Om säkerhetsinnehållet i macOS High Sierra 10.13.5, säkerhetsuppdatering 2018-003 Sierra och säkerhetsuppdatering 2018-003 El Capitan

I det här dokumentet beskrivs säkerhetsinnehållet i macOS High Sierra 10.13.5, säkerhetsuppdatering 2018-003 Sierra och säkerhetsuppdatering 2018-003 El Capitan.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

macOS High Sierra 10.13.5, säkerhetsuppdatering 2018-003 Sierra och säkerhetsuppdatering 2018-003 El Capitan

Släpptes 1 juni 2018

Ramverk för hjälpmedel

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett problem med avslöjande av information förekom i ramverket för Hjälpmedel. Problemet åtgärdades genom förbättrad minneshantering.

CVE-2018-4196: Alex Plaskett, Georgi Geshev och Fabian Beterke från MWR Labs arbetar med Trend Micro’s Zero Day Initiative och WanderingGlitch från Trend Micro Zero Day Initiative

Uppdaterades 19 juli 2018

AMD

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En lokal användare kan läsa kernelminne

Beskrivning: Det förekom ett problem med läsning utanför gränserna som ledde till att kernelminne avslöjades. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2018-4253: shrek_wzw på Qihoo 360 Nirvan Team

AMD

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En lokal användare kan läsa kernelminne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2018-4256: shrek_wzw från Qihoo 360 Nirvan Team

Posten lades till 19 juli 2018

AMD

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En lokal användare kan läsa kernelminne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2018-4255: en anonym forskare

Lades till 18 oktober 2018

AMD

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med validering av indata förekom i kernel. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2018-4254: en anonym forskare

Lades till 18 oktober 2018

AppleGraphicsControl

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2018-4258: shrek_wzw på Qihoo 360 Nirvan Team

Lades till 18 oktober 2018

AppleGraphicsPowerManagement

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad storleksvalidering.

CVE-2018-4257: shrek_wzw på Qihoo 360 Nirvan Team

Lades till 18 oktober 2018

apache_mod_php

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Problem i php åtgärdades i den här uppdateringen

Beskrivning: Problemet åtgärdades genom att uppdatera till php version 7.1.16.

CVE-2018-7584: Wei Lei och Liu Yang på Nanyang Technological University

ATS

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett skadligt program kan öka behörigheter

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2018-4219: Mohamed Ghannam (@_simo36)

Bluetooth

Tillgängligt för: MacBook Pro (Retina, 15 tum, mitten av 2015), MacBook Pro (Retina, 15 tum, 2015), MacBook Pro (Retina, 13 tum, tidigt 2015), MacBook Pro (15 tum, 2017), MacBook Pro (15 tum, 2016), MacBook Pro (13 tum, sent 2016, två Thunderbolt 3-portar), MacBook Pro (13 tum, sent 2016, fyra Thunderbolt 3-portar), MacBook Pro (13 tum, 2017, fyra Thunderbolt 3-portar), MacBook (Retina, 12 tum, tidigt 2016), MacBook (Retina, 12 tum, tidigt 2015), MacBook (Retina, 12 tum, 2017), iMac Pro, iMac (Retina 5K, 27 tum, sent 2015), iMac (Retina 5K, 27 tum, 2017), iMac (Retina 4K, 21,5 tum, sent 2015), iMac (Retina 4K, 21,5 tum, 2017), iMac (21,5 tum, sent 2015) och iMac (21,5 tum, 2017)

Effekt: En angripare i behörig nätverksposition kan manipulera Bluetooth-trafik

Beskrivning: Ett indatavalideringsproblem förekom i Bluetooth. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2018-5383: Lior Neumann och Eli Biham

Posten lades till 23 juli 2018

Bluetooth

Tillgängligt för: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet.

Beskrivning: Ett problem med avslöjande av information förekom i enhetsegenskaper. Problemet åtgärdades genom förbättrad objekthantering.

CVE-2018-4171: shrek_wzw på Qihoo 360 Nirvan Team

CoreGraphics

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2018-4194: Jihui Lu på Tencent KeenLab, Yu Zhou på Ant-financial Light-Year Security Lab

Posten lades till 21 juni 2018

CUPS

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En lokal process kan modifiera andra processer utan behörighetskontroller

Beskrivning: Ett fel förekom i CUPS. Problemet åtgärdades genom förbättrad åtkomstbegränsning.

CVE-2018-4180: Dan Bastone på Gotham Digital Science

Posten lades till 11 juli 2018

CUPS

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En lokal användare kan ha läst opålitliga filer i rot

Beskrivning: Ett fel förekom i CUPS. Problemet åtgärdades genom förbättrad åtkomstbegränsning.

CVE-2018-4181: Eric Rafaloff och John Dunlap på Gotham Digital Science

Posten lades till 11 juli 2018

CUPS

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett åtkomstproblem åtgärdades med ytterligare sandlådebegränsningar för CUPS.

CVE-2018-4182: Dan Bastone på Gotham Digital Science

Posten lades till 11 juli 2018

CUPS

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.

CVE-2018-4183: Dan Bastone och Eric Rafaloff på Gotham Digital Science

Posten lades till 11 juli 2018

Fast mjukvara

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett skadligt program med rotbehörigheter kan modifiera regionen för EFI-flashminnet

Beskrivning: Ett problem vid enhetskonfigurering åtgärdades med en uppdaterad konfigurering.

CVE-2018-4251: Maxim Goryachy och Mark Ermolov

FontParser

Tillgängligt för: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.

CVE-2018-4211: Proteas på Qihoo 360 Nirvan Team

Grand Central Dispatch

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett problem förekom vid tolkning av plists för behörighet. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2018-4229: Jakob Rieck (@0xdead10cc) på Security in Distributed Systems Group, universitetet i Hamburg

Grafikdrivrutiner

Tillgängligt för: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2018-4159: Axis och pjf på IceSword Lab på Qihoo 360

Hypervisor

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.

CVE-2018-4242: Zhuo Liang på Qihoo 360 Nirvan Team

iBooks

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En angripare med en privilegierad nätverksposition kan bluffa lösenordsuppmaningar i iBooks

Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4202: Jerry Decime

Intel Graphics-drivrutin

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2018-4141: en anonym forskare, Zhao Qixun (@S0rryMybad) på Qihoo 360 Vulcan Team

IOFireWireAVC

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2018-4228: Benjamin Gnahm (@mitp0sh) på Mentor Graphics

IOGraphics

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4236: Zhao Qixun(@S0rryMybad) på Qihoo 360 Vulcan Team

IOHIDFamily

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4234: Proteas på Qihoo 360 Nirvan Team

Kernel

Tillgängligt för: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Effekt: En angripare i en privilegierad position kan orsaka ett dos-angrepp

Beskrivning: Ett problem med dos-angrepp åtgärdades genom förbättrad validering.

CVE-2018-4249: Kevin Backhouse på Semmle Ltd.

Kernel

Tillgängligt för: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Under vissa omständigheter kan vissa operativsystem inte förvänta sig eller korrekt hantera Intel-arkitekturens felsökningsundantag efter vissa instruktioner. Problemet verkar orsakas av en odokumenterad bieffekt av instruktionerna. En angripare kan använda den här undantagshanteringen till att få åtkomst till Ring 0 och känsligt minne eller styra operativsystemsprocesser.

CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox) på Everdox Tech LLC

Kernel

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2018-4241: Ian Beer på Google Project Zero

CVE-2018-4243: Ian Beer på Google Project Zero

libxpc

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett program kan få högre behörighet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2018-4237: Samuel Groß (@5aelo) i samarbete med Trend Micros Zero Day Initiative

Mail

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En angripare kan komma åt innehåll i e-postmeddelanden som har krypterats med S/MIME

Beskrivning: Ett problem förekom i hanteringen av krypterade e-postmeddelanden. Problemet åtgärdades med förbättrad isolering av MIME i Mail.

CVE-2018-4227: Damian Poddebniak på Fachhochschule Münster, Christian Dresen på Fachhochschule Münster, Jens Müller på Ruhr-Universität Bochum, Fabian Ising på Fachhochschule Münster, Sebastian Schinzel på Fachhochschule Münster, Simon Friedberger på KU Leuven, Juraj Somorovsky på Ruhr-Universität Bochum, Jörg Schwenk på Ruhr-Universität Bochum

Meddelanden

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En lokal användare kan utföra imitationsattacker

Beskrivning: Ett problem med inmatning åtgärdades genom förbättrad validering av indata.

CVE-2018-4235: Anurodh Pokharel på Salesforce.com

Meddelanden

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Bearbetning av ett skadligt meddelande kan leda till att åtkomsten till tjänsten nekas

Beskrivning: Problemet åtgärdades med förbättrad validering av meddelanden.

CVE-2018-4240: Sriram (@Sri_Hxor) på PrimeFort Pvt. Ltd

NVIDIA-grafikdrivrutiner

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2018-4230: Ian Beer på Google Project Zero

Säkerhet

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En användare kan spåras av uppsåtligt skapade webbplatser med hjälp av klientcertifikat

Beskrivning: Ett problem förekom i hanteringen av S/MIME-certifikat. Problemet åtgärdades med förbättrad validering av S/MIME-certifikat.

CVE-2018-4221: Damian Poddebniak på Fachhochschule Münster, Christian Dresen på Fachhochschule Münster, Jens Müller på Ruhr-Universität Bochum, Fabian Ising på Fachhochschule Münster, Sebastian Schinzel på Fachhochschule Münster, Simon Friedberger på KU Leuven, Juraj Somorovsky på Ruhr-Universität Bochum, Jörg Schwenk på Ruhr-Universität Bochum

Säkerhet

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En lokal användare kan läsa en konstant kontoidentifierare

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

Säkerhet

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En lokal användare kan läsa en konstant enhetsidentifierare

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Säkerhet

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En lokal användare kan ändra Nyckelringens tillstånd

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4225: Abraham Masri (@cheesecakeufo)

Säkerhet

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En lokal användare kunde visa känslig användarinformation

Beskrivning: Ett problem med auktorisation åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4226: Abraham Masri (@cheesecakeufo)

Tal

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett sandlådeproblem förekom i hanteringen av mikrofonåtkomst. Problemet åtgärdades med förbättrad hantering av mikrofonåtkomst.

CVE-2018-4184: Jakob Rieck (@0xdead10cc) på Security in Distributed Systems Group, universitetet i Hamburg

UIKit

Tillgängligt för: macOS High Sierra 10.13.4

Effekt: Bearbetning av en skadlig textfil kan leda till att åtkomsten till tjänsten nekas

Beskrivning: Ett valideringsproblem förekom i hanteringen av text. Problemet åtgärdades genom förbättrad validering av text.

CVE-2018-4198: Hunter Byrnes

Windows Server

Tillgängligt för: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4193: Markus Gaasedelen, Nick Burnett och Patrick Biernat på Ret2 Systems, Inc i samarbete Trend Micros Zero Day Initiative, Richard Zhu (fluorescence) i samarbete med Trend Micros Zero Day Initiative

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: