Over de beveiligingsinhoud van macOS Mojave 10.14
In dit document wordt de beveiligingsinhoud van macOS Mojave 10.14 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
macOS Mojave 10.14
Bluetooth
Beschikbaar voor: iMac (21,5-inch, eind 2012), iMac (27-inch, eind 2012), iMac (21,5-inch, eind 2013), iMac (21.5-inch, medio 2014), iMac (Retina 5K, 27-inch, eind 2014), iMac (21,5-inch, eind 2015), Mac mini (medio 2011), Mac mini Server (medio 2011), Mac mini (eind 2012), Mac mini Server (eind 2012), Mac mini (eind 2014), Mac Pro (eind 2013), MacBook Air (11-inch, medio 2011), MacBook Air (13-inch, medio 2011), MacBook Air (11-inch, medio 2012), MacBook Air (13-inch, medio 2012), MacBook Air (11-inch, medio 2013), MacBook Air (13-inch, medio 2013), MacBook Air (11-inch, begin 2015), MacBook Air (13-inch, begin 2015), MacBook Pro (13-inch, medio 2012), MacBook Pro (15-inch, medio 2012), MacBook Pro (Retina, 13-inch, begin 2013), MacBook Pro (Retina, 15-inch, begin 2013), MacBook Pro (Retina, 13-inch, eind 2013) en MacBook Pro (Retina, 15-inch, eind 2013)
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk Bluetooth-verkeer onderscheppen
Beschrijving: er was een probleem met de invoervalidatie in Bluetooth. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2018-5383: Lior Neumann en Eli Biham
De onderstaande updates zijn beschikbaar voor deze Mac-modellen: MacBook (begin 2015 en later), MacBook Air (medio 2012 en later), MacBook Pro (medio 2012 en later), Mac mini (eind 2012 en later), iMac (eind 2012 en later), iMac Pro (alle modellen), Mac Pro (eind 2013, medio 2010 en modellen van medio 2012 met aanbevolen grafische kaart die Metal ondersteunt, waaronder MSI Gaming Radeon RX 560 en Sapphire Radeon PULSE RX 580)
afpserver
Impact: een externe aanvaller kan AFP-servers via HTTP-clients aanvallen
Beschrijving: een probleem met de invoervalidatie is verholpen door een verbeterde invoervalidatie.
CVE-2018-4295: Jianjun Chen (@whucjj) van Tsinghua University en UC Berkeley
App Store
Impact: een kwaadaardig programma kan de Apple ID van de eigenaar van de computer achterhalen
Beschrijving: er was een probleem met bevoegdheden bij de verwerking van de Apple ID. Dit probleem is verholpen door verbeterde toegangscontroles.
CVE-2018-4324: Sergii Kryvoblotskyi van MacPaw Inc.
AppleGraphicsControl
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2018-4417: Lee van het Information Security Lab, Yonsei University in samenwerking met Trend Micro's Zero Day Initiative
Programma-firewall
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.
CVE-2018-4353: Abhinav Bansal of LinkedIn Inc.
APR
Impact: er waren meerdere problemen met de bufferoverloop in Perl
Beschrijving: meerdere problemen in Perl zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-12613: Craig Young van Tripwire VERT
CVE-2017-12618: Craig Young van Tripwire VERT
ATS
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2018-4411: lilang wu moony Li van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro
ATS
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2018-4308: Mohamed Ghannam (@_simo36)
Automatische ontgrendeling
Impact: een kwaadaardig programma heeft mogelijk toegang tot de Apple ID's van lokale gebruikers
Beschrijving: er was een probleem met de validatie in de verificatie van toegangsrechten. Dit probleem is verholpen met verbeterde validatie van de toegangsrechten van processen.
CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai van Alibaba Inc.
CFNetwork
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4126: Bruno Keith (@bkth_) in samenwerking met het Zero Day Initiative van Trend Micro
CoreFoundation
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2018-4412: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk
CoreFoundation
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2018-4414: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk
CoreText
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2018-4347: Vasyl Tkachuk van Readdle
Crashrapportage
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2018-4333: Brandon Azad
CUPS
Impact: in bepaalde omstandigheden kan een externe aanvaller de inhoud van het bericht van de printerserver vervangen door willekeurige inhoud
Beschrijving: een probleem met invoegen is opgelost door een verbeterde validatie.
CVE-2018-4153: Michael Hanselmann van hansmi.ch
CUPS
Impact: een aanvaller in een geprivilegieerde positie kan een denial of service-aanval uitvoeren
Beschrijving: een probleem met denial of service is verholpen door een verbeterde validatie.
CVE-2018-4406: Michael Hanselmann van hansmi.ch
Woordenboek
Impact: het parseren van een kwaadwillig vervaardigd woordenboekbestand kan leiden tot het vrijgeven van gebruikersgegevens
Beschrijving: er was een validatieprobleem waardoor toegang tot lokale bestanden mogelijk was. Dit is verholpen door invoeropschoning.
CVE-2018-4346: Wojciech Reguła (@_r3ggi) van SecuRing
DiskArbitration
Impact: een kwaadaardig programma kan mogelijk de inhoud van de EFI-systeempartitie wijzigen en willekeurige code uitvoeren met kernelbevoegdheden als 'Veilig opstarten' niet is ingeschakeld.
Beschrijving: er was een probleem met bevoegdheden in DiskArbitration. Dit is verholpen door extra controles van de eigendomsrechten.
CVE-2018-4296: Vitaly Cheptsov
dyld
Impact: een kwaadaardig programma kan mogelijk beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.
CVE-2018-4433: Vitaly Cheptsov
fdesetup
Impact: de aanwezigheid van herstelcodes van een organisatie wordt mogelijk ten onrechte gerapporteerd
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-8643: Arun Sharma van VMWare
Firmware
Impact: een aanvaller met fysieke toegang tot een apparaat kan mogelijk de bevoegdheden verhogen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-5731: Intel en Eclypsium
CVE-2017-5732: Intel en Eclypsium
CVE-2017-5733: Intel en Eclypsium
CVE-2017-5734: Intel en Eclypsium
CVE-2017-5735: Intel en Eclypsium
Grand Central Dispatch
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4426: Brandon Azad
Heimdal
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4331: Brandon Azad
CVE-2018-4332: Brandon Azad
CVE-2018-4343: Brandon Azad
Hypervisor
Impact: systemen met microprocessors die gebruikmaken van speculative execution en adresvertalingen staan mogelijk ongeautoriseerde vrijgave toe van informatie die aanwezig is in de L1-gegevenscache aan een aanvaller met lokale gebruikerstoegang en gastbevoegdheid voor het OS, via een fatale wisselbestandsfout en een side-channel-analyse
Beschrijving: een probleem met de vrijgave van informatie is opgelost door de L1-gegevenscache leeg te maken bij de invoer van de virtuele machine.
CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse en Thomas F. Wenisch van University of Michigan, Mark Silberstein en Marina Minkin van Technion, Raoul Strackx, Jo Van Bulck en Frank Piessens van KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun en Kekai Hu van Intel Corporation, Yuval Yarom van University of Adelaide
iBooks
Impact: het parseren van een kwaadwillig vervaardigd iBooks-bestand kan leiden tot het vrijgeven van gebruikersgegevens
Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.
CVE-2018-4355: evi1m0 van het bilibili security team
Intel Graphics Driver
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2018-4396: Yu Wang van Didi Research America
CVE-2018-4418: Yu Wang van Didi Research America
Intel Graphics Driver
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4351: Appology Team van Theori in samenwerking met het Zero Day Initiative van Trend Micro
Intel Graphics Driver
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2018-4350: Yu Wang van Didi Research America
Intel Graphics Driver
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4334: Ian Beer van Google Project Zero
Intel Graphics Driver
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2018-4451: Tyler Bohan van Cisco Talos
CVE-2018-4456: Tyler Bohan van Cisco Talos
IOHIDFamily
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2018-4408: Ian Beer van Google Project Zero
IOKit
Impact: een kwaadaardig programma kan buiten zijn sandbox komen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4341: Ian Beer van Google Project Zero
CVE-2018-4354: Ian Beer van Google Project Zero
IOKit
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2018-4383: Apple
IOUserEthernet
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4401: Apple
Kernel
Impact: een kwaadaardig programma kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: er was een toegangsprobleem met geprivilegieerde API-aanroepen. Dit probleem is opgelost door extra beperkingen.
CVE-2018-4399: Fabiano Anemone (@anoane)
Kernel
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk willekeurige code uitvoeren
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2018-4407: Kevin Backhouse van Semmle Ltd.
Kernel
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4336: Brandon Azad
CVE-2018-4337: Ian Beer van Google Project Zero
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4344: het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk
CVE-2018-4425: cc in samenwerking met het Zero Day Initiative van Trend Micro, Juwei Lin (@panicaII) van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro
LibreSSL
Impact: meerdere problemen in libressl zijn verholpen in deze update
Beschrijving: meerdere problemen zijn verholpen door libressl bij te werken naar versie 2.6.4.
CVE-2015-3194
CVE-2015-5333
CVE-2015-5334
CVE-2016-0702
Inlogvenster
Impact: een lokale gebruiker kan een denial of service veroorzaken
Beschrijving: een validatieprobleem is verholpen door verbeterde logica.
CVE-2018-4348: Ken Gannon van MWR InfoSecurity en Christian Demko van MWR InfoSecurity
mDNSOffloadUserClient
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4326: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro, Zhuo Liang van het Qihoo 360 Nirvan Team
MediaRemote
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2018-4310: CodeColorist van Ant-Financial LightYear Labs
Microcode
Impact: systemen met microprocessors die gebruikmaken van speculative execution en speculative execution van het lezen van geheugen voordat de eerder naar het geheugen geschreven adressen bekend zijn, staan mogelijk ongeautoriseerde vrijgave van informatie toe aan een aanvaller met lokale gebruikerstoegang via een side-channel-analyse.
Beschrijving: een probleem met de vrijgave van informatie is opgelost door middel van bijgewerkte microcode. Dit zorgt ervoor dat oudere gegevens die zijn gelezen vanaf recent aangeschreven adressen, niet kunnen worden gelezen via een speculatief side-channel.
CVE-2018-3639: Jann Horn (@tehjh) van Google Project Zero (GPZ), Ken Johnson van het Microsoft Security Response Center (MSRC)
Beveiliging
Impact: een lokale gebruiker kan een denial of service veroorzaken
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2018-4395: Patrick Wardle van Digita Security
Beveiliging
Impact: een aanvaller kan mogelijk gebruikmaken van de kwetsbaarheden in het cryptografische RC4-algoritme
Beschrijving: dit probleem is verholpen door RC4 te verwijderen.
CVE-2016-1777: Pepi Zawodsky
Spotlight
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4393: Lufeng Li
Symptom Framework
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2018-4203: Bruno Keith (@bkth_) in samenwerking met het Zero Day Initiative van Trend Micro
Tekst
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot een denial of service
Beschrijving: een probleem met denial of service is verholpen door een verbeterde validatie.
CVE-2018-4304: jianan.huang (@Sevck)
Wifi
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2018-4338: Lee van SECLAB, Yonsei University in samenwerking met het Zero Day Initiative van Trend Micro
Aanvullende erkenning
Framework voor toegankelijkheid
Met dank aan Ryan Govostes voor zijn hulp.
Core Data
Met dank aan Andreas Kurtz (@aykay) van NESO Security Labs GmbH voor zijn hulp.
CoreDAV
Met dank aan Matthew Thomas van Verisign voor zijn hulp.
CoreGraphics
Met dank aan Nitin Arya van Roblox Corporation voor zijn hulp.
CoreSymbolication
Met dank aan Brandon Azad voor zijn hulp.
CUPS
Met dank aan Michael Hanselmann van hansmi.ch voor zijn hulp.
IOUSBHostFamily
Met dank aan Dragos Ruiu van CanSecWest voor zijn hulp.
Kernel
Met dank aan Brandon Azad voor zijn hulp.
Met dank aan Alessandro Avagliano van Rocket Internet SE, John Whitehead van The New York Times, Kelvin Delbarre van Omicron Software Systems en Zbyszek Żółkiewski voor hun hulp.
Snelle weergave
Met dank aan lokihardt van Google Project Zero, Wojciech Reguła (@_r3ggi) van SecuRing en Patrick Wardle van Digita Security voor hun hulp.
Beveiliging
Met dank aan Christoph Sinai, Daniel Dudek (@dannysapples) van The Irish Times en Filip Klubička (@lemoncloak) van ADAPT Centre, Dublin Institute of Technology, Horatiu Graur van SoftVision, Istvan Csanady van Shapr3D, Omar Barkawi van ITG Software, Inc., Phil Caleno, Wilson Ding en een anonieme onderzoeker voor hun hulp.
SQLite
Met dank aan Andreas Kurtz (@aykay) van NESO Security Labs GmbH voor zijn hulp.
Terminal
Met dank aan Federico Bento voor de hulp.
Time Machine
Met dank aan Matthew Thomas van Verisign voor zijn hulp.
WindowServer
Met dank aan Patrick Wardle van Digita Security voor zijn hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.