Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
macOS Mojave 10.14
Utgitt 24. september 2018
Bluetooth
Tilgjengelig for: iMac (21,5-tommers, sent 2012), iMac (27-tommers, sent 2012), iMac (21,5-tommers, sent 2013), iMac (21,5-tommers, midten av 2014), iMac (Retina 5K, 27-tommers, sent 2014), iMac (21,5-tommers, sent 2015), Mac mini (midten av 2011), Mac mini Server (midten av 2011), Mac mini (sent 2012), Mac mini Server (sent 2012), Mac mini (sent 2014), Mac Pro (sent 2013), MacBook Air (11-tommers, midten av 2011), MacBook Air (13-tommers, midten av 2011), MacBook Air (11-tommers, midten av 2012), MacBook Air (13-tommers, midten av 2012), MacBook Air (11-tommers, midten av 2013), MacBook Air (13-tommers, midten av 2013), MacBook Air (11-tommers, tidlig 2015), MacBook Air (13-tommers, tidlig 2015), MacBook Pro (13-tommers, midten av 2012), MacBook Pro (15-tommers, midten av 2012), MacBook Pro (Retina, 13-tommers, tidlig 2013), MacBook Pro (Retina, 15-tommers, tidlig 2013), MacBook Pro (Retina, 13-tommers, sent 2013) og MacBook Pro (Retina, 15-tommers, sent 2013)
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å forstyrre Bluetooth-trafikk
Beskrivelse: Det var et problem med validering av inndata i Bluetooth. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2018-5383: Lior Neumann og Eli Biham
Oppdateringene nedenfor gjelder for følgende Mac-modeller: MacBook (tidlig 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent 2012 og nyere), iMac (sent 2012 og nyere), iMac Pro (alle modeller), Mac Pro (modeller fra sent 2013, midten av 2010 og midten av 2012 med anbefalt Metal-kompatibel grafikkprosessor, inkludert MSI Gaming Radeon RX 560 og Sapphire Radeon PULSE RX 580)
afpserver
Virkning: En ekstern angriper kan være i stand til å angripe AFP-tjenere gjennom HTTP-klienter
Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.
CVE-2018-4295: Jianjun Chen (@whucjj) fra Tsinghua University og UC Berkeley
Oppføring lagt til 30. oktober 2018
App Store
Virkning: Et skadelig program kan fastslå Apple-ID-en til eieren av datamaskinen
Beskrivelse: Det var et problem med tillatelser i håndteringen av Apple-ID-en. Problemet ble løst gjennom forbedret tilgangskontroll.
CVE-2018-4324: Sergii Kryvoblotskyi fra MacPaw Inc.
AppleGraphicsControl
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2018-4417: Lee fra Information Security Lab Yonsei University i samarbeid med Trend Micros Zero Day Initiative
Oppføring lagt til 30. oktober 2018
Programspesifikk brannmur
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et konfigurasjonsproblem ble løst gjennom ekstra restriksjoner.
CVE-2018-4353: Abhinav Bansal fra LinkedIn Inc.
Oppføring oppdatert 30. oktober 2018
APR
Virkning: Det var flere problemer med bufferoverflyt i Perl
Beskrivelse: Flere problemer i Perl ble løst gjennom forbedret minnehåndtering.
CVE-2017-12613: Craig Young fra Tripwire VERT
CVE-2017-12618: Craig Young fra Tripwire VERT
Oppføring lagt til 30. oktober 2018
ATS
Virkning: Et skadelig program kan heve rettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2018-4411: lilang wu moony Li fra Trend Micro i samarbeid med Trend Micros Zero Day Initiative
Oppføring lagt til 30. oktober 2018
ATS
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grensekontroll.
CVE-2018-4308: Mohamed Ghannam (@_simo36)
Oppføring lagt til 30. oktober 2018
Automatisk opplåsing
Virkning: Et skadelig program kan være i stand til å få tilgang til Apple-ID-ene til lokale brukere
Beskrivelse: Det var et valideringsproblem i rettighetsverifiseringen. Problemet ble løst gjennom forbedret validering av prosessrettigheten.
CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai fra Alibaba Inc.
CFNetwork
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4126: Bruno Keith (@bkth_) i samarbeid med Trend Micros Zero Day Initiative
Oppføring lagt til 30. oktober 2018
CoreFoundation
Virkning: Et skadelig program kan heve rettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2018-4412: National Cyber Security Centre (NCSC) i Storbritannia
Oppføring lagt til 30. oktober 2018
CoreFoundation
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2018-4414: National Cyber Security Centre (NCSC) i Storbritannia
Oppføring lagt til 30. oktober 2018
CoreText
Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2018-4347: Vasyl Tkachuk fra Readdle
Oppføring lagt til 30. oktober 2018, oppdatert 13. desember 2018
Crash Reporter
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2018-4333: Brandon Azad
CUPS
Virkning: En ekstern angriper kan erstatte meldingsinnholdet i utskrifttjeneren med vilkårlig innhold, i bestemte konfigurasjoner
Beskrivelse: Et problem med innsetting ble løst gjennom forbedret validering.
CVE-2018-4153: Michael Hanselmann fra hansmi.ch
Oppføring lagt til 30. oktober 2018
CUPS
Virkning: En angriper i en privilegert posisjon kan utføre tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.
CVE-2018-4406: Michael Hanselmann fra hansmi.ch
Oppføring lagt til 30. oktober 2018
Ordbok
Virkning: Parsing av en skadelig ordbokfil kan føre til at brukerinformasjon avsløres
Beskrivelse: Det var et problem med validering som ga tilgang til lokale filer. Dette problemet ble løst gjennom inndatarensing.
CVE-2018-4346: Wojciech Reguła (@_r3ggi) fra SecuRing
Oppføring lagt til 30. oktober 2018
DiskArbitration
Virkning: Et skadelig program kan modifisere innholdet i EFI-systempartisjonen og kjøre vilkårlig kode med kjernerettigheter hvis sikker oppstart ikke er aktivert
Beskrivelse: Det var et problem med rettigheter i DiskArbitration. Dette ble løst gjennom ytterligere kontroller av eierskap.
CVE-2018-4296: Vitaly Cheptsov
Oppføring oppdatert 22. januar 2019
dyld
Virkning: Et skadelig program kan endre beskyttede deler av filsystemet
Beskrivelse: Et konfigurasjonsproblem ble løst gjennom ekstra restriksjoner.
CVE-2018-4433: Vitaly Cheptsov
Oppføring oppdatert 22. januar 2019
Grand Central Dispatch
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4426: Brandon Azad
Oppføring lagt til 30. oktober 2018
Heimdal
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4331: Brandon Azad
CVE-2018-4332: Brandon Azad
CVE-2018-4343: Brandon Azad
Oppføring lagt til 30. oktober 2018
Hypervisor
Virkning: Systemer med mikroprosessorer som bruker spekulativ utførelse og oversettelser mellom adresser, kan tillate uautorisert formidling av informasjon i L1-databufferen til en angriper med lokal brukertilgang og gjesteprivilegier for OS, via en feil på siden samt sidekanalanalyse
Beskrivelse: Et problem med avdekking av informasjon ble løst gjennom tømming av L1-databufferen ved inngangen til den virtuelle maskinen.
CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse og Thomas F. Wenisch fra University of Michigan, Mark Silberstein og Marina Minkin fra Technion, Raoul Strackx, Jo Van Bulck og Frank Piessens fra KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun og Kekai Hu fra Intel Corporation, Yuval Yarom fra The University of Adelaide
Oppføring lagt til 30. oktober 2018
iBooks
Virkning: Parsing av en skadelig iBooks-fil kan føre til at brukerinformasjon avsløres
Beskrivelse: Et konfigurasjonsproblem ble løst gjennom ekstra restriksjoner.
CVE-2018-4355: evi1m0 fra sikkerhetsteamet til bilibili
Oppføring lagt til 30. oktober 2018
Intel Graphics-driver
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2018-4396: Yu Wang fra Didi Research America
CVE-2018-4418: Yu Wang fra Didi Research America
Oppføring lagt til 30. oktober 2018
Intel Graphics-driver
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4351: Appology Team hos Theori i samarbeid med Trend Micros Zero Day Initiative
Oppføring lagt til 30. oktober 2018
Intel Graphics-driver
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2018-4350: Yu Wang fra Didi Research America
Oppføring lagt til 30. oktober 2018
Intel Graphics-driver
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4334: Ian Beer fra Google Project Zero
Oppføring lagt til 30. oktober 2018
Intel Graphics-driver
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2018-4451: Tyler Bohan fra Cisco Talos
CVE-2018-4456: Tyler Bohan fra Cisco Talos
Oppføring lagt til 21. desember 2018, oppdatert 22. januar 2019
IOHIDFamily
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata
CVE-2018-4408: Ian Beer fra Google Project Zero
Oppføring lagt til 30. oktober 2018
IOKit
Virkning: Et skadelig program kan kanskje bryte ut av sandkassen sin
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4341: Ian Beer fra Google Project Zero
CVE-2018-4354: Ian Beer fra Google Project Zero
Oppføring lagt til 30. oktober 2018
IOKit
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2018-4383: Apple
Oppføring lagt til 30. oktober 2018
IOUserEthernet
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4401: Apple
Oppføring lagt til 30. oktober 2018
Kjerne
Virkning: Et skadelig program kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Det var et problem med tilgangen til privilegerte API-kall. Problemet ble løst gjennom ekstra restriksjoner.
CVE-2018-4399: Fabiano Anemone (@anoane)
Oppføring lagt til 30. oktober 2018
Kjerne
Virkning: En angriper i en privilegert nettverksposisjon kan utføre vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2018-4407: Kevin Backhouse fra Semmle Ltd.
Oppføring lagt til 30. oktober 2018
Kjerne
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4336: Brandon Azad
CVE-2018-4337: Ian Beer fra Google Project Zero
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4344: National Cyber Security Centre (NCSC) i Storbritannia
CVE-2018-4425: cc i samarbeid med Trend Micros Zero Day Initiative, Juwei Lin (@panicaII) fra Trend Micro i samarbeid med Trend Micros Zero Day Initiative
Oppføring oppdatert 30. oktober 2018
LibreSSL
Virkning: Flere problemer i libressl ble adressert i denne oppdateringen
Beskrivelse: Flere problemer ble løst gjennom oppdatering av libressl til versjon 2.6.4.
CVE-2015-3194
CVE-2015-5333
CVE-2015-5334
CVE-2016-0702
Oppføring lagt til 30. oktober 2018, oppdatert 13. desember 2018
Påloggingsvindu
Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt (DoS)
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.
CVE-2018-4348: Ken Gannon fra MWR InfoSecurity og Christian Demko fra MWR InfoSecurity
Oppføring lagt til 30. oktober 2018
mDNSOffloadUserClient
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4326: en anonym forsker i samarbeid med Trend Micros Zero Day Initiative, Zhuo Liang fra Qihoo 360 Nirvan Team
Oppføring lagt til 30. oktober 2018
MediaRemote
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.
CVE-2018-4310: CodeColorist fra Ant-Financial LightYear Labs
Oppføring lagt til 30. oktober 2018
Microcode
Virkning: Systemer med mikroprosessorer som bruker spekulativ utførelse, og som bruker spekulativ utførelse av minnelesing før adressene for alt som tidligere er skrevet til minnet, er kjent, kan tillate uautorisert formidling av informasjon til en angriper med lokal brukertilgang via en sidekanalanalyse
Beskrivelse: Et problem med avdekking av informasjon ble løst gjennom oppdatering av mikrokode. Dette sørger for at eldre data som er lest fra nylige adresser du har skrevet til, ikke kan leses via en spekulativ sidekanal.
CVE-2018-3639: Jann Horn (@tehjh) fra Google Project Zero (GPZ), Ken Johnson fra Microsoft Security Response Center (MSRC)
Oppføring lagt til 30. oktober 2018
Sikkerhet
Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt (DoS)
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4395: Patrick Wardle fra Digita Security
Oppføring lagt til 30. oktober 2018
Sikkerhet
Virkning: En angriper kan være i stand til å utnytte svakheter i den kryptografiske RC4-algoritmen
Beskrivelse: Dette problemet ble løst ved å fjerne RC4.
CVE-2016-1777: Pepi Zawodsky
Spotlight
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4393: Lufeng Li
Oppføring lagt til 30. oktober 2018
Symptomrammeverk
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grensekontroll.
CVE-2018-4203: Bruno Keith (@bkth_) i samarbeid med Trend Micros Zero Day Initiative
Oppføring lagt til 30. oktober 2018
Tekst
Virkning: Behandling av en skadelig tekstfil kan føre til tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.
CVE-2018-4304: jianan.huang (@Sevck)
Oppføring lagt til 30. oktober 2018
Wi-Fi
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2018-4338: Lee hos SECLAB, Yonsei University i samarbeid med Trend Micros Zero Day Initiative
Oppføring lagt til 23. oktober 2018
Ytterligere anerkjennelse
Tilgjengelighetsrammeverk
Vi vil gjerne takke Ryan Govostes for hjelpen.
Core Data
Vi vil gjerne takke Andreas Kurtz (@aykay) fra NESO Security Labs GmbH for hjelpen.
CoreDAV
Vi vil gjerne takke Matthew Thomas fra Verisign for hjelpen.
Oppføring lagt til 13. desember 2018, oppdatert 21. desember 2018
CoreGraphics
Vi vil gjerne takke Nitin Arya fra Roblox Corporation for hjelpen.
CoreSymbolication
Vi vil gjerne takke Brandon Azad for hans bistand.
Oppføring lagt til 13. desember 2018
IOUSBHostFamily
Vi vil gjerne takke Dragos Ruiu fra CanSecWest for hjelpen.
Oppføring lagt til 13. desember 2018
Kjerne
Vi vil gjerne takke Brandon Azad for hans bistand.
Oppføring lagt til 13. desember 2018
E-post
Vi vil gjerne takke Alessandro Avagliano fra Rocket Internet SE, John Whitehead fra The New York Times, Kelvin Delbarre fra Omicron Software Systems og Zbyszek Żółkiewski for hjelpen.
Hurtigvisning
Vi vil gjerne takke lokihardt fra Google Project Zero, Wojciech Reguła (@_r3ggi) fra SecuRing og Patrick Wardle fra Digita Security for hjelpen.
Oppføring lagt til 13. desember 2018
Sikkerhet
Vi vil gjerne takke Christoph Sinai, Daniel Dudek (@dannysapples) fra The Irish Times og Filip Klubička (@lemoncloak) fra ADAPT Centre, Dublin Institute of Technology, Istvan Csanady fra Shapr3D, Omar Barkawi fra ITG Software, Inc., Phil Caleno, Wilson Ding og en anonym forsker for hjelpen.
SQLite
Vi vil gjerne takke Andreas Kurtz (@aykay) fra NESO Security Labs GmbH for hjelpen.
Terminal
Vi vil gjerne takke en anonym forsker for hjelpen.
Oppføring lagt til 13. desember 2018
Time Machine
Vi vil gjerne takke Matthew Thomas fra Verisign for hjelpen.
Oppføring oppdatert 22. januar 2019
WindowServer
Vi vil gjerne takke Patrick Wardle fra Digita Security for hjelpen.
Oppføring lagt til 13. desember 2018