Om säkerhetsinnehållet i macOS Mojave 10.14.2, säkerhetsuppdatering 2018-003 High Sierra, säkerhetsuppdatering 2018-006 Sierra

Det här dokumentet beskriver säkerhetsinnehållet i macOS Mojave 10.14.2, säkerhetsuppdatering 2018-003 High Sierra, säkerhetsuppdatering 2018-006 Sierra.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

macOS Mojave 10.14.2, säkerhetsuppdatering 2018-003 High Sierra, säkerhetsuppdatering 2018-006 Sierra

Släpptes 5 december 2018

AirPort

Tillgängligt för: macOS Mojave 10.14.1

Effekt: Ett skadligt program kan öka behörigheter

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2018-4303: Mohamed Ghannam (@_simo36)

Uppdaterades 21 december 2018

AMD

Tillgängligt för: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2018-4462: cocoahuke, Lilang Wu och Moony Li på TrendMicro Mobile Security Research Team i samarbete med Trend Micro's Zero Day Initiative

Uppdaterades 21 december 2018

Carbon Core

Tillgängligt för: macOS Mojave 10.14.1

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4463: Maksymilian Arciemowicz (cxsecurity.com)

Skivavbilder

Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4465: Pangu Team

Hypervisor

Tillgängligt för: macOS Mojave 10.14.1

Effekt: Ett skadligt program kan öka behörigheter

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise och Fred Jacobs från Virtual Machine Monitor Group på VMware, Inc.

Lades till 22 januari 2019

Intel Graphics-drivrutin

Tillgängligt för: macOS Mojave 10.14.1

Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2018-4452: Liu Long på Qihoo 360 Vulcan Team

Lades till 22 januari 2019

Intel Graphics-drivrutin

Tillgängligt för: macOS Mojave 10.14.1

Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2018-4434: Zhuo Liang på Qihoo 360 Nirvan Team

Intel Graphics-drivrutin

Tillgängligt för: macOS Sierra 10.12.6

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4456: Tyler Bohan på Cisco Talos

Lades till 21 december 2018, uppdaterades 22 januari 2019

Intel Graphics-drivrutin

Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.

CVE-2018-4421: Tyler Bohan på Cisco Talos

Lades till 21 december 2018

IOHIDFamily

Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4427: Pangu Team

Kernel

Tillgängligt för: macOS Mojave 10.14.1

Effekt: En angripare i en privilegierad position kan orsaka ett dos-angrepp

Beskrivning: Ett problem med tjänster som nekades åtgärdades genom borttagning av den sårbara koden.

CVE-2018-4460: Kevin Backhouse på Semmle Security Research Team

Kernel

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.1

Effekt: En lokal användare kan läsa kernelminne

Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.

CVE-2018-4431: En oberoende säkerhetsforskare rapporterade den här sårbarheten till Beyond Securitys SecuriTeam Secure Disclosure-program

Kernel

Tillgängligt för: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4447: Juwei Lin(@panicaII) och Zhengyu Dong på TrendMicro Mobile Security Team i samarbete med Trend Micro's Zero Day Initiative

Uppdaterades 18 december 2018

Kernel

Tillgängligt för: macOS Sierra 10.12.6, macOS Mojave 10.14.1, macOS High Sierra 10.13.6

Effekt: Ett skadligt program kan öka behörigheter

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2018-4435: Jann Horn på Google Project Zero, Juwei Lin(@panicaII) och Junzhi Lu på TrendMicro Mobile Security Team i samarbete med Trend Micro's Zero Day Initiative

Uppdaterades 18 december 2018

Kernel

Tillgängligt för: macOS Mojave 10.14.1

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4461: Ian Beer på Google Project Zero

WindowServer

Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.1

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4449: Hanqing Zhao, Yufeng Ruan och Kun Yang på Chaitin Security Research Lab

CVE-2018-4450: Hanqing Zhao, Yufeng Ruan och Kun Yang på Chaitin Security Research Lab

Ytterligare tack

LibreSSL

Vi vill tacka Keegan Ryan på NCC Group för deras hjälp.

NetAuth

Vi vill tacka Vladimir Ivanov på Digital Security för deras hjälp.

Simple certificate enrollment protocol (SCEP)

Vi vill tacka Tim Cappalli på Aruba och ett Hewlett Packard Enterprise-företag för deras hjälp.

Time Machine

Vi vill tacka Matthew Thomas på Verisign för hjälpen.

Lades till 22 januari 2019

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: