Over de beveiligingsinhoud van macOS Mojave 10.14

In dit document wordt de beveiligingsinhoud van macOS Mojave 10.14 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

macOS Mojave 10.14

Releasedatum 24 september 2018

Bluetooth

Beschikbaar voor: iMac (21,5-inch, eind 2012), iMac (27-inch, eind 2012), iMac (21,5-inch, eind 2013), iMac (21.5-inch, medio 2014), iMac (Retina 5K, 27-inch, eind 2014), iMac (21,5-inch, eind 2015), Mac mini (medio 2011), Mac mini Server (medio 2011), Mac mini (eind 2012), Mac mini Server (eind 2012), Mac mini (eind 2014), Mac Pro (eind 2013), MacBook Air (11-inch, medio 2011), MacBook Air (13-inch, medio 2011), MacBook Air (11-inch, medio 2012), MacBook Air (13-inch, medio 2012), MacBook Air (11-inch, medio 2013), MacBook Air (13-inch, medio 2013), MacBook Air (11-inch, begin 2015), MacBook Air (13-inch, begin 2015), MacBook Pro (13-inch, medio 2012), MacBook Pro (15-inch, medio 2012), MacBook Pro (Retina, 13-inch, begin 2013), MacBook Pro (Retina, 15-inch, begin 2013), MacBook Pro (Retina, 13-inch, eind 2013) en MacBook Pro (Retina, 15-inch, eind 2013)

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk Bluetooth-verkeer onderscheppen

Beschrijving: er was een probleem met de invoervalidatie in Bluetooth. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2018-5383: Lior Neumann en Eli Biham

 

De onderstaande updates zijn beschikbaar voor deze Mac-modellen: MacBook (begin 2015 en later), MacBook Air (medio 2012 en later), MacBook Pro (medio 2012 en later), Mac mini (eind 2012 en later), iMac (eind 2012 en later), iMac Pro (alle modellen), Mac Pro (eind 2013, medio 2010 en modellen van medio 2012 met aanbevolen grafische kaart die Metal ondersteunt, waaronder MSI Gaming Radeon RX 560 en Sapphire Radeon PULSE RX 580)

afpserver

Impact: een externe aanvaller kan AFP-servers via HTTP-clients aanvallen

Beschrijving: een probleem met de invoervalidatie is verholpen door een verbeterde invoervalidatie.

CVE-2018-4295: Jianjun Chen (@whucjj) van Tsinghua University en UC Berkeley

Toegevoegd op 30 oktober 2018

App Store

Impact: een schadelijk programma kan de Apple ID van de eigenaar van de computer achterhalen

Beschrijving: er was een probleem met bevoegdheden bij de verwerking van de Apple ID. Dit probleem is verholpen door verbeterde toegangscontroles.

CVE-2018-4324: Sergii Kryvoblotskyi van MacPaw Inc.

AppleGraphicsControl

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2018-4417: Lee van het Information Security Lab, Yonsei University in samenwerking met Trend Micro's Zero Day Initiative

Toegevoegd op 30 oktober 2018

Programma-firewall

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.

CVE-2018-4353: Abhinav Bansal of LinkedIn Inc.

Bijgewerkt op 30 oktober 2018

APR

Impact: er waren meerdere problemen met de bufferoverloop in Perl

Beschrijving: meerdere problemen in Perl zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-12613: Craig Young van Tripwire VERT

CVE-2017-12618: Craig Young van Tripwire VERT

Toegevoegd op 30 oktober 2018

ATS

Impact: een schadelijk programma kan de bevoegdheden verhogen

Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.

CVE-2018-4411: lilang wu moony Li van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 30 oktober 2018

ATS

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Toegevoegd op 30 oktober 2018

Automatische ontgrendeling

Impact: een kwaadaardig programma heeft mogelijk toegang tot de Apple ID's van lokale gebruikers

Beschrijving: er was een probleem met de validatie in de verificatie van toegangsrechten. Dit probleem is verholpen met verbeterde validatie van de toegangsrechten van processen.

CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai van Alibaba Inc.

CFNetwork

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4126: Bruno Keith (@bkth_) in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 30 oktober 2018

CoreFoundation

Impact: een schadelijk programma kan de bevoegdheden verhogen

Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.

CVE-2018-4412: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk

Toegevoegd op 30 oktober 2018

CoreFoundation

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.

CVE-2018-4414: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk

Toegevoegd op 30 oktober 2018

CoreText

Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2018-4347: een anonieme onderzoeker

Toegevoegd op 30 oktober 2018

Crashrapportage

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2018-4333: Brandon Azad

CUPS

Impact: in bepaalde omstandigheden kan een externe aanvaller de inhoud van het bericht van de printerserver vervangen door willekeurige inhoud

Beschrijving: een probleem met invoegen is opgelost met verbeterde validatie.

CVE-2018-4153: Michael Hanselmann van hansmi.ch

Toegevoegd op 30 oktober 2018

CUPS

Impact: een aanvaller in een geprivilegieerde positie kan een denial of service-aanval uitvoeren

Beschrijving: een probleem met denial of service is verholpen door een verbeterde validatie.

CVE-2018-4406: Michael Hanselmann van hansmi.ch

Toegevoegd op 30 oktober 2018

Woordenboek

Impact: het parseren van een kwaadaardig woordenboekbestand kan leiden tot het vrijgeven van gebruikersgegevens

Beschrijving: er was een validatieprobleem waardoor toegang tot lokale bestanden mogelijk was. Dit is verholpen door invoeropschoning.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) van SecuRing

Toegevoegd op 30 oktober 2018

Grand Central Dispatch

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4426: Brandon Azad

Toegevoegd op 30 oktober 2018

Heimdal

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Toegevoegd op 30 oktober 2018

Hypervisor

Impact: systemen met microprocessors die gebruikmaken van speculatieve uitvoering en adresvertalingen staan mogelijk ongeautoriseerde vrijgave toe van informatie die aanwezig is in de L1 datacache aan een aanvaller met lokale gebruikerstoegang met guest OS-bevoegdheid, via een wisselbestandsfout en een 'side-channel'-analyse

Beschrijving: een probleem met de vrijgave van informatie is opgelost door de L1 datacache leeg te maken bij de invoer van de virtuele machine.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse en Thomas F. Wenisch van University of Michigan, Mark Silberstein en Marina Minkin van Technion, Raoul Strackx, Jo Van Bulck en Frank Piessens van KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun en Kekai Hu van Intel Corporation, Yuval Yarom van University of Adelaide

Toegevoegd op 30 oktober 2018

iBooks

Impact: het parseren van een kwaadwillig vervaardigd iBooks-bestand kan leiden tot het vrijgeven van gebruikersgegevens

Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.

CVE-2018-4355: evi1m0 van het bilibili security team

Toegevoegd op 30 oktober 2018

Intel Graphics Driver

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2018-4396: Yu Wang van Didi Research America

CVE-2018-4418: Yu Wang van Didi Research America

Toegevoegd op 30 oktober 2018

Intel Graphics Driver

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4351: Appology Team van Theori in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 30 oktober 2018

Intel Graphics Driver

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.

CVE-2018-4350: Yu Wang van Didi Research America

Toegevoegd op 30 oktober 2018

Intel Graphics Driver

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4334: Ian Beer van Google Project Zero

Toegevoegd op 30 oktober 2018

IOHIDFamily

Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie

CVE-2018-4408: Ian Beer van Google Project Zero

Toegevoegd op 30 oktober 2018

IOKit

Impact: een kwaadaardig programma kan buiten zijn sandbox komen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4341: Ian Beer van Google Project Zero

CVE-2018-4354: Ian Beer van Google Project Zero

Toegevoegd op 30 oktober 2018

IOKit

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2018-4383: Apple

Toegevoegd op 30 oktober 2018

IOUserEthernet

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4401: Apple

Toegevoegd op 30 oktober 2018

Kernel

Impact: een schadelijke app kan vertrouwelijke gebruikersinformatie vrijgeven

Beschrijving: er was een toegangsprobleem met geprivilegieerde API-aanroepen. Dit probleem is opgelost door extra beperkingen.

CVE-2018-4399: Fabiano Anemone (@anoane)

Toegevoegd op 30 oktober 2018

Kernel

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk willekeurige code uitvoeren

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2018-4407: Kevin Backhouse van Semmle Ltd.

Toegevoegd op 30 oktober 2018

Kernel

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer van Google Project Zero

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk

CVE-2018-4425: cc in samenwerking met het Zero Day Initiative van Trend Micro, Juwei Lin (@panicaII) van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Bijgewerkt op 30 oktober 2018

LibreSSL

Impact: meerdere problemen in libressl zijn verholpen in deze update

Beschrijving: meerdere problemen zijn verholpen door libressl bij te werken naar versie 2.6.4.

CVE-2015-3194

CVE-2015-5333

CVE-2015-5334

CVE-2016-702

Toegevoegd op 30 oktober 2018

Inlogvenster

Impact: een lokale gebruiker kan een denial of service veroorzaken

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2018-4348: Ken Gannon van MWR InfoSecurity en Christian Demko van MWR InfoSecurity

Toegevoegd op 30 oktober 2018

mDNSOffloadUserClient

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4326: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro, Zhuo Liang van het Qihoo 360 Nirvan Team

Toegevoegd op 30 oktober 2018

MediaRemote

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.

CVE-2018-4310: CodeColorist van Ant-Financial LightYear Labs

Toegevoegd op 30 oktober 2018

Microcode

Impact: systemen met microprocessors die gebruikmaken van speculatieve uitvoering en speculatieve uitvoering van het lezen van geheugen voordat de al naar het geheugen geschreven adressen bekend zijn, staan mogelijk ongeautoriseerde vrijgave van informatie toe aan een aanvaller met lokale gebruikerstoegang via een 'side-channel'-analyse.

Beschrijving: een probleem met de vrijgave van informatie is opgelost door middel van bijgewerkte microcode. Zo wordt ervoor gezorgd dat oudere data die gelezen wordt vanaf de recent geschreven adressen, niet kan worden gelezen via een speculatieve 'side-channel'.

CVE-2018-3639: Jann Horn (@tehjh) van Google Project Zero (GPZ), Ken Johnson van het Microsoft Security Response Center (MSRC)

Toegevoegd op 30 oktober 2018

Beveiliging

Impact: een lokale gebruiker kan een denial of service veroorzaken

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2018-4395: Patrick Wardle van Digita Security

Toegevoegd op 30 oktober 2018

Beveiliging

Impact: een aanvaller kan mogelijk gebruikmaken van de kwetsbaarheden in het cryptografische RC4-algoritme

Beschrijving: dit probleem is verholpen door RC4 te verwijderen.

CVE-2016-1777: Pepi Zawodsky

Spotlight

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4393: Lufeng Li

Toegevoegd op 30 oktober 2018

Symptom Framework

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.

CVE-2018-4203: Bruno Keith (@bkth_) in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 30 oktober 2018

Tekst

Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot een denial of service

Beschrijving: een probleem met denial of service is verholpen door een verbeterde validatie.

CVE-2018-4304: jianan.huang (@Sevck)

Toegevoegd op 30 oktober 2018

Wifi

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2018-4338: Lee van SECLAB, Yonsei University in samenwerking met Trend Micro's Zero Day Initiative

Toegevoegd op 23 oktober 2018

Aanvullende erkenning

Framework voor toegankelijkheid

Met dank aan Ryan Govostes voor zijn hulp.

Core Data

Met dank aan Andreas Kurtz (@aykay) van NESO Security Labs GmbH voor zijn hulp.

CoreGraphics

Met dank aan Nitin Arya van Roblox Corporation voor zijn hulp.

Mail

Met dank aan Alessandro Avagliano van Rocket Internet SE, John Whitehead van The New York Times, Kelvin Delbarre van Omicron Software Systems en Zbyszek Żółkiewski voor hun hulp.

Beveiliging

Met dank aan Christoph Sinai, Daniel Dudek (@dannysapples) van The Irish Times en Filip Klubička (@lemoncloak) van ADAPT Centre, Dublin Institute of Technology, Istvan Csanady van Shapr3D, Omar Barkawi van ITG Software, Inc., Phil Caleno, Wilson Ding en een anonieme onderzoeker voor hun hulp.

SQLite

Met dank aan Andreas Kurtz (@aykay) van NESO Security Labs GmbH voor zijn hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: