot gevoelige geheugen- of controleprocessen in het besturingssysteem.
CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox) van Everdox Tech LLC
Kernel
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een bufferoverloop is verholpen door verbeterde bereikcontrole.
CVE-2018-4241: Ian Beer van Google Project Zero
CVE-2018-4243: Ian Beer van Google Project Zero
libxpc
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2018-4237: Samuel Groß (@5aelo) in samenwerking met het Zero Day Initiative van Trend Micro
libxpc
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4404: Samuel Groß (@5aelo) in samenwerking met het Zero Day Initiative van Trend Micro
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een aanvaller kan mogelijk de inhoud achterhalen van e-mail die is gecodeerd met S/MIME
Beschrijving: er was een probleem bij de verwerking van gecodeerde e-mail. Dit probleem is verholpen door een verbeterde isolatie van MIME in Mail.
CVE-2018-4227: Damian Poddebniak van de Fachhochschule Münster, Christian Dresen van de Fachhochschule Münster, Jens Müller van de Ruhr-Universität Bochum, Fabian Ising van de Fachhochschule Münster, Sebastian Schinzel van de Fachhochschule Münster, Simon Friedberger van de KU Leuven, Juraj Somorovsky van de Ruhr-Universität Bochum, Jörg Schwenk van de Ruhr-Universität Bochum
Berichten
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een lokale gebruiker kan imitatie-aanvallen uitvoeren
Beschrijving: een probleem met invoegen is opgelost met verbeterde invoervalidatie.
CVE-2018-4235: Anurodh Pokharel van Salesforce.com
Berichten
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: het verwerken van een kwaadwillig vervaardigd bericht kan leiden tot een denial of service
Beschrijving: dit probleem is verholpen door middel van verbeterde berichtvalidatie.
CVE-2018-4240: Sriram (@Sri_Hxor) van PrimeFort Pvt. Ltd
NVIDIA Graphics Drivers
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een 'race condition' is verholpen door verbeterde vergrendeling.
CVE-2018-4230: Ian Beer van Google Project Zero
Beveiliging
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: gebruikers kunnen via clientcertificaten worden gevolgd door schadelijke websites
Beschrijving: er was een probleem bij de verwerking S/MIME-certificaten. Dit probleem is verholpen door een verbeterde validatie van S/MIME-certificaten.
CVE-2018-4221: Damian Poddebniak van de Fachhochschule Münster, Christian Dresen van de Fachhochschule Münster, Jens Müller van de Ruhr-Universität Bochum, Fabian Ising van de Fachhochschule Münster, Sebastian Schinzel van de Fachhochschule Münster, Simon Friedberger van de KU Leuven, Juraj Somorovsky van de Ruhr-Universität Bochum, Jörg Schwenk van de Ruhr-Universität Bochum
Beveiliging
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een lokale gebruiker kan een permanente accountidentifier lezen
Beschrijving: een autorisatieprobleem is opgelost door verbeterd statusbeheer.
CVE-2018-4223: Abraham Masri (@cheesecakeufo)
Beveiliging
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een lokale gebruiker kan een permanente apparaatidentifier lezen
Beschrijving: een autorisatieprobleem is opgelost door verbeterd statusbeheer.
CVE-2018-4224: Abraham Masri (@cheesecakeufo)
Beveiliging
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een lokale gebruiker kan de status van de sleutelhanger aanpassen
Beschrijving: een autorisatieprobleem is opgelost door verbeterd statusbeheer.
CVE-2018-4225: Abraham Masri (@cheesecakeufo)
Beveiliging
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken
Beschrijving: een autorisatieprobleem is opgelost door verbeterd statusbeheer.
CVE-2018-4226: Abraham Masri (@cheesecakeufo)
Spraak
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: er was een probleem met sandbox bij de verwerking van de toegang tot de microfoon. Dit probleem is verholpen door een verbeterde verwerking van de toegang tot de microfoon.
CVE-2018-4184: Jakob Rieck (@0xdead10cc) van de Security in Distributed Systems Group, Universität Hamburg
UIKit
Beschikbaar voor: macOS High Sierra 10.13.4
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot een denial of service
Beschrijving: er was een validatieprobleem bij de verwerking van tekst. Dit probleem is verholpen door een verbeterde validatie van tekst.
CVE-2018-4198: Hunter Byrnes
Windows Server
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4193: Markus Gaasedelen, Amy Burnett en Patrick Biernat van Ret2 Systems, Inc in samenwerking met het Zero Day Initiative van Trend Micro, Richard Zhu (fluorescence) in samenwerking met het Zero Day Initiative van Trend Micro
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.