macOS High Sierra 10.13.4, Güvenlik Güncellemesi 2018-002 Sierra ve Güvenlik Güncellemesi 2018-002 El Capitan'ın güvenlik içeriği hakkında
Bu belgede macOS High Sierra 10.13.4, Güvenlik Güncellemesi 2018-002 Sierra ve Güvenlik Güncellemesi 2018-002 El Capitan'ın güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarını kullanarak şifreleyebilirsiniz.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
macOS High Sierra 10.13.4, Güvenlik Güncellemesi 2018-002 Sierra ve Güvenlik Güncellemesi 2018-002 El Capitan
Yönetici Çerçevesi
İlgili sürüm: macOS High Sierra 10.13.3
Etki: sysadminctl aracına girilen parolalar diğer yerel kullanıcılara gösterilebilir
Açıklama: Parolaların, sysadminctl komut satırı aracına bağımsız değişkenlerin içinde geçirilmesi gerekiyordu. Bu da parolaların diğer yerel kullanıcılara gösterilmesi riskini taşıyordu. Bu güncellemeyle birlikte parola parametresi isteğe bağlı hale getirildi; sysadminctl yalnızca gerekli olduğunda parola isteyecek.
CVE-2018-4170: anonim bir araştırmacı
APFS
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Bir APFS disk bölümü parolasının bir kısmı beklenmedik şekilde kesilebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir ekleme sorunu giderildi.
CVE-2018-4105: David J Beitey (@davidjb_), Geoffrey Bugniot
ATS
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi kullanıcı bilgilerini açığa çıkarabilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2018-4112: Mozilla'dan Haik Aftandilian
CFNetwork Oturumu
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2018-4166: Samuel Groß (@5aelo)
CoreFoundation
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2018-4155: Samuel Groß (@5aelo)
CVE-2018-4158: Samuel Groß (@5aelo)
CoreText
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi servis reddine yol açabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.
CVE-2018-4142: Google Switzerland GmbH şirketinden Robin Leroy
CoreTypes
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Etki: Kötü amaçlarla oluşturulmuş bir web sayfasının işlenmesi bir disk görüntüsünün bağlanmasına neden olabilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2017-13890: Apple, Syndis'ten Theodor Ragnar Gislason
curl
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Etki: curl'de birden fazla sorun
Açıklama: curl'de bir tam sayı taşması vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-2017-8816: Alex Nichols
Disk Görüntüleri
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Kötü amaçlarla oluşturulmuş bir disk görüntüsünün bağlanması bir uygulamanın başlatılmasına neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2018-4176: Syndis'ten Theodor Ragnar Gislason
Disk Yönetimi
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Bir APFS disk bölümü parolasının bir kısmı beklenmedik şekilde kesilebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir ekleme sorunu giderildi.
CVE-2018-4108: anonim bir araştırmacı, ShiftLeft Inc. şirketinden Kamatham Chaitanya
EFI
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Wi-Fi kapsama alanındaki bir saldırgan, WPA istemcilerinde yeniden nonce kullanımını zorlayabilir (Anahtar Yeniden Yükleme Saldırıları - KRACK)
Açıklama: Durum geçişlerinin işlenmesinde bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2017-13080: KU Leuven'deki imec-DistriNet grubundan Mathy Vanhoef
Dosya Sistemi Etkinlikleri
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2018-4167: Samuel Groß (@5aelo)
iCloud Drive
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2018-4151: Samuel Groß (@5aelo)
Intel Grafik Sürücüsü
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2018-4132: Qihoo 360 IceSword Lab'den Axis ve pjf
IOFireWireFamily
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2018-4135: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng
Çekirdek
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2018-4150: anonim bir araştırmacı
Çekirdek
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2018-4104: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)
Çekirdek
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2018-4143: derrek (@derrekr6)
Çekirdek
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2018-4136: lgtm.com ve Semmle'dan Jonas Jensen
Çekirdek
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2018-4160: lgtm.com ve Semmle'dan Jonas Jensen
Çekirdek
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir
Açıklama: Program durumu geçişinde bilgilerin açığa çıkması sorunu vardı. Durumun işlenmesi iyileştirilerek bu sorun giderildi.
CVE-2018-4185: Brandon Azad
kext araçları
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Bellek bozulmasına neden olan bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2018-4139: Google Project Zero'dan Ian Beer
LaunchServices
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Kötü amaçlarla oluşturulmuş bir uygulama, kod imzalama zorlamasını atlayabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2018-4175: Syndis'ten Theodor Ragnar Gislason
libxml2
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.3, OS X El Capitan 10.11.6
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi Safari'nin beklenmedik şekilde çökmesine yol açabilir
Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.
CVE-2017-15412: Nick Wellnhofer
LinkPresentation
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi kullanıcı arabirimi sahteciliğine (UI spoofing) neden olabilir
Açıklama: URL'lerin işlenmesinde adres sahteciliği sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2018-4187: Roman Mueller (@faker_), Tencent Güvenlik Platformu Departmanı'ndan Zhiyang Zeng (@Wester)
Yerel Kimlik Doğrulaması
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Yerel bir kullanıcı, gizli kullanıcı bilgilerini görüntüleyebilir
Açıklama: Akıllı kart PIN'lerin işlenmesinde bir sorun vardı. Ek mantıkla bu sorun giderildi.
CVE-2018-4179: David Fuhrmann
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, S/MIME şifreli e-postaların içeriklerini sızdırabilir
Açıklama: S/MIME HTML e-postalarının işlenmesinde bir sorun vardı. S/MIME imzası olmayan veya geçersiz olan S/MIME şifreli iletilerdeki uzak kaynakların saptanmış olarak yüklenmesine son verilerek bu sorun giderildi.
CVE-2018-4111: Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Damian Poddebniak, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Christian Dresen, Bochum Ruhr Üniversitesi'nden Jens Müller, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Fabian Ising, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Sebastian Schinzel, KU Leuven'den Simon Friedberger, Bochum Ruhr Üniversitesi'nden Juraj Somorovsky, Bochum Ruhr Üniversitesi'nden Jörg Schwenk
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, S/MIME şifreli e-postaların içeriklerini ele geçirebilir
Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.
CVE-2018-4174: Integrated Mapping Ltd şirketinden John McCombs, LoonSoft Inc. şirketinden McClain Looney
Notlar
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2018-4152: Samuel Groß (@5aelo)
Notlar
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2017-7151: Samuel Groß (@5aelo)
NSURLSession
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2018-4166: Samuel Groß (@5aelo)
NVIDIA Grafik Sürücüleri
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2018-4138: Qihoo 360 IceSword Lab'den Axis ve pjf
PDFKit
İlgili sürüm: macOS High Sierra 10.13.3
Etki: PDF'lerdeki bir URL'nin tıklanması kötü amaçlı bir web sitesinin ziyaret edilmesine neden olabilir
Açıklama: PDF'lerdeki URL'lerin ayrıştırılmasında bir sorun vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2018-4107: Innovia Technology'den Nick Safford
PluginKit
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2018-4156: Samuel Groß (@5aelo)
Göz At
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2018-4157: Samuel Groß (@5aelo)
Uzaktan Yönetim
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Uzak bir kullanıcı, kök ayrıcalıkları elde edebilir
Açıklama: Uzaktan Yönetim'de bir izin sorunu vardı. İzin doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2018-4298: SupCloud'dan Tim van der Werff
Güvenlik
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir
Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
SIP
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Ek sınırlamalar getirilerek bir konfigürasyon sorunu giderildi.
CVE-2017-13911: Twocanoes Software'den Timothy Perfitt
Durum Çubuğu
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Kötü amaçlı bir uygulama, kullanıcıya bildirilmeden mikrofona erişebilir
Açıklama: Mikrofon kullanımı göstergesinin ne zaman görüntüleneceğini belirleme konusunda bir tutarsızlık sorunu vardı. Özellik doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2018-4173: pingmd'den Joshua Pokotilow
Depolama Alanı
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.
CVE-2018-4154: Samuel Groß (@5aelo)
Sistem Tercihleri
İlgili sürüm: macOS High Sierra 10.13.3
Etki: Bir konfigürasyon profili, kaldırıldıktan sonra hatalı şekilde etkin kalabilir
Açıklama: CFPreferences'da bir sorun vardı. Tercih temizleme işlemi iyileştirilerek bu sorun giderildi.
CVE-2018-4115: Wandera'dan Johann Thalakada, Vladimir Zubkov ve Matt Vlasach
Terminal
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Kötü amaçlı içeriklerin yapıştırılması rastgele komut yürütmeye neden olabilir
Açıklama: Köşeli Ayraçlı Yapıştırma Modu'nun işlenmesinde bir komut ekleme sorunu vardı. Özel karakterleri doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2018-4106: Simon Hosie
WindowServer
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3
Etki: Ayrıcalığı olmayan bir uygulama, güvenli giriş modu etkinleştirilmiş olsa bile diğer uygulamalara girilen tuş vuruşlarını kaydedebilir
Açıklama: Ayrıcalığı olmayan bir uygulama, tuş durumlarını tarayarak, güvenli giriş modu etkinleştirilmiş olsa bile diğer uygulamalara girilen tuş vuruşlarını kaydedebiliyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2018-4131: folivora.AI GmbH şirketinden Andreas Hegenberg
Ek teşekkür listesi
Wire Swiss GmbH şirketinden Sabri Haddouche'a (@pwnsdx) yardımı için teşekkür ederiz.
Safari'de Oturum Açma Sırasında Otomatik Doldurma
Jun Kokatsu'ya (@shhnjk) yardımı için teşekkür ederiz.
Güvenlik
Abraham Masri'ye (@cheesecakeufo) yardımı için teşekkür ederiz.
Paylaşma Tercihleri Bölümü
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.