Om säkerhetsinnehållet i macOS Mojave 10.14.2, säkerhetsuppdatering 2018-003 High Sierra, säkerhetsuppdatering 2018-006 Sierra
Det här dokumentet beskriver säkerhetsinnehållet i macOS Mojave 10.14.2, säkerhetsuppdatering 2018-003 High Sierra, säkerhetsuppdatering 2018-006 Sierra.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
macOS Mojave 10.14.2, säkerhetsuppdatering 2018-003 High Sierra, säkerhetsuppdatering 2018-006 Sierra
AirPort
Tillgängligt för: macOS Mojave 10.14.1
Effekt: Ett skadligt program kan öka behörigheter
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-2018-4303: Mohamed Ghannam (@_simo36)
AMD
Tillgängligt för: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2018-4462: cocoahuke, Lilang Wu och Moony Li på TrendMicro Mobile Security Research Team i samarbete med Trend Micro's Zero Day Initiative
Carbon Core
Tillgängligt för: macOS Mojave 10.14.1
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)
Skivavbilder
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4465: Pangu Team
Hypervisor
Tillgängligt för: macOS Mojave 10.14.1
Effekt: Ett skadligt program kan öka behörigheter
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise och Fred Jacobs från Virtual Machine Monitor Group på VMware, Inc.
Intel Graphics-drivrutin
Tillgängligt för: macOS Mojave 10.14.1
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.
CVE-2018-4452: Liu Long på Qihoo 360 Vulcan Team
Intel Graphics-drivrutin
Tillgängligt för: macOS Mojave 10.14.1
Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2018-4434: Zhuo Liang på Qihoo 360 Nirvan Team
Intel Graphics-drivrutin
Tillgängligt för: macOS Sierra 10.12.6
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4456: Tyler Bohan på Cisco Talos
Intel Graphics-drivrutin
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2018-4421: Tyler Bohan på Cisco Talos
IOHIDFamily
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4427: Pangu Team
Kernel
Tillgängligt för: macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Effekt: En lokal användare kan läsa kernelminne
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2018-4431: En oberoende säkerhetsforskare rapporterade den här sårbarheten till Beyond Securitys SecuriTeam Secure Disclosure-program
CVE-2018-4448: Brandon Azad
Kernel
Tillgängligt för: macOS Mojave 10.14.1
Effekt: En angripare i en privilegierad position kan orsaka ett dos-angrepp
Beskrivning: Ett problem med tjänster som nekades åtgärdades genom borttagning av den sårbara koden.
CVE-2018-4460: Kevin Backhouse på Semmle Security Research Team
Kernel
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.1
Effekt: En lokal användare kan läsa kernelminne
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2018-4431: En oberoende säkerhetsforskare rapporterade den här sårbarheten till Beyond Securitys SecuriTeam Secure Disclosure-program
Kernel
Tillgängligt för: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4447: Juwei Lin(@panicaII) och Zhengyu Dong på TrendMicro Mobile Security Team i samarbete med Trend Micro's Zero Day Initiative
Kernel
Tillgängligt för: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6
Effekt: Ett skadligt program kan öka behörigheter
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2018-4435: Jann Horn på Google Project Zero, Juwei Lin(@panicaII) och Junzhi Lu på TrendMicro Mobile Security Team i samarbete med Trend Micro's Zero Day Initiative
Kernel
Tillgängligt för: macOS Mojave 10.14.1
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4461: Ian Beer på Google Project Zero
WindowServer
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4449: Hanqing Zhao, Yufeng Ruan och Kun Yang på Chaitin Security Research Lab
CVE-2018-4450: Hanqing Zhao, Yufeng Ruan och Kun Yang på Chaitin Security Research Lab
Ytterligare tack
LibreSSL
Vi vill tacka Keegan Ryan på NCC Group för deras hjälp.
NetAuth
Vi vill tacka Vladimir Ivanov på Digital Security för deras hjälp.
Simple certificate enrollment protocol (SCEP)
Vi vill tacka Tim Cappalli på Aruba och ett Hewlett Packard Enterprise-företag för deras hjälp.
Time Machine
Vi vill tacka Matthew Thomas på Verisign för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.