Om säkerhetsinnehållet i macOS Mojave 10.14.1, säkerhetsuppdatering 2018-002 High Sierra, säkerhetsuppdatering 2018-005 Sierra
Det här dokumentet beskriver säkerhetsinnehållet i macOS Mojave 10.14.1, säkerhetsuppdatering 2018-002 High Sierra, säkerhetsuppdatering 2018-005 Sierra.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
macOS Mojave 10.14.1, säkerhetsuppdatering 2018-002 High Sierra, säkerhetsuppdatering 2018-005 Sierra
afpserver
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: En fjärrangripare kunde angripa AFP-servrar genom HTTP-klienter
Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4295: Jianjun Chen (@whucjj) från Tsinghua University och UC Berkeley
AppleGraphicsControl
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4410: En anonym forskare i samarbete med Trend Micros Zero Day Initiative
AppleGraphicsControl
Tillgängligt för: macOS High Sierra 10.13.6
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2018-4417: Lee på Information Security Lab Yonsei University i samarbete med Trend Micros Zero Day Initiative
APR
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Flera problem med buffertspill förekom i Perl
Beskrivning: Flera problem i Perl åtgärdades med förbättrad minneshantering.
CVE-2017-12613: Craig Young på Tripwire VERT
CVE-2017-12618: Craig Young på Tripwire VERT
ATS
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett skadligt program kan öka behörigheter
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4411: lilang wu moony Li på Trend Micro i samarbete med Trend Micros Zero Day Initiative
ATS
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2018-4308: Mohamed Ghannam (@_simo36)
Automator
Tillgängligt för: macOS Mojave 10.14
Effekt: Ett skadligt program kan få tillgång till begränsade filer
Beskrivning: Problemet åtgärdades genom att ytterligare behörigheter togs bort.
CVE-2018-4468: Jeff Johnson på underpassapp.com
CFNetwork
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4126: Bruno Keith (@bkth_) i samarbete med Trend Micros Zero Day Initiative
CoreAnimation
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4415: Liang Zhuo i samarbete med Beyond Securitys SecuriTeam Secure Disclosure
CoreCrypto
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: En angripare kan utnyttja svagheter i Miller-Rabin primality test för att felaktigt identifiera primtal
Beskrivning: Ett problem förekom i metoden för att avgöra primtal. Problemet åtgärdades genom att använda databaser med pseudoslumptal för test av primtal.
CVE-2018-4398: Martin Albrecht, Jake Massimo och Kenny Paterson på Royal Holloway, University of London och Juraj Somorovsky på Ruhr University, Bochum
CoreFoundation
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett skadligt program kan öka behörigheter
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4412: NCSC (National Cyber Security Centre) i Storbritannien
CUPS
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Med vissa fjärrkonfigurationer kan en fjärrangripare ersätta meddelandeinnehållet från skrivarservern med opålitligt innehåll
Beskrivning: Ett problem med inmatning åtgärdades genom förbättrad validering.
CVE-2018-4153: Michael Hanselmann på hansmi.ch
CUPS
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: En angripare i en privilegierad position kan orsaka ett dos-angrepp
Beskrivning: Ett problem med dos-angrepp åtgärdades genom förbättrad validering.
CVE-2018-4406: Michael Hanselmann på hansmi.ch
Ordlista
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Tolkning av en ordboksfil med skadligt innehåll kan leda till att användarinformation avslöjas
Beskrivning: Ett valideringsproblem förekom vilket gjorde lokal filåtkomst möjlig. Detta hanterades genom förbättrad indatasanering.
CVE-2018-4346: Wojciech Reguła (@_r3ggi) på SecuRing
Dock
Tillgängligt för: macOS Mojave 10.14
Effekt: Ett skadligt program kan få tillgång till begränsade filer
Beskrivning: Problemet åtgärdades genom att ytterligare behörigheter togs bort.
CVE-2018-4403: Patrick Wardle på Digita Security
dyld
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14 och macOS Sierra 10.12.6
Effekt: Ett skadligt program kan öka behörigheter
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2018-4423: Youfu Zhang på Chaitin Security Research Lab (@ChaitinTech)
EFI
Tillgängligt för: macOS High Sierra 10.13.6
Effekt: System med mikroprocessorer som använder spekulativ körning och spekulativ körning av minnesläsning innan adresserna för alla tidigare minnesskrivningar är kända, kan tillåta otillåtet röjande av information till en angripare med lokal användartillgång via sidokanalanalys
Beskrivning: Ett problem med avslöjande av information åtgärdades med en microcode-uppdatering. Det säkerställer att äldre dataläsning från adresser som nyligen har skrivits till inte kan läsas via en spekulativ sidokanal.
CVE-2018-3639: Jann Horn (@tehjh) på Google Project Zero (GPZ), Ken Johnson på Microsoft Security Response Center (MSRC)
EFI
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: En lokal användare kan ändra skyddade delar av filsystemet
Beskrivning: Ett konfigurationsproblem åtgärdades med ytterligare begränsningar.
CVE-2018-4342: Timothy Perfitt på Twocanoes Software
Foundation
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Bearbetning av en skadlig textfil kan leda till att åtkomsten till tjänsten nekas
Beskrivning: Ett problem med dos-angrepp åtgärdades genom förbättrad validering.
CVE-2018-4304: jianan.huang (@Sevck)
Grand Central Dispatch
Tillgängligt för: macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4426: Brandon Azad
Heimdal
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4331: Brandon Azad
Hypervisor
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: System med mikroprocessorer som använder spekulativ körning och adresserar översättningar kan möjliggöra otillåtet röjande av information i L1-datacachen till en angripare med lokal användartillgång och gästbehörighet i operativsystemet via ett fel i en terminalsida och en sidokanalanalys
Beskrivning: Ett problem med avslöjande av information åtgärdades genom rensning av L1-datacachen i loggen för den virtuella datorn.
CVE-2018-3646: Baris Kasikci, Daniel Genkin, Ofir Weisse och Thomas F. Wenisch på University of Michigan, Mark Silberstein och Marina Minkin på Technion, Raoul Strackx, Jo Van Bulck och Frank Piessens på KU Leuven, Rodrigo Branco, Henrique Kawakami, Ke Sun och Kekai Hu på Intel Corporation, Yuval Yarom på The University of Adelaide
Hypervisor
Tillgängligt för: macOS Sierra 10.12.6
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.
CVE-2018-4242: Zhuo Liang på Qihoo 360 Nirvan Team
ICU
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14 och macOS Sierra 10.12.6
Effekt: Bearbetning av en skadlig sträng kan leda till heap-fel
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4394: Erik Verbruggen på The Qt Company
Intel Graphics-drivrutin
Tillgängligt för: macOS Sierra 10.12.6
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4334: Ian Beer på Google Project Zero
Intel Graphics-drivrutin
Tillgängligt för: macOS High Sierra 10.13.6
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2018-4396: Yu Wang på Didi Research America
CVE-2018-4418: Yu Wang på Didi Research America
Intel Graphics-drivrutin
Tillgängligt för: macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4350: Yu Wang på Didi Research America
Intel Graphics-drivrutin
Tillgängligt för: macOS Mojave 10.14
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2018-4421: Tyler Bohan på Cisco Talos
IOGraphics
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4422: En anonym forskare i samarbete med Trend Micros Zero Day Initiative
IOHIDFamily
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2018-4408: Ian Beer på Google Project Zero
IOKit
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4402: Proteas på Qihoo 360 Nirvan Team
IOKit
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett skadligt program kan bryta sig ut från sitt begränsade läge
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4341: Ian Beer på Google Project Zero
CVE-2018-4354: Ian Beer på Google Project Zero
IOUserEthernet
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4401: Apple
IPSec
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Ett program kan få högre behörighet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2018-4371: Tim Michaud (@TimGMichaud) på Leviathan Security Group
Kernel
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom borttagning av den sårbara koden.
CVE-2018-4420: Mohamed Ghannam (@_simo36)
Kernel
Tillgängligt för: macOS High Sierra 10.13.6
Effekt: Ett skadligt program kan läcka känslig användarinformation
Beskrivning: Det förekom ett åtkomstproblem med privilegierade API-samtal. Problemet åtgärdades genom ytterligare begränsningar.
CVE-2018-4399: Fabiano Anemone (@anoane)
Kernel
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4419: Mohamed Ghannam (@_simo36)
CVE-2018-4425: cc i samarbete med Trend Micros Zero Day Initiative, Juwei Lin (@panicaII) på Trend Micro i samarbete med Trend Micros Zero Day Initiative
Kernel
Tillgängligt för: macOS Sierra 10.12.6
Effekt: Montering av en skadligt utformad NFS-nätverksresurs kan leda till körning av opålitlig kod med systembehörighet
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2018-4259: Kevin Backhouse på Semmle och LGTM.com
CVE-2018-4286: Kevin Backhouse på Semmle och LGTM.com
CVE-2018-4287: Kevin Backhouse på Semmle och LGTM.com
CVE-2018-4288: Kevin Backhouse på Semmle och LGTM.com
CVE-2018-4291: Kevin Backhouse på Semmle och LGTM.com
Kernel
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2018-4413: Juwei Lin (@panicaII) på TrendMicro Mobile Security Team
Kernel
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: En angripare i en behörig nätverksposition kan köra opålitlig kod
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2018-4407: Kevin Backhouse på Semmle Ltd.
Kernel
Tillgängligt för: macOS Mojave 10.14
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad storleksvalidering.
CVE-2018-4424: Dr. Silvio Cesare på InfoSect
LinkPresentation
Tillgängligt för: macOS Sierra 10.12.6
Effekt: Bearbetning av ett skadligt textmeddelande kan leda till UI-förfalskning
Beskrivning: Ett problem med omstyrning förekom i hanteringen av webbadresser. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) på Tencent Security Platform Department
Inloggningsfönstret
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: En lokal användare kan orsaka att tjänster nekas
Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.
CVE-2018-4348: Ken Gannon på MWR InfoSecurity och Christian Demko på MWR InfoSecurity
Tillgängligt för: macOS Mojave 10.14
Effekt: Bearbetning av ett skadligt e-postmeddelande kan leda till UI-förfalskning
Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.
CVE-2018-4389: Dropbox Offensive Security Team, Theodor Ragnar Gislason på Syndis
mDNSOffloadUserClient
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4326: en anonym forskare i samarbete med Trend Micros Zero Day Initiative, Zhuo Liang på Qihoo 360 Nirvan Team
MediaRemote
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna
Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.
CVE-2018-4310: CodeColorist på Ant-Financial LightYear Labs
Microcode
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: System med mikroprocessorer som använder spekulativ körning och som utför spekulativa läsningar av systemregister kan möjliggöra otillåtet röjande av systemparametrar till en angripare med lokal användartillgång via en sidokanalanalys
Beskrivning: Ett problem med avslöjande av information åtgärdades med en microcode-uppdatering. Det säkerställer att tillämpning av specifika systemregister inte kan läckas via en spekulativ körning av en sidokanal.
CVE-2018-3640: Innokentiy Sennovskiy från BiZone LLC (bi.zone), Zdenek Sojka, Rudolf Marek och Alex Zuepke från SYSGO AG (sysgo.com)
NetworkExtension
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Anslutning till en VPN-server kan läcka DNS-förfrågningar till en DNS-proxy
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2018-4369: en anonym forskare
Perl
Tillgängligt för: macOS Sierra 10.12.6
Effekt: Flera problem med buffertspill förekom i Perl
Beskrivning: Flera problem i Perl åtgärdades med förbättrad minneshantering.
CVE-2018-6797: Brian Carpenter
Ruby
Tillgängligt för: macOS Sierra 10.12.6
Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: Flera problem i Ruby åtgärdades i den här uppdateringen.
CVE-2017-0898
CVE-2017-10784
CVE-2017-14033
CVE-2017-14064
CVE-2017-17405
CVE-2017-17742
CVE-2018-6914
CVE-2018-8777
CVE-2018-8778
CVE-2018-8779
CVE-2018-8780
Säkerhet
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: Bearbetning av ett skadligt meddelande som har signerats med S/MIME kan leda till att åtkomsten till tjänsten nekas
Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.
CVE-2018-4400: Yukinobu Nagayasu på LAC Co., Ltd.
Säkerhet
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: En lokal användare kan orsaka att tjänster nekas
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2018-4395: Patrick Wardle på Digita Security
Spotlight
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4393: Lufeng Li
Symptom Framework
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2018-4203: Bruno Keith (@bkth_) i samarbete med Trend Micros Zero Day Initiative
Wifi
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14
Effekt: En angripare i en privilegierad position kan orsaka ett dos-angrepp
Beskrivning: Ett problem med dos-angrepp åtgärdades genom förbättrad validering.
CVE-2018-4368: Milan Stute och Alex Mariotto på Secure Mobile Networking Lab på Technische Universität Darmstadt
Ytterligare tack
Kalender
Vi vill tacka Matthew Thomas på Verisign för hjälpen.
coreTLS
Vi vill tacka Eyal Ronen (Weizmann Institute), Robert Gillham (University of Adelaide), Daniel Genkin (University of Michigan), Adi Shamir (Weizmann Institute), David Wong (NCC Group) och Yuval Yarom (University of Adelaide och Data61) för deras hjälp.
iBooks
Vi vill tacka Sem Voigtländer på Fontys Hogeschool ICT för hjälpen.
Kernel
Vi vill tacka Brandon Azad för hans hjälp.
LaunchServices
Vi vill tacka Alok Menghrajani på Square för hjälpen.
Överblick
Vi vill tacka lokihardt på Google Project Zero för hjälpen.
Säkerhet
Vi vill tacka Marinos Bernitsas på Parachute för hjälpen.
Terminal
Vi vill tacka Federico Bento för hjälpen.
Time Machine
Vi vill tacka Matthew Thomas på Verisign för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.