macOS High Sierra 10.13.3, Güvenlik Güncellemesi 2018-001 Sierra ve Güvenlik Güncellemesi 2018-001 El Capitan'ın güvenlik içeriği hakkında

Bu belgede macOS High Sierra 10.13.3, Güvenlik Güncellemesi 2018-001 Sierra ve Güvenlik Güncellemesi 2018-001 El Capitan'ın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

macOS High Sierra 10.13.3, Güvenlik Güncellemesi 2018-001 Sierra ve Güvenlik Güncellemesi 2018-001 El Capitan

Yayınlanma tarihi: 23 Ocak 2018

Ses

İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4094: Yonsei Üniversitesi, Information Security Lab'den Mingi Cho, Seoyoung Kim, Young-Ho Lee, MinSik Shin ve Taekyoung Kwon

Giriş güncellenme tarihi: 16 Kasım 2018

curl

İlgili sürüm: macOS High Sierra 10.13.2

Etki: curl'de birden fazla sorun

Açıklama: curl'de bir tam sayı taşması vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

CVE-2017-8816: Alex Nichols

Giriş eklenme tarihi: 16 Kasım 2018

curl

İlgili sürüm: macOS High Sierra 10.13.2

Etki: curl'de birden fazla sorun

Açıklama: curl'de sınırların dışında okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

CVE-2017-8817: OSS-Fuzz tarafından bulundu

Giriş güncellenme tarihi: 16 Kasım 2018

EFI

İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Açıklama: Intel Yönetim Motoru Bellenimi 11.0/11.5/11.6/11.7/11.10/11.20 sürümlerinde çekirdekteki birden fazla önbellek taşması, sisteme yerel erişimi olan bir saldırganın rastgele kod yürütmesine izin veriyor.

CVE-2017-5705: Positive Technologies'den Mark Ermolov ve Maxim Goryachy

Giriş eklenme tarihi: 30 Ocak 2018

EFI

İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Açıklama: Intel Yönetim Motoru Bellenimi 11.0/11.5/11.6/11.7/11.10/11.20 sürümlerinde çekirdekteki birden fazla ayrıcalık yükseltmesi, yetkisiz bir işlemin belirtilmemiş vektör aracılığıyla ayrıcalıklı içeriğe erişmesine izin veriyor.

CVE-2017-5708: Positive Technologies'den Mark Ermolov ve Maxim Goryachy

Giriş eklenme tarihi: 30 Ocak 2018

IOHIDFamily

İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4098: Siguza

Çekirdek

İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6

Etki: Bir uygulama, çekirdek belleğini okuyabilir (Meltdown)

Açıklama: Spekülatif yürütme ve dolaylı dal tahmini özelliklerini kullanan mikroişlemcilerle çalışan sistemler, veri önbelleğinin yan kanal analizi yoluyla bilgilerin yerel kullanıcı erişimi olan bir saldırgana yetkisiz olarak açıklanmasına izin verebilir.

CVE-2017-5754: Google Project Zero'dan Jann Horn; Graz Teknoloji Üniversitesi'nden Moritz Lipp; Graz Teknoloji Üniversitesi'nden Michael Schwarz; Graz Teknoloji Üniversitesi'nden Daniel Gruss; Cyberus Technology GmbH şirketinden Thomas Prescher; Cyberus Technology GmbH şirketinden Werner Haas; Graz Teknoloji Üniversitesi'nden Stefan Mangard; Paul Kocher; Pennsylvania Üniversitesi ve Maryland Üniversitesi'nden Daniel Genkin; Adelaide Üniversitesi ve Data61'dan Yuval Yarom; Rambus'tan (Şifreleme Araştırmaları Bölümü) Mike Hamburg

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.2

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2018-4090: Google Project Zero'dan Jann Horn

Giriş güncellenme tarihi: 16 Kasım 2018

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.2

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2018-4092: Antid0te UG şirketinden Stefan Esser

Giriş güncellenme tarihi: 8 Şubat 2018, giriş güncellenme tarihi: 16 Kasım 2018

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.2

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4082: Google'dan Russ Cox

Giriş güncellenme tarihi: 16 Kasım 2018

Çekirdek

İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2018-4097: Resecurity, Inc.

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.2

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4093: Google Project Zero'dan Jann Horn

Çekirdek

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.2

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4189: anonim bir araştırmacı

Giriş eklenme tarihi: 2 Mayıs 2018

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.2

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2018-4169: anonim bir araştırmacı

Giriş eklenme tarihi: 2 Mayıs 2018, giriş güncellenme tarihi: 16 Kasım 2018

LinkPresentation

İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi uygulamada servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir kaynak tükenmesi sorunu giderildi.

CVE-2018-4100: Abraham Masri @cheesecakeufo

Giriş güncellenme tarihi: 16 Kasım 2018

QuartzCore

İlgili sürümler: OS X El Capitan 10.11.6, macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Web içeriğinin işlenmesinde bir bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4085: Ret2 Systems Inc. (Trend Micro'nun Zero Day Initiative programıyla)

Giriş güncellenme tarihi: 16 Kasım 2018

Uzaktan Yönetim

İlgili sürüm: macOS Sierra 10.12.6

Etki: Uzak bir kullanıcı, kök ayrıcalıkları elde edebilir

Açıklama: Uzaktan Yönetim'de bir izin sorunu vardı. İzin doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4298: SupCloud'dan Tim van der Werff

Giriş eklenme tarihi: 19 Temmuz 2018

Korumalı Alan (Sandbox)

İlgili sürüm: macOS High Sierra 10.13.2

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2018-4091: Mozilla'dan Alex Gaynor

Giriş güncellenme tarihi: 16 Kasım 2018

Güvenlik

İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Etki: Bir sertifika, ad kısıtlamalarının yanlış uygulanmasına neden olabilir

Açıklama: Ad kısıtlamalarının işlenmesinde bir sertifika değerlendirme sorunu vardı. Sertifikalar için güven değerlendirme işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4086: Netflix'ten Ian Haken

Giriş güncellenme tarihi: 16 Kasım 2018

Güvenlik

İlgili sürüm: macOS High Sierra 10.13.2

Etki: Bir saldırgan, yönetici parolası girmeden yönetici kimlik doğrulamasını atlayabilir

Açıklama: Kimlik bilgilerinin doğrulanmasında bir mantık hatası vardı. Kimlik bilgisi doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2017-13889: James Barnes, Automation Engineering'den Glenn G. Bruckno, P.E., Computer Engineering Politecnico di Milano'dan Kevin Manca, New Brunswick Üniversitesi'nden Rene Malenfant

Giriş eklenme tarihi: 21 Haziran 2018

Touch Bar Desteği

İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4083: Google Project Zero'dan Ian Beer

Giriş eklenme tarihi: 9 Şubat 2018

WebKit

İlgili sürüm: macOS High Sierra 10.13.2

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2018-4088: Theori'den Jeonghoon Shin

CVE-2018-4089: Google Project Zero'dan Ivan Fratric

CVE-2018-4096: OSS-Fuzz tarafından bulundu

WebKit

İlgili sürüm: macOS High Sierra 10.13.2

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2018-4147: OSS-Fuzz tarafından bulundu

Giriş eklenme tarihi: 18 Ekim 2018

WebKit Sayfa Yüklemesi

İlgili sürüm: macOS High Sierra 10.13.2

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2017-7830: Jun Kokatsu (@shhnjk)

Giriş eklenme tarihi: 18 Ekim 2018

Wi-Fi

İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4084: Minionz'dan Hyung Sup Lee ve Hanyang Üniversitesi'nden You Chan Lee

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: