Om säkerhetsinnehållet i macOS Mojave 10.14

Det här dokumentet beskriver säkerhetsinnehållet i macOS Mojave 10.14.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

macOS Mojave 10.14

Släpptes 24 september 2018

Bluetooth

Tillgänglig för: iMac (21,5 tum, sent 2012), iMac (27 tum, sent 2012), iMac (21,5 tum, sent 2013), iMac (21,5 tum, mitten 2014), iMac (Retina 5K, 27 tum, sent 2014), iMac (21,5 tum, sent 2015), Mac mini (mitten 2011), Mac mini Server (mitten 2011), Mac mini (sent 2012), Mac mini Server (sent 2012), Mac mini (sent 2014), Mac Pro (sent 2013), MacBook Air (11 tum, mitten 2011), MacBook Air (13 tum, mitten 2011), MacBook Air (11 tum, mitten 2012), MacBook Air (13 tum, mitten 2012), MacBook Air (11 tum, mitten 2013), MacBook Air (13 tum, mitten 2013), MacBook Air (11 tum, tidigt 2015), MacBook Air (13 tum, tidigt 2015), MacBook Pro (13 tum, mitten 2012), MacBook Pro (15 tum, mitten 2012), MacBook Pro (Retina, 13 tum, tidigt 2013), MacBook Pro (Retina, 15 tum, tidigt 2013), MacBook Pro (Retina, 13 tum, sent 2013) och MacBook Pro (Retina, 15 tum, sent 2013)

Effekt: En angripare i behörig nätverksposition kan manipulera Bluetooth-trafik

Beskrivning: Ett indatavalideringsproblem förekom i Bluetooth. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2018-5383: Lior Neumann och Eli Biham

 

Uppdateringarna nedan är tillgängliga för de här Mac-modellerna: MacBook (tidigt 2015 och senare), MacBook Air (mitten 2012 och senare), MacBook Pro (mitten 2012 och senare), Mac mini (sent 2012 och senare), iMac (sent 2012 och senare), iMac Pro (alla modeller), Mac Pro (modellerna sent 2013, mitten 2010 och mitten 2012 med rekommenderad Metal-kompatibel grafikprocessor, inklusive MSI Gaming Radeon RX 560 och Sapphire Radeon PULSE RX 580)

afpserver

Effekt: En fjärrangripare kunde angriva AFP-servrar genom HTTP-klienter

Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4295: Jianjun Chen (@whucjj) från Tsinghua University och UC Berkeley

Lades till 30 oktober 2018

App Store

Effekt: Ett skadligt program kan ta reda på datorägarens Apple-ID

Beskrivning: Ett behörighetsproblem förekom i hanteringen av Apple-ID. Problemet åtgärdades genom förbättrade åtkomstkontroller.

CVE-2018-4324: Sergii Kryvoblotskyi på MacPaw Inc.

AppleGraphicsControl

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2018-4417: Lee på Information Security Lab Yonsei University i samarbete med Trend Micros Zero Day Initiative

Lades till 30 oktober 2018

Brandvägg för program

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett konfigurationsproblem åtgärdades med ytterligare begränsningar.

CVE-2018-4353: Abhinav Bansal på LinkedIn Inc.

Posten uppdaterades 30 oktober 2018

APR

Effekt: Flera problem med buffertspill förekom i Perl

Beskrivning: Flera problem i Perl åtgärdades med förbättrad minneshantering.

CVE-2017-12613: Craig Young på Tripwire VERT

CVE-2017-12618: Craig Young på Tripwire VERT

Lades till 30 oktober 2018

ATS

Effekt: Ett skadligt program kan öka behörigheter

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4411: lilang wu moony Li på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Lades till 30 oktober 2018

ATS

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Lades till 30 oktober 2018

Autoupplåsning

Effekt: En skadligt program kan få tillgång till lokala användares Apple-ID:n.

Beskrivning: Ett valideringsproblem förekom i behörighetsvalideringen. Problemet åtgärdades med hjälp av förbättrad validering av processbehörigheten.

CVE-2018-4321: Min (Spark) Zheng, Xiaolong Bai på Alibaba Inc.

CFNetwork

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4126: Bruno Keith (@bkth_) i samarbete med Trend Micros Zero Day Initiative

Lades till 30 oktober 2018

CoreFoundation

Effekt: Ett skadligt program kan öka behörigheter

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4412: NCSC (National Cyber Security Centre) i Storbritannien

Lades till 30 oktober 2018

CoreFoundation

Effekt: Ett program kan få högre behörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4414: NCSC (National Cyber Security Centre) i Storbritannien

Lades till 30 oktober 2018

CoreText

Effekt: Bearbetning av en skadlig textfil kan leda till opålitlig kodkörning

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2018-4347: en anonym forskare

Lades till 30 oktober 2018

Crash Reporter

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2018-4333: Brandon Azad

CUPS

Effekt: Med vissa fjärrkonfigurationer kan en fjärrangripare ersätta meddelandeinnehållet från skrivarservern med opålitligt innehåll

Beskrivning: Ett problem med inmatning åtgärdades genom förbättrad validering.

CVE-2018-4153: Michael Hanselmann på hansmi.ch

Lades till 30 oktober 2018

CUPS

Effekt: En angripare i en privilegierad position kan orsaka ett dos-angrepp

Beskrivning: Ett problem med dos-angrepp åtgärdades genom förbättrad validering.

CVE-2018-4406: Michael Hanselmann på hansmi.ch

Lades till 30 oktober 2018

Ordlista

Effekt: Tolkning av en ordboksfil med skadligt innehåll kan leda till att användarinformation avslöjas

Beskrivning: Ett valideringsproblem förekom vilket gjorde lokal filåtkomst möjlig. Detta hanterades genom förbättrad indatasanering.

CVE-2018-4346: Wojciech Reguła (@_r3ggi) på SecuRing

Lades till 30 oktober 2018

Grand Central Dispatch

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4426: Brandon Azad

Lades till 30 oktober 2018

Heimdal

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Lades till 30 oktober 2018

Hypervisor

Effekt: System med mikroprocessorer som använder spekulativ körning och adresserar översättningar kan möjliggöra otillåtet röjande av information i L1-datacachen till en angripare med lokal användartillgång och gästbehörighet i operativsystemet via ett fel i en terminalsida och en sidokanalanalys

Beskrivning: Ett problem med avslöjande av information åtgärdades genom rensning av L1-datacachen i loggen för den virtuella datorn.

CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse och Thomas F. Wenisch på University of Michigan, Mark Silberstein och Marina Minkin på Technion, Raoul Strackx, Jo Van Bulck och Frank Piessens på KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun och Kekai Hu på Intel Corporation, Yuval Yarom på The University of Adelaide

Lades till 30 oktober 2018

iBooks

Effekt: Tolkning av en skadlig iBooks-fil kan leda till att användarinformation avslöjas

Beskrivning: Ett konfigurationsproblem åtgärdades med ytterligare begränsningar.

CVE-2018-4355: evi1m0 på bilibili security team

Lades till 30 oktober 2018

Intel Graphics-drivrutin

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2018-4396: Yu Wang på Didi Research America

CVE-2018-4418: Yu Wang på Didi Research America

Lades till 30 oktober 2018

Intel Graphics-drivrutin

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.

CVE-2018-4351: Appology Team @ Theori i samarbete med Trend Micros Zero Day Initiative

Lades till 30 oktober 2018

Intel Graphics-drivrutin

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4350: Yu Wang på Didi Research America

Lades till 30 oktober 2018

Intel Graphics-drivrutin

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4334: Ian Beer på Google Project Zero

Lades till 30 oktober 2018

IOHIDFamily

Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering

CVE-2018-4408: Ian Beer på Google Project Zero

Lades till 30 oktober 2018

IOKit

Effekt: Ett skadligt program kan bryta sig ut från sitt begränsade läge

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4341: Ian Beer på Google Project Zero

CVE-2018-4354: Ian Beer på Google Project Zero

Lades till 30 oktober 2018

IOKit

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4383: Apple

Lades till 30 oktober 2018

IOUserEthernet

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4401: Apple

Lades till 30 oktober 2018

Kernel

Effekt: Ett skadligt program kan läcka känslig användarinformation

Beskrivning: Det förekom ett åtkomstproblem med privilegierade API-samtal. Problemet åtgärdades genom ytterligare begränsningar.

CVE-2018-4399: Fabiano Anemone (@anoane)

Lades till 30 oktober 2018

Kernel

Effekt: En angripare i en privilegierad nätverksposition kan köra opålitlig kod

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.

CVE-2018-4407: Kevin Backhouse på Semmle Ltd.

Lades till 30 oktober 2018

Kernel

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer på Google Project Zero

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: Storbritanniens National Cyber Security Centre (NCSC)

CVE-2018-4425: cc i samarbete med Trend Micros Zero Day Initiative, Juwei Lin (@panicaII) på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Posten uppdaterades 30 oktober 2018

LibreSSL

Effekt: Flera problem i libressl åtgärdades i den här uppdateringen

Beskrivning: Flera problem åtgärdades genom att uppdatera libressl till version 2.6.4.

CVE-2015-3194

CVE-2015-5333

CVE-2015-5334

CVE-2016-702

Lades till 30 oktober 2018

Inloggningsfönstret

Effekt: En lokal användare kan orsaka att tjänster nekas

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

CVE-2018-4348: Ken Gannon på MWR InfoSecurity och Christian Demko på MWR InfoSecurity

Lades till 30 oktober 2018

mDNSOffloadUserClient

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4326: en anonym forskare i samarbete med Trend Micros Zero Day Initiative, Zhuo Liang på Qihoo 360 Nirvan Team

Lades till 30 oktober 2018

MediaRemote

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.

CVE-2018-4310: CodeColorist på Ant-Financial LightYear Labs

Lades till 30 oktober 2018

Microcode

Effekt: System med mikroprocessorer som använder spekulativ körning och spekulativ körning av minnesläsning innan adresserna för alla tidigare minnesskrivningar är kända, kan tillåta otillåtet röjande av information till en angripare med lokal användartillgång via sidokanalanalys

Beskrivning: Ett problem med avslöjande av information åtgärdades med en microcode-uppdatering. Det säkerställer att äldre dataläsning från adresser som nyligen har skrivits till inte kan läsas via en spekulativ sidokanal.

CVE-2018-3639: Jann Horn (@tehjh) på Google Project Zero (GPZ), Ken Johnson på Microsoft Security Response Center (MSRC)

Lades till 30 oktober 2018

Säkerhet

Effekt: En lokal användare kan orsaka att tjänster nekas

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2018-4395: Patrick Wardle på Digita Security

Lades till 30 oktober 2018

Säkerhet

Effekt: En angripare kan få möjlighet att utnyttja svagheter i den kryptografiska algoritmen RC4

Beskrivning: Problemet åtgärdades genom att RC4 togs bort.

CVE-2016-1777: Pepi Zawodsky

Spotlight

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4393: Lufeng Li

Lades till 30 oktober 2018

Symptom Framework

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2018-4203: Bruno Keith (@bkth_) i samarbete med Trend Micros Zero Day Initiative

Lades till 30 oktober 2018

Text

Effekt: Bearbetning av en skadlig textfil kan leda till att åtkomsten till tjänsten nekas

Beskrivning: Ett problem med dos-angrepp åtgärdades genom förbättrad validering.

CVE-2018-4304: jianan.huang (@Sevck)

Lades till 30 oktober 2018

Wifi

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2018-4338: Lee @ SECLAB, Yonsei University i samarbete med Trend Micros Zero Day Initiative

Lades till 23 oktober 2018

Ytterligare tack

Ramverk för hjälpmedel

Vi vill tacka Ryan Govostes för hans hjälp.

Core Data

Vi vill tacka Andreas Kurtz (@aykay) på NESO Security Labs GmbH för deras hjälp.

CoreGraphics

Vi vill tacka Nitin Arya of Roblox Corporation för deras hjälp.

Mail

Vi vill tacka Alessandro Avagliano på Rocket Internet SE, John Whitehead på The New York Times, Kelvin Delbarre på Omicron Software Systems och Zbyszek Żółkiewski för deras hjälp.

Säkerhet

Vi vill tacka Christoph Sinai, Daniel Dudek (@dannysapples) på The Irish Times och Filip Klubička (@lemoncloak) på ADAPT Centre, Dublin Institute of Technology, Istvan Csanady på Shapr3D, Omar Barkawi på ITG Software, Inc., Phil Caleno, Wilson Ding och en anonym forskare för deras hjälp.

SQLite

Vi vill tacka Andreas Kurtz (@aykay) på NESO Security Labs GmbH för deras hjälp.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: