Om säkerhetsinnehållet i macOS High Sierra 10.13.3, säkerhetsuppdatering 2018-001 Sierra och säkerhetsuppdatering 2018-001 El Capitan

Det här dokumentet beskriver säkerhetsinnehållet i macOS High Sierra 10.13.3, säkerhetsuppdatering 2018-001 Sierra och säkerhetsuppdatering 2018-001 El Capitan.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

macOS High Sierra 10.13.3, säkerhetsuppdatering 2018-001 Sierra och säkerhetsuppdatering 2018-001 El Capitan

Släpptes 23 januari 2018

Ljud

Tillgänglig för: macOS High Sierra 10.13.2 och macOS Sierra 10.12.6

Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4094: Mingi Cho, MinSik Shin, Seoyoung Kim, Yeongho Lee och Taekyoung Kwon på Information Security Lab, Yonsei University

curl

Tillgänglig för: macOS High Sierra 10.13.2

Effekt: Flera problem i curl

Beskrivning: Ett problem med läsning utanför gränserna fanns i curl. Problemet åtgärdades med förbättrad kontroll av gränserna.

CVE-2017-8817: upptäcktes av OSS-Fuzz

EFI

Tillgänglig för: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 och OS X El Capitan 10.11.6

Beskrivning: Flera buffertspill i kernel i Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 ger angripare med lokal åtkomst till systemet möjlighet att köra opålitlig kod. 

CVE-2017- 5705: Mark Ermolov och Maxim Goryachy från Positive Technologies

Lades till 30 januari 2018

EFI

Tillgänglig för: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 och OS X El Capitan 10.11.6

Beskrivning: Flera behörighetseskaleringar i kernel i Intel Manageability Engine Firmware 11.0/11.5/11.6/11.7/11.10/11.20 gav en oauktoriserad process åtkomst till skyddat innehåll genom en ej specificerad vektor.

CVE-2017- 5708: Mark Ermolov och Maxim Goryachy från Positive Technologies

Lades till 30 januari 2018

IOHIDFamily

Tillgänglig för: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 och OS X El Capitan 10.11.6

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4098: Siguza

Kernel

Tillgängligt för: macOS Sierra 10.12.6 och OS X El Capitan 10.11.6

Effekt: Ett program kan läsa kernelminnet (Meltdown)

Beskrivning: System med processor som använder spekulativ körning och indirekt vägförutsägelse kan möjliggöra otillåtet röjande av information till en angripare med lokal användartillgång via en sidokanalanalys av datacachen.

CVE-2017-5754: Jann Horn på Google Project Zero; Moritz Lipp på Tekniska universitetet i Graz; Michael Schwarz på Tekniska universitetet i Graz; Daniel Gruss på Tekniska universitetet i Graz; Thomas Prescher på Cyberus Technology GmbH; Werner Haas på Cyberus Technology GmbH; Stefan Mangard på Tekniska universitetet i Graz; Paul Kocher; Daniel Genkin på University of Pennsylvania och University of Maryland; Yuval Yarom på University of Adelaide och Data61; samt Mike Hamburg of Rambus (Cryptography Research Division)

Kernel

Tillgänglig för: macOS High Sierra 10.13.2

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med minnesinitieringen åtgärdades genom förbättrad minneshantering.

CVE-2018-4090: Jann Horn på Google Project Zero

Kernel

Tillgänglig för: macOS High Sierra 10.13.2

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad minneshantering.

CVE-2018-4092: Stefan Esser på Antid0te UG

Informationen uppdaterades 8 februari 2018

Kernel

Tillgänglig för: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 och OS X El Capitan 10.11.6

Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4082: Russ Cox på Google

Kernel

Tillgänglig för: macOS High Sierra 10.13.2 och macOS Sierra 10.12.6

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2018-4097: Resecurity, Inc.

Kernel

Tillgänglig för: macOS High Sierra 10.13.2

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2018-4093: Jann Horn på Google Project Zero

Kernel

Tillgängligt för: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.2

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4189: en anonym forskare

Lades till 2 maj 2018

Kernel

Tillgängligt för: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.2

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2018-4169: en anonym forskare

Lades till 2 maj 2018

LinkPresentation

Tillgänglig för: macOS High Sierra 10.13.2 och macOS Sierra 10.12.6.2

Effekt: Bearbetning av ett skadligt textmeddelande kan leda till att åtkomsten till tjänsten begränsas

Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.

CVE-2018-4100: Abraham Masri (@cheesecakeufo)

QuartzCore

Tillgänglig för: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 och OS X El Capitan 10.11.6

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel fanns i bearbetningen av webbinnehåll. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2018-4085: Ret2 Systems Inc. tillsammans med Trend Micros Zero Day Initiative

Fjärrhantering

Tillgängligt för: macOS Sierra 10.12.6

Effekt: En fjärranvändare kan få tillgång till rotbehörigheter

Beskrivning: Det fanns ett behörighetsproblem i Fjärrhantering. Problemet har åtgärdats genom förbättrad behörighetsvalidering.

CVE-2018-4298: Tim van der Werff på SupCloud

Posten lades till 19 juli 2018

Sandlåda

Tillgänglig för: macOS High Sierra 10.13.2

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.

CVE-2018-4091: Alex Gaynor på Mozilla

Säkerhet

Tillgänglig för: macOS High Sierra 10.13.2 och macOS Sierra 10.12.6

Effekt: Ett certifikat kan ha felaktigt satta begränsningar för namn

Beskrivning: Ett problem med utvärderingen av certifikat fanns vid hantering av namnbegränsningar. Problemet åtgärdades genom förbättrad förtroendeutvärdering av certifikat.

CVE-2018-4086: Ian Haken på Netflix

Säkerhet

Tillgänglig för: macOS High Sierra 10.13.2

Effekt: En angripare kan komma förbi administratörsautentiseringen utan att ange administratörens lösenord

Beskrivning: Ett logikfel förekom i valideringen av inloggningsuppgifter. Det har åtgärdats genom förbättrad validering av inloggningsuppgifter.

CVE-2017-13889: Glenn G. Bruckno, P.E. på Automation Engineering, James Barnes, Kevin Manca på Computer Engineering Politecnico di Milano, Rene Malenfant på University of New Brunswick

Posten lades till 21 juni 2018

Touch Bar-stöd

Tillgänglig för: macOS High Sierra 10.13.2 och macOS Sierra 10.12.6

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4083: Ian Beer på Google Project Zero

Lades till 9 februari 2018

WebKit

Tillgänglig för: macOS High Sierra 10.13.2

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2018-4088: Jeonghoon Shin på Theori

CVE-2018-4089: Ivan Fratric på Google Project Zero

CVE-2018-4096: upptäcktes av OSS-Fuzz

Wifi

Tillgänglig för: macOS High Sierra 10.13.2, macOS Sierra 10.12.6 och OS X El Capitan 10.11.6

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2018-4084: Hyung Sup Lee på Minionz, You Chan Lee på Hanyang University

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: