Over de beveiligingsinhoud van macOS High Sierra 10.13.6, Beveiligingsupdate 2018-004 Sierra, Beveiligingsupdate 2018-004 El Capitan

In dit document wordt de beveiligingsinhoud beschreven van macOS High Sierra 10.13.6, Beveiligingsupdate 2018-004 Sierra, Beveiligingsupdate 2018-004 El Capitan.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

macOS High Sierra 10.13.6, Beveiligingsupdate 2018-004 Sierra, Beveiligingsupdate 2018-004 El Capitan

Releasedatum: 9 juli 2018

AMD

Beschikbaar voor: macOS High Sierra 10.13.5

Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

Beschrijving: een probleem met vrijgave van gegevens is opgelost door de kwetsbare code te verwijderen.

CVE-2018-4289: shrek_wzw van het Qihoo 360 Nirvan Team

APFS

Beschikbaar voor: macOS High Sierra 10.13.5

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4268: Mac in samenwerking met het Zero Day Initiative van Trend Micro

ATS

Beschikbaar voor: macOS High Sierra 10.13.5

Impact: een schadelijk programma kan rootbevoegdheden verkrijgen

Beschrijving: een type confusion-probleem is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4285: Mohamed Ghannam (@_simo36)

Bluetooth

Beschikbaar voor: MacBook Pro (15-inch, 2018) en MacBook Pro (13-inch, 2018, vier Thunderbolt 3-poorten)
Voor andere Mac-modellen is dit probleem opgelost met macOS High Sierra 10.13.5.

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk Bluetooth-verkeer onderscheppen

Beschrijving: er was een probleem met de invoervalidatie in Bluetooth. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2018-5383: Lior Neumann en Eli Biham

Toegevoegd op 23 juli 2018

CFNetwork

Beschikbaar voor: macOS High Sierra 10.13.5

Impact: cookies kunnen onverwachts blijven bestaan in Safari

Beschrijving: een probleem met het beheer van cookies is verholpen door middel van verbeterde controles.

CVE-2018-4293: een anonieme onderzoeker

CoreCrypto

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Impact: een kwaadaardig programma kan buiten zijn sandbox komen

Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.

CVE-2018-4269: Abraham Masri (@cheesecakeufo)

CUPS

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 en macOS High Sierra 10.13.5

Impact: een aanvaller in een geprivilegieerde positie kan een denial of service-aanval uitvoeren

Beschrijving: een null pointer dereference-probleem is verholpen door verbeterde validatie.

CVE-2018-4276: Jakub Jirasek van Secunia Research bij Flexera

Toegevoegd op 25 september 2018

DesktopServices

Beschikbaar voor: macOS Sierra 10.12.6

Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken

Beschrijving: er was een probleem met toestemmingen waarbij uitvoertoestemming ten onrechte werd toegekend. Dit probleem is verholpen door een verbeterde validatie van bevoegdheden.

CVE-2018-4178: Arjen Hendrikse

IOGraphics

Beschikbaar voor: macOS High Sierra 10.13.5

Impact: een lokale gebruiker kan het kernelgeheugen lezen

Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2018-4283: @panicaII in samenwerking met het Zero Day Initiative van Trend Micro

Kernel

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 en macOS High Sierra 10.13.5

Impact: bij systemen met op Intel® Core gebaseerde microprocessoren kan een lokaal proces mogelijk gegevens afleiden met behulp van een 'lazy FP state restore' van een ander proces via een zijkanaal van speculatieve uitvoering

Beschrijving: 'lazy FP state restore' in plaats van 'eager save and restore' van de status bij een contextwisseling. Statussen die 'lazy' worden hersteld, zijn mogelijk kwetsbaar voor misbruik waarbij een proces registerwaarden van andere processen kan afleiden via een zijkanaal van speculatieve uitvoering dat deze waarden afleidt.

Een probleem met vrijgave van gegevens is verholpen door opschoning van de status van het FP/SIMD-register.

CVE-2018-3665: Julian Stecklina van Amazon Germany, Thomas Prescher van Cyberus Technology GmbH (cyberus-technology.de), Zdenek Sojka van SYSGO AG (sysgo.com) en Colin Percival

Kernel

Beschikbaar voor: macOS High Sierra 10.13.5

Impact: het activeren van een kwaadaardige NFS-netwerkshare kan leiden tot het uitvoeren van willekeurige code met systeembevoegdheden

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4259: Kevin Backhouse van Semmle and LGTM.com

CVE-2018-4286: Kevin Backhouse van Semmle and LGTM.com

CVE-2018-4287: Kevin Backhouse van Semmle and LGTM.com

CVE-2018-4288: Kevin Backhouse van Semmle and LGTM.com

CVE-2018-4291: Kevin Backhouse van Semmle and LGTM.com

Toegevoegd op 30 oktober 2018

libxpc

Beschikbaar voor: OS X El Capitan 10.11.6, macOS Sierra 10.12.6 en macOS High Sierra 10.13.5

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-4280: Brandon Azad

libxpc

Beschikbaar voor: macOS High Sierra 10.13.5

Impact: een kwaadwillig vervaardigd programma kan beperkt geheugen lezen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2018-4248: Brandon Azad

LinkPresentation

Beschikbaar voor: macOS High Sierra 10.13.5

Impact: het bezoeken van een schadelijke website kan leiden tot adresbalkvervalsing

Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2018-4277: xisigr van het Xuanwu Lab van Tencent (tencent.com)

Perl

Beschikbaar voor: macOS High Sierra 10.13.5

Impact: er waren meerdere problemen met de bufferoverloop in Perl

Beschrijving: meerdere problemen in Perl zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2018-6797: Brian Carpenter

CVE-2018-6913: GwanYeong Kim

Toegevoegd op 30 oktober 2018

Ruby

Beschikbaar voor: macOS High Sierra 10.13.5

Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: meerdere problemen in Ruby zijn verholpen in deze update.

CVE-2017-0898

CVE-2017-10784

CVE-2017-14033

CVE-2017-14064

CVE-2017-17405

CVE-2017-17742

CVE-2018-6914

CVE-2018-8777

CVE-2018-8778

CVE-2018-8779

CVE-2018-8780

Toegevoegd op 30 oktober 2018

Aanvullende erkenning

App Store

Met dank aan Jesse Endahl en Stevie Hryciw van Fleetsmith, en Max Bélanger van Dropbox voor hun hulp.

Toegevoegd op 8 augustus 2018

Help-viewer

Met dank aan Wojciech Reguła (@_r3ggi) van SecuRing voor zijn hulp bij een viertal beschermende maatregelen.

Kernel

We zijn erkentelijk voor de hulp van juwei lin (@panicaII) van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro.

Beveiliging

Met dank aan Brad Dahlsten van Iowa State University voor zijn hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: