Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple versleutelen via de Apple Product Security PGP-sleutel.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
macOS High Sierra 10.13.6, Beveiligingsupdate 2018-004 Sierra, Beveiligingsupdate 2018-004 El Capitan
Releasedatum: 9 juli 2018
Accounts
Beschikbaar voor: macOS High Sierra 10.13.5
Impact: een schadelijk programma heeft mogelijk toegang tot de Apple ID's van lokale gebruikers
Beschrijving: een privacyprobleem bij de verwerking van Open Directory-records is verholpen door verbeterde indexering.
CVE-2018-4470: Jacob Greenfield van Commonwealth School
Toegevoegd op 10 december 2018
AMD
Beschikbaar voor: macOS High Sierra 10.13.5
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: een probleem met vrijgave van gegevens is opgelost door de kwetsbare code te verwijderen.
CVE-2018-4289: shrek_wzw van het Qihoo 360 Nirvan Team
APFS
Beschikbaar voor: macOS High Sierra 10.13.5
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4268: Mac in samenwerking met het Zero Day Initiative van Trend Micro
ATS
Beschikbaar voor: macOS High Sierra 10.13.5
Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen
Beschrijving: een type confusion-probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4285: Mohamed Ghannam (@_simo36)
Bluetooth
Beschikbaar voor: MacBook Pro (15-inch, 2018) en MacBook Pro (13-inch, 2018, vier Thunderbolt 3-poorten)
Andere Mac-modellen zijn uitgerust met macOS High Sierra 10.13.5.
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk Bluetooth-verkeer onderscheppen
Beschrijving: er was een probleem met de invoervalidatie in Bluetooth. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2018-5383: Lior Neumann en Eli Biham
Toegevoegd op 23 juli 2018
CFNetwork
Beschikbaar voor: macOS High Sierra 10.13.5
Impact: cookies kunnen onverwachts blijven bestaan in Safari
Beschrijving: een probleem met het beheer van cookies is verholpen door middel van verbeterde controles.
CVE-2018-4293: een anonieme onderzoeker
CoreCrypto
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Impact: een kwaadaardig programma kan buiten zijn sandbox komen
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2018-4269: Abraham Masri (@cheesecakeufo)
CUPS
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 en macOS High Sierra 10.13.5
Impact: een aanvaller in een geprivilegieerde positie kan een denial of service-aanval uitvoeren
Beschrijving: een null pointer dereference-probleem is verholpen door verbeterde validatie.
CVE-2018-4276: Jakub Jirasek van Secunia Research bij Flexera
Toegevoegd op 25 september 2018
DesktopServices
Beschikbaar voor: macOS Sierra 10.12.6
Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken
Beschrijving: er was een probleem met toestemmingen waarbij uitvoertoestemming ten onrechte werd toegekend. Dit probleem is verholpen door een verbeterde validatie van bevoegdheden.
CVE-2018-4178: Arjen Hendrikse
Intel Graphics Driver
Beschikbaar voor: macOS High Sierra 10.13.5
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2018-4456: Tyler Bohan van Cisco Talos
Bijgewerkt op 22 januari 2019
IOGraphics
Beschikbaar voor: macOS High Sierra 10.13.5
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2018-4283: @panicaII in samenwerking met het Zero Day Initiative van Trend Micro
Kernel
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 en macOS High Sierra 10.13.5
Impact: bij systemen met op Intel® Core gebaseerde microprocessoren kan een lokaal proces mogelijk gegevens afleiden met behulp van een 'lazy FP state restore' van een ander proces via een zijkanaal van speculatieve uitvoering
Beschrijving: 'lazy FP state restore' in plaats van 'eager save and restore' van de status bij een contextwisseling. Statussen die 'lazy' worden hersteld, zijn mogelijk kwetsbaar voor misbruik waarbij een proces registerwaarden van andere processen kan afleiden via een zijkanaal van speculatieve uitvoering dat deze waarden afleidt.
Een probleem met vrijgave van gegevens is verholpen door opschoning van de status van het FP/SIMD-register.
CVE-2018-3665: Julian Stecklina van Amazon Germany, Thomas Prescher van Cyberus Technology GmbH (cyberus-technology.de), Zdenek Sojka van SYSGO AG (sysgo.com) en Colin Percival
Kernel
Beschikbaar voor: macOS High Sierra 10.13.5
Impact: het activeren van een kwaadwillig vervaardigde NFS-netwerkshare kan leiden tot het uitvoeren van willekeurige code met systeembevoegdheden
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4259: Kevin Backhouse van Semmle and LGTM.com
CVE-2018-4286: Kevin Backhouse van Semmle and LGTM.com
CVE-2018-4287: Kevin Backhouse van Semmle and LGTM.com
CVE-2018-4288: Kevin Backhouse van Semmle and LGTM.com
CVE-2018-4291: Kevin Backhouse van Semmle and LGTM.com
Toegevoegd op 30 oktober 2018
libxpc
Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 en macOS High Sierra 10.13.5
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4280: Brandon Azad
libxpc
Beschikbaar voor: macOS High Sierra 10.13.5
Impact: een kwaadwillig vervaardigd programma kan beperkt geheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2018-4248: Brandon Azad
LinkPresentation
Beschikbaar voor: macOS High Sierra 10.13.5
Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing
Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2018-4277: xisigr van het Xuanwu Lab van Tencent (tencent.com)
Perl
Beschikbaar voor: macOS High Sierra 10.13.5
Impact: er waren meerdere problemen met de bufferoverloop in Perl
Beschrijving: meerdere problemen in Perl zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-6797: Brian Carpenter
CVE-2018-6913: GwanYeong Kim
Toegevoegd op 30 oktober 2018
Ruby
Beschikbaar voor: macOS High Sierra 10.13.5
Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: meerdere problemen in Ruby zijn verholpen in deze update.
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
Toegevoegd op 30 oktober 2018
WebKit
Beschikbaar voor: macOS High Sierra 10.13.5
Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing
Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2018-4274: Tomasz Bojarski
Toegevoegd op 28 juli 2020
Aanvullende erkenning
App Store
Met dank aan Jesse Endahl en Stevie Hryciw van Fleetsmith, en Max Bélanger van Dropbox voor hun hulp.
Toegevoegd op 8 augustus 2018
Help-viewer
Met dank aan Wojciech Reguła (@_r3ggi) van SecuRing voor zijn hulp bij een viertal beschermende maatregelen.
Kernel
We zijn erkentelijk voor de hulp van juwei lin (@panicaII) van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro.
Beveiliging
Met dank aan Brad Dahlsten van Iowa State University voor zijn hulp.