Over de beveiligingsinhoud van macOS High Sierra 10.13.2, Beveiligingsupdate 2017-002 Sierra en Beveiligingsupdate 2017-005 El Capitan

In dit document wordt de beveiligingsinhoud van macOS High Sierra 10.13.2, Beveiligingsupdate 2017-002 Sierra en Beveiligingsupdate 2017-005 El Capitan beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

macOS High Sierra 10.13.2, Beveiligingsupdate 2017-002 Sierra en Beveiligingsupdate 2017-005 El Capitan

Releasedatum 6 december 2017

APFS

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: APFS-coderingssleutels worden mogelijk niet veilig verwijderd na sluimerstand

Beschrijving: er was een logisch probleem in APFS bij het verwijderen van sleutels in de sluimerstand. Dit is verholpen door verbeterd statusbeheer.

CVE-2017-13887: David Ryskalczyk

Toegevoegd op 21 juni 2018

apache

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: het verwerken van een kwaadwillig vervaardigde Apache-configuratierichtlijn kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar versie 2.4.28.

CVE-2017-9798

Automatische ontgrendeling

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2017-13905: Samuel Groß (@5aelo)

Toegevoegd op 2 oktober 2018

CFNetwork-sessie

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-7172: Richard Zhu (fluorescence) in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 22 januari 2018

Contacten

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: het delen van contactgegevens kan leiden tot het onverwacht delen van gegevens

Beschrijving: er was een probleem bij de verwerking van het delen van contacten. Dit probleem is verholpen door een verbeterde verwerking van gebruikersgegevens. 

CVE-2017-13892: Ryan Manly van Glenbrook High School District 225

Toegevoegd op 2 oktober 2018

CoreAnimation

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met verhoogde bevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-7171: 360 Security in samenwerking met het Zero Day Initiative van Trend Micro en Tencent Keen Security Lab (@keen_lab) in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 22 januari 2018

CoreFoundation

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2017-7151: Samuel Groß (@5aelo)

Toegevoegd op 2 oktober 2018

curl

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: kwaadaardige FTP-servers kunnen er mogelijk voor zorgen dat de klant buiten het geheugenbereik kan lezen

Beschrijving: er was een probleem met het lezen buiten het bereik bij het parseren van FTP PWD-reacties. Dit probleem is verholpen door een verbeterde controle van de grenzen.

CVE-2017-1000254: Max Dymond

Adreslijsthulpprogramma

Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Niet van invloed op: macOS Sierra 10.12.6 en eerder

Impact: een aanvaller kan mogelijk de identiteitscontrole voor een beheerder omzeilen zonder een beheerderswachtwoord op te geven

Beschrijving: er was een logische fout in de validatie van inloggegevens. Dit is verholpen door een verbeterde validatie van inloggegevens.

CVE-2017-13872

ICU

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met overloop van gehele getallen is verholpen door een verbeterde invoervalidatie.

CVE-2017-15422: Yuan Deng van Ant-financial Light-Year Security Lab

Toegevoegd op 14 maart 2018

Intel Graphics Driver

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-13883: Yu Wang van Didi Research America

CVE-2017-7163: Yu Wang van Didi Research America

CVE-2017-7155: Yu Wang van Didi Research America

Bijgewerkt op 21 december 2017 

Intel Graphics Driver

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-13878: Ian Beer van Google Project Zero

Intel Graphics Driver

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met lezen buiten het bereik is verholpen door middel van een verbeterde controle van de grenzen.

CVE-2017-13875: Ian Beer van Google Project Zero

IOAcceleratorFamily

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-7159: gevonden door IMF, ontwikkeld door HyungSeok Han (daramg.gift) van SoftSec, KAIST (softsec.kaist.ac.kr)

Bijgewerkt op 21 december 2017 

IOKit

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: er was een probleem met de invoervalidatie in de kernel. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-13848: Alex Plaskett van MWR InfoSecurity

CVE-2017-13858: een anonieme onderzoeker

IOKit

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterd statusbeheer.

CVE-2017-13847: Ian Beer van Google Project Zero

IOKit

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) in samenwerking met het Zero Day Initiative van Trend Micro

Bijgewerkt op 10 januari 2018

Kernel

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-13904: Kevin Backhouse van Semmle Ltd.

Toegevoegd op 14 februari 2018

Kernel

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan mogelijk het kernelgeheugen lezen (Meltdown)

Beschrijving: systemen met microprocessors die gebruikmaken van speculative execution en indirect branch prediction staan mogelijk ongeautoriseerde vrijgave van informatie toe aan een aanvaller met lokale gebruikerstoegang via een side-channel-analyse van de gegevenscache.

CVE-2017-5754: Jann Horn van Google Project Zero; Moritz Lipp van Graz University of Technology; Michael Schwarz van Graz University of Technology; Daniel Gruss van Graz University of Technology; Thomas Prescher van Cyberus Technology GmbH; Werner Haas van Cyberus Technology GmbH; Stefan Mangard van Graz University of Technology; Paul Kocher; Daniel Genkin van University of Pennsylvania en University of Maryland; Yuval Yarom van University of Adelaide en Data61; Mike Hamburg van Rambus (Cryptography Research Division)

Bijgewerkt op 5 januari 2018

Kernel

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer van Google Project Zero

Bijgewerkt op 21 december 2017 

Kernel

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.

CVE-2017-7173: Brandon Azad

Bijgewerkt op 11 januari 2018

Kernel

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-13876: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een type confusion-probleem is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-13855: Jann Horn van Google Project Zero

Kernel

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2017-13865: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn van Google Project Zero

Kernel

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: er was een probleem met de invoervalidatie in de kernel. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-7154: Jann Horn van Google Project Zero

Toegevoegd op 21 december 2017

Mail

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een S/MIME-gecodeerde e-mail kan onopzettelijk ongecodeerd worden verzonden als het S/MIME-certificaat van de ontvanger niet is geïnstalleerd

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen met verbeterd statusbeheer.

CVE-2017-13871: Lukas Pitschl van GPGTools

Bijgewerkt op 21 december 2017

Concepten in Mail

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een aanvaller met een geprivilegieerde netwerkpositie kan e-mail onderscheppen

Beschrijving: er was een coderingsprobleem met S/MIME-inloggegevens. Het probleem is opgelost door extra controles en gebruikerscontrole.

CVE-2017-13860: Michael Weishaar van INNEO Solutions GmbH

Bijgewerkt op 10 januari 2018

OpenSSL

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: een programma kan beperkt geheugen lezen

Beschrijving: er was een probleem met het lezen buiten het bereik bij het parseren van X.509 IPAddressFamily. Dit probleem is verholpen door een verbeterde controle van de grenzen.

CVE-2017-3735: gevonden door OSS-Fuzz

Perl

Beschikbaar voor: macOS Sierra 10.12.6

Impact: door deze bug kunnen externe aanvallers mogelijk zorgen voor een denial of service

Beschrijving: openbare CVE-2017-12837 is verholpen door de functie bij te werken in Perl 5.18

CVE-2017-12837: Jakub Wilk

Toegevoegd op 2 oktober 2018

Schermdelingsserver

Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.1

Impact: een gebruiker met toegang tot schermdeling kan toegang krijgen tot ieder bestand dat kan worden gelezen door de root

Beschrijving: er was een probleem met bevoegdheden bij de verwerking van schermdelingsessies. Dit probleem is verholpen door een verbeterde verwerking van bevoegdheden.

CVE-2017-7158: Trevor Jacques van Toronto

Bijgewerkt op 21 december 2017

SIP

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.

CVE-2017-13911: Timothy Perfitt van Twocanoes Software

Bijgewerkt op 8 augustus 2018, bijgewerkt op 25 september 2018

Wifi

Beschikbaar voor: macOS High Sierra 10.13.1

Impact: een onbevoegde gebruiker kan de systeemparameters voor wifi wijzigen, waardoor een denial of service optreedt

Beschrijving: er was een probleem met geprivilegieerde wifisysteemconfiguratie. Dit probleem is opgelost door extra beperkingen.

CVE-2017-13886: David Kreitschmann en Matthias Schulz van Secure Mobile Networking Lab bij TU Darmstadt

Toegevoegd op 2 mei 2018

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: