Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
macOS Mojave 10.14
Releasedatum 24 september 2018
Bluetooth
Beschikbaar voor: iMac (21,5-inch, eind 2012), iMac (27-inch, eind 2012), iMac (21,5-inch, eind 2013), iMac (21.5-inch, medio 2014), iMac (Retina 5K, 27-inch, eind 2014), iMac (21,5-inch, eind 2015), Mac mini (medio 2011), Mac mini Server (medio 2011), Mac mini (eind 2012), Mac mini Server (eind 2012), Mac mini (eind 2014), Mac Pro (eind 2013), MacBook Air (11-inch, medio 2011), MacBook Air (13-inch, medio 2011), MacBook Air (11-inch, medio 2012), MacBook Air (13-inch, medio 2012), MacBook Air (11-inch, medio 2013), MacBook Air (13-inch, medio 2013), MacBook Air (11-inch, begin 2015), MacBook Air (13-inch, begin 2015), MacBook Pro (13-inch, medio 2012), MacBook Pro (15-inch, medio 2012), MacBook Pro (Retina, 13-inch, begin 2013), MacBook Pro (Retina, 15-inch, begin 2013), MacBook Pro (Retina, 13-inch, eind 2013) en MacBook Pro (Retina, 15-inch, eind 2013)
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk Bluetooth-verkeer onderscheppen
Beschrijving: er was een probleem met de invoervalidatie in Bluetooth. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2018-5383: Lior Neumann en Eli Biham
De onderstaande updates zijn beschikbaar voor deze Mac-modellen: MacBook (begin 2015 en later), MacBook Air (medio 2012 en later), MacBook Pro (medio 2012 en later), Mac mini (eind 2012 en later), iMac (eind 2012 en later), iMac Pro (alle modellen), Mac Pro (eind 2013, medio 2010 en modellen van medio 2012 met aanbevolen grafische kaart die Metal ondersteunt, waaronder MSI Gaming Radeon RX 560 en Sapphire Radeon PULSE RX 580)
afpserver
Impact: een externe aanvaller kan AFP-servers via HTTP-clients aanvallen
Beschrijving: een probleem met de invoervalidatie is verholpen door een verbeterde invoervalidatie.
CVE-2018-4295: Jianjun Chen (@whucjj) van Tsinghua University en UC Berkeley
Toegevoegd op 30 oktober 2018
App Store
Impact: een schadelijk programma kan de Apple ID van de eigenaar van de computer achterhalen
Beschrijving: er was een probleem met bevoegdheden bij de verwerking van de Apple ID. Dit probleem is verholpen door verbeterde toegangscontroles.
CVE-2018-4324: Sergii Kryvoblotskyi van MacPaw Inc.
AppleGraphicsControl
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2018-4417: Lee van het Information Security Lab, Yonsei University in samenwerking met Trend Micro's Zero Day Initiative
Toegevoegd op 30 oktober 2018
Programma-firewall
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.
CVE-2018-4353: Abhinav Bansal of LinkedIn Inc.
Bijgewerkt op 30 oktober 2018
APR
Impact: er waren meerdere problemen met de bufferoverloop in Perl
Beschrijving: meerdere problemen in Perl zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-12613: Craig Young van Tripwire VERT
CVE-2017-12618: Craig Young van Tripwire VERT
Toegevoegd op 30 oktober 2018
ATS
Impact: een schadelijk programma kan de bevoegdheden verhogen
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2018-4411: lilang wu moony Li van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 30 oktober 2018
ATS
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.
CVE-2018-4308: Mohamed Ghannam (@_simo36)
Toegevoegd op 30 oktober 2018
Automatische ontgrendeling
Impact: een kwaadaardig programma heeft mogelijk toegang tot de Apple ID's van lokale gebruikers
Beschrijving: er was een probleem met de validatie in de verificatie van toegangsrechten. Dit probleem is verholpen met verbeterde validatie van de toegangsrechten van processen.
CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai van Alibaba Inc.
CFNetwork
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4126: Bruno Keith (@bkth_) in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 30 oktober 2018
CoreFoundation
Impact: een schadelijk programma kan de bevoegdheden verhogen
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2018-4412: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk
Toegevoegd op 30 oktober 2018
CoreFoundation
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2018-4414: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk
Toegevoegd op 30 oktober 2018
CoreText
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2018-4347: een anonieme onderzoeker
Toegevoegd op 30 oktober 2018
Crashrapportage
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2018-4333: Brandon Azad
CUPS
Impact: in bepaalde omstandigheden kan een externe aanvaller de inhoud van het bericht van de printerserver vervangen door willekeurige inhoud
Beschrijving: een probleem met invoegen is opgelost met verbeterde validatie.
CVE-2018-4153: Michael Hanselmann van hansmi.ch
Toegevoegd op 30 oktober 2018
CUPS
Impact: een aanvaller in een geprivilegieerde positie kan een denial of service-aanval uitvoeren
Beschrijving: een probleem met denial of service is verholpen door een verbeterde validatie.
CVE-2018-4406: Michael Hanselmann van hansmi.ch
Toegevoegd op 30 oktober 2018
Woordenboek
Impact: het parseren van een kwaadaardig woordenboekbestand kan leiden tot het vrijgeven van gebruikersgegevens
Beschrijving: er was een validatieprobleem waardoor toegang tot lokale bestanden mogelijk was. Dit is verholpen door invoeropschoning.
CVE-2018-4346: Wojciech Reguła (@_r3ggi) van SecuRing
Toegevoegd op 30 oktober 2018
Grand Central Dispatch
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4426: Brandon Azad
Toegevoegd op 30 oktober 2018
Heimdal
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4331: Brandon Azad
CVE-2018-4332: Brandon Azad
CVE-2018-4343: Brandon Azad
Toegevoegd op 30 oktober 2018
Hypervisor
Impact: systemen met microprocessors die gebruikmaken van speculatieve uitvoering en adresvertalingen staan mogelijk ongeautoriseerde vrijgave toe van informatie die aanwezig is in de L1 datacache aan een aanvaller met lokale gebruikerstoegang met guest OS-bevoegdheid, via een wisselbestandsfout en een 'side-channel'-analyse
Beschrijving: een probleem met de vrijgave van informatie is opgelost door de L1 datacache leeg te maken bij de invoer van de virtuele machine.
CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse en Thomas F. Wenisch van University of Michigan, Mark Silberstein en Marina Minkin van Technion, Raoul Strackx, Jo Van Bulck en Frank Piessens van KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun en Kekai Hu van Intel Corporation, Yuval Yarom van University of Adelaide
Toegevoegd op 30 oktober 2018
iBooks
Impact: het parseren van een kwaadwillig vervaardigd iBooks-bestand kan leiden tot het vrijgeven van gebruikersgegevens
Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.
CVE-2018-4355: evi1m0 van het bilibili security team
Toegevoegd op 30 oktober 2018
Intel Graphics Driver
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2018-4396: Yu Wang van Didi Research America
CVE-2018-4418: Yu Wang van Didi Research America
Toegevoegd op 30 oktober 2018
Intel Graphics Driver
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4351: Appology Team van Theori in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 30 oktober 2018
Intel Graphics Driver
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2018-4350: Yu Wang van Didi Research America
Toegevoegd op 30 oktober 2018
Intel Graphics Driver
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4334: Ian Beer van Google Project Zero
Toegevoegd op 30 oktober 2018
IOHIDFamily
Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie
CVE-2018-4408: Ian Beer van Google Project Zero
Toegevoegd op 30 oktober 2018
IOKit
Impact: een kwaadaardig programma kan buiten zijn sandbox komen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4341: Ian Beer van Google Project Zero
CVE-2018-4354: Ian Beer van Google Project Zero
Toegevoegd op 30 oktober 2018
IOKit
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2018-4383: Apple
Toegevoegd op 30 oktober 2018
IOUserEthernet
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4401: Apple
Toegevoegd op 30 oktober 2018
Kernel
Impact: een schadelijke app kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: er was een toegangsprobleem met geprivilegieerde API-aanroepen. Dit probleem is opgelost door extra beperkingen.
CVE-2018-4399: Fabiano Anemone (@anoane)
Toegevoegd op 30 oktober 2018
Kernel
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk willekeurige code uitvoeren
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2018-4407: Kevin Backhouse van Semmle Ltd.
Toegevoegd op 30 oktober 2018
Kernel
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4336: Brandon Azad
CVE-2018-4337: Ian Beer van Google Project Zero
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4344: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk
CVE-2018-4425: cc in samenwerking met het Zero Day Initiative van Trend Micro, Juwei Lin (@panicaII) van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro
Bijgewerkt op 30 oktober 2018
LibreSSL
Impact: meerdere problemen in libressl zijn verholpen in deze update
Beschrijving: meerdere problemen zijn verholpen door libressl bij te werken naar versie 2.6.4.
CVE-2015-3194
CVE-2015-5333
CVE-2015-5334
CVE-2016-702
Toegevoegd op 30 oktober 2018
Inlogvenster
Impact: een lokale gebruiker kan een denial of service veroorzaken
Beschrijving: een validatieprobleem is verholpen door verbeterde logica.
CVE-2018-4348: Ken Gannon van MWR InfoSecurity en Christian Demko van MWR InfoSecurity
Toegevoegd op 30 oktober 2018
mDNSOffloadUserClient
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4326: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro, Zhuo Liang van het Qihoo 360 Nirvan Team
Toegevoegd op 30 oktober 2018
MediaRemote
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2018-4310: CodeColorist van Ant-Financial LightYear Labs
Toegevoegd op 30 oktober 2018
Microcode
Impact: systemen met microprocessors die gebruikmaken van speculatieve uitvoering en speculatieve uitvoering van het lezen van geheugen voordat de al naar het geheugen geschreven adressen bekend zijn, staan mogelijk ongeautoriseerde vrijgave van informatie toe aan een aanvaller met lokale gebruikerstoegang via een 'side-channel'-analyse.
Beschrijving: een probleem met de vrijgave van informatie is opgelost door middel van bijgewerkte microcode. Zo wordt ervoor gezorgd dat oudere data die gelezen wordt vanaf de recent geschreven adressen, niet kan worden gelezen via een speculatieve 'side-channel'.
CVE-2018-3639: Jann Horn (@tehjh) van Google Project Zero (GPZ), Ken Johnson van het Microsoft Security Response Center (MSRC)
Toegevoegd op 30 oktober 2018
Beveiliging
Impact: een lokale gebruiker kan een denial of service veroorzaken
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2018-4395: Patrick Wardle van Digita Security
Toegevoegd op 30 oktober 2018
Beveiliging
Impact: een aanvaller kan mogelijk gebruikmaken van de kwetsbaarheden in het cryptografische RC4-algoritme
Beschrijving: dit probleem is verholpen door RC4 te verwijderen.
CVE-2016-1777: Pepi Zawodsky
Spotlight
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4393: Lufeng Li
Toegevoegd op 30 oktober 2018
Symptom Framework
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.
CVE-2018-4203: Bruno Keith (@bkth_) in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 30 oktober 2018
Tekst
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot een denial of service
Beschrijving: een probleem met denial of service is verholpen door een verbeterde validatie.
CVE-2018-4304: jianan.huang (@Sevck)
Toegevoegd op 30 oktober 2018
Wifi
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2018-4338: Lee van SECLAB, Yonsei University in samenwerking met Trend Micro's Zero Day Initiative
Toegevoegd op 23 oktober 2018
Aanvullende erkenning
Framework voor toegankelijkheid
Met dank aan Ryan Govostes voor zijn hulp.
Core Data
Met dank aan Andreas Kurtz (@aykay) van NESO Security Labs GmbH voor zijn hulp.
CoreGraphics
Met dank aan Nitin Arya van Roblox Corporation voor zijn hulp.
Met dank aan Alessandro Avagliano van Rocket Internet SE, John Whitehead van The New York Times, Kelvin Delbarre van Omicron Software Systems en Zbyszek Żółkiewski voor hun hulp.
Beveiliging
Met dank aan Christoph Sinai, Daniel Dudek (@dannysapples) van The Irish Times en Filip Klubička (@lemoncloak) van ADAPT Centre, Dublin Institute of Technology, Istvan Csanady van Shapr3D, Omar Barkawi van ITG Software, Inc., Phil Caleno, Wilson Ding en een anonieme onderzoeker voor hun hulp.
SQLite
Met dank aan Andreas Kurtz (@aykay) van NESO Security Labs GmbH voor zijn hulp.