Om säkerhetsinnehållet i macOS High Sierra 10.13.3, säkerhetsuppdatering 2018-001 Sierra och säkerhetsuppdatering 2018-001 El Capitan
Det här dokumentet beskriver säkerhetsinnehållet i macOS High Sierra 10.13.3, säkerhetsuppdatering 2018-001 Sierra och säkerhetsuppdatering 2018-001 El Capitan.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
macOS High Sierra 10.13.3, säkerhetsuppdatering 2018-001 Sierra och säkerhetsuppdatering 2018-001 El Capitan
Ljud
Tillgängligt för: macOS High Sierra 10.13.2 och macOS Sierra 10.12.6
Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4094: Mingi Cho, Seoyoung Kim, Young-Ho Lee, MinSik Shin och Taekyoung Kwon på Information Security Lab, Yonsei University
curl
Tillgängligt för: macOS High Sierra 10.13.2
Effekt: Flera problem i curl
Beskrivning: Ett heltalsspill förekom i curl. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-2017-8816: Alex Nichols
curl
Tillgängligt för: macOS High Sierra 10.13.2
Effekt: Flera problem i curl
Beskrivning: Ett problem med läsning utanför gränserna fanns i curl. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-2017-8817: upptäcktes av OSS-Fuzz
EFI
Tillgängligt för: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 och OS X El Capitan 10.11.6
Beskrivning: Flera buffertspill i kernel i Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 ger angripare med lokal åtkomst till systemet möjlighet att köra opålitlig kod.
CVE-2017- 5705: Mark Ermolov och Maxim Goryachy från Positive Technologies
EFI
Tillgängligt för: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 och OS X El Capitan 10.11.6
Beskrivning: Flera behörighetseskaleringar i kernel i Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 gav en oauktoriserad process åtkomst till skyddat innehåll genom en ej specificerad vektor.
CVE-2017- 5708: Mark Ermolov och Maxim Goryachy från Positive Technologies
IOHIDFamily
Tillgängligt för: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 och OS X El Capitan 10.11.6
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4098: Siguza
Kernel
Tillgängligt för: macOS Sierra 10.12.6 och OS X El Capitan 10.11.6
Effekt: Ett program kan läsa kernelminnet (Meltdown)
Beskrivning: System med processor som använder spekulativ körning och indirekt vägförutsägelse kan möjliggöra otillåtet röjande av information till en angripare med lokal användartillgång via en sidokanalanalys av datacachen.
CVE-2017-5754: Jann Horn på Google Project Zero; Moritz Lipp på Tekniska universitetet i Graz; Michael Schwarz på Tekniska universitetet i Graz; Daniel Gruss på Tekniska universitetet i Graz; Thomas Prescher på Cyberus Technology GmbH; Werner Haas på Cyberus Technology GmbH; Stefan Mangard på Tekniska universitetet i Graz; Paul Kocher; Daniel Genkin på University of Pennsylvania och University of Maryland; Yuval Yarom på University of Adelaide och Data61; samt Mike Hamburg of Rambus (Cryptography Research Division)
Kernel
Tillgängligt för: macOS High Sierra 10.13.2
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2018-4090: Jann Horn på Google Project Zero
Kernel
Tillgängligt för: macOS High Sierra 10.13.2
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2018-4092: Stefan Esser på Antid0te UG
Kernel
Tillgängligt för: macOS High Sierra 10.13.2
Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4082: Russ Cox på Google
Kernel
Tillgängligt för: macOS High Sierra 10.13.2 och macOS Sierra 10.12.6
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2018-4097: Resecurity, Inc.
Kernel
Tillgängligt för: macOS High Sierra 10.13.2
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2018-4093: Jann Horn på Google Project Zero
Kernel
Tillgängligt för: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.2
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4189: en anonym forskare
Kernel
Tillgängligt för: macOS High Sierra 10.13.2
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2018-4169: en anonym forskare
LinkPresentation
Tillgängligt för: macOS High Sierra 10.13.2 och macOS Sierra 10.12.6
Effekt: Bearbetning av ett skadligt textmeddelande kan leda till att åtkomsten till tjänsten begränsas
Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.
CVE-2018-4100: Abraham Masri @cheesecakeufo
QuartzCore
Tillgängligt för: OS X El Capitan 10.11.6, macOS High Sierra 10.13.2 och macOS Sierra 10.12.6
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel fanns i bearbetningen av webbinnehåll. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2018-4085: Ret2 Systems Inc. tillsammans med Trend Micros Zero Day Initiative
Fjärrhantering
Tillgängligt för: macOS Sierra 10.12.6
Effekt: En fjärranvändare kan få tillgång till rotbehörigheter
Beskrivning: Det fanns ett behörighetsproblem i Fjärrhantering. Problemet har åtgärdats genom förbättrad behörighetsvalidering.
CVE-2018-4298: Tim van der Werff på SupCloud
Sandlåda
Tillgängligt för: macOS High Sierra 10.13.2
Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna
Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.
CVE-2018-4091: Alex Gaynor på Mozilla
Säkerhet
Tillgängligt för: macOS High Sierra 10.13.2 och macOS Sierra 10.12.6
Effekt: Ett certifikat kan ha felaktigt satta begränsningar för namn
Beskrivning: Ett problem med utvärderingen av certifikat fanns vid hantering av namnbegränsningar. Problemet åtgärdades genom förbättrad förtroendeutvärdering av certifikat.
CVE-2018-4086: Ian Haken på Netflix
Säkerhet
Tillgängligt för: macOS High Sierra 10.13.2
Effekt: En angripare kan komma förbi administratörsautentiseringen utan att ange administratörens lösenord
Beskrivning: Ett logikfel förekom i valideringen av inloggningsuppgifter. Det har åtgärdats genom förbättrad validering av inloggningsuppgifter.
CVE-2017-13889: Glenn G. Bruckno, P.E. på Automation Engineering, James Barnes, Kevin Manca på Computer Engineering Politecnico di Milano, Rene Malenfant på University of New Brunswick
Touch Bar-stöd
Tillgängligt för: macOS High Sierra 10.13.2 och macOS Sierra 10.12.6
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4083: Ian Beer på Google Project Zero
WebKit
Tillgängligt för: macOS High Sierra 10.13.2
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2018-4088: Jeonghoon Shin på Theori
CVE-2018-4089: Ivan Fratric på Google Project Zero
CVE-2018-4096: upptäcktes av OSS-Fuzz
WebKit
Tillgängligt för: macOS High Sierra 10.13.2
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2018-4147: upptäcktes av OSS-Fuzz
WebKits laddning av sidor
Tillgängligt för: macOS High Sierra 10.13.2
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2017-7830: Jun Kokatsu (@shhnjk)
Wifi
Tillgängligt för: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 och OS X El Capitan 10.11.6
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2018-4084: Hyung Sup Lee på Minionz, You Chan Lee på Hanyang University
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.