macOS High Sierra 10.13.3, Güvenlik Güncellemesi 2018-001 Sierra ve Güvenlik Güncellemesi 2018-001 El Capitan'ın güvenlik içeriği hakkında
Bu belgede macOS High Sierra 10.13.3, Güvenlik Güncellemesi 2018-001 Sierra ve Güvenlik Güncellemesi 2018-001 El Capitan'ın güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
macOS High Sierra 10.13.3, Güvenlik Güncellemesi 2018-001 Sierra ve Güvenlik Güncellemesi 2018-001 El Capitan
Ses
İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2018-4094: Yonsei Üniversitesi, Information Security Lab'den Mingi Cho, Seoyoung Kim, Young-Ho Lee, MinSik Shin ve Taekyoung Kwon
curl
İlgili sürüm: macOS High Sierra 10.13.2
Etki: curl'de birden fazla sorun
Açıklama: curl'de bir tam sayı taşması vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-2017-8816: Alex Nichols
curl
İlgili sürüm: macOS High Sierra 10.13.2
Etki: curl'de birden fazla sorun
Açıklama: curl'de sınırların dışında okuma sorunu vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.
CVE-2017-8817: OSS-Fuzz tarafından bulundu
EFI
İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Açıklama: Intel Yönetim Motoru Bellenimi 11.0/11.5/11.6/11.7/11.10/11.20 sürümlerinde çekirdekteki birden fazla önbellek taşması, sisteme yerel erişimi olan bir saldırganın rastgele kod yürütmesine izin veriyor.
CVE-2017-5705: Positive Technologies'den Mark Ermolov ve Maxim Goryachy
EFI
İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Açıklama: Intel Yönetim Motoru Bellenimi 11.0/11.5/11.6/11.7/11.10/11.20 sürümlerinde çekirdekteki birden fazla ayrıcalık yükseltmesi, yetkisiz bir işlemin belirtilmemiş vektör aracılığıyla ayrıcalıklı içeriğe erişmesine izin veriyor.
CVE-2017-5708: Positive Technologies'den Mark Ermolov ve Maxim Goryachy
IOHIDFamily
İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2018-4098: Siguza
Çekirdek
İlgili sürümler: macOS Sierra 10.12.6 ve OS X El Capitan 10.11.6
Etki: Bir uygulama, çekirdek belleğini okuyabilir (Meltdown)
Açıklama: Spekülatif yürütme ve dolaylı dal tahmini özelliklerini kullanan mikroişlemcilerle çalışan sistemler, veri önbelleğinin yan kanal analizi yoluyla bilgilerin yerel kullanıcı erişimi olan bir saldırgana yetkisiz olarak açıklanmasına izin verebilir.
CVE-2017-5754: Google Project Zero'dan Jann Horn; Graz Teknoloji Üniversitesi'nden Moritz Lipp; Graz Teknoloji Üniversitesi'nden Michael Schwarz; Graz Teknoloji Üniversitesi'nden Daniel Gruss; Cyberus Technology GmbH şirketinden Thomas Prescher; Cyberus Technology GmbH şirketinden Werner Haas; Graz Teknoloji Üniversitesi'nden Stefan Mangard; Paul Kocher; Pennsylvania Üniversitesi ve Maryland Üniversitesi'nden Daniel Genkin; Adelaide Üniversitesi ve Data61'dan Yuval Yarom; Rambus'tan (Şifreleme Araştırmaları Bölümü) Mike Hamburg
Çekirdek
İlgili sürüm: macOS High Sierra 10.13.2
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2018-4090: Google Project Zero'dan Jann Horn
Çekirdek
İlgili sürüm: macOS High Sierra 10.13.2
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.
CVE-2018-4092: Antid0te UG şirketinden Stefan Esser
Çekirdek
İlgili sürüm: macOS High Sierra 10.13.2
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2018-4082: Google'dan Russ Cox
Çekirdek
İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2018-4097: Resecurity, Inc.
Çekirdek
İlgili sürüm: macOS High Sierra 10.13.2
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2018-4093: Google Project Zero'dan Jann Horn
Çekirdek
İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.2
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2018-4189: anonim bir araştırmacı
Çekirdek
İlgili sürüm: macOS High Sierra 10.13.2
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2018-4169: anonim bir araştırmacı
LinkPresentation
İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi uygulamada servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir kaynak tükenmesi sorunu giderildi.
CVE-2018-4100: Abraham Masri @cheesecakeufo
QuartzCore
İlgili sürümler: OS X El Capitan 10.11.6, macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Web içeriğinin işlenmesinde bir bellek bozulması sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2018-4085: Ret2 Systems Inc. (Trend Micro'nun Zero Day Initiative programıyla)
Uzaktan Yönetim
İlgili sürüm: macOS Sierra 10.12.6
Etki: Uzak bir kullanıcı, kök ayrıcalıkları elde edebilir
Açıklama: Uzaktan Yönetim'de bir izin sorunu vardı. İzin doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2018-4298: SupCloud'dan Tim van der Werff
Korumalı Alan (Sandbox)
İlgili sürüm: macOS High Sierra 10.13.2
Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir
Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.
CVE-2018-4091: Mozilla'dan Alex Gaynor
Güvenlik
İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Etki: Bir sertifika, ad kısıtlamalarının yanlış uygulanmasına neden olabilir
Açıklama: Ad kısıtlamalarının işlenmesinde bir sertifika değerlendirme sorunu vardı. Sertifikalar için güven değerlendirme işlemi iyileştirilerek bu sorun giderildi.
CVE-2018-4086: Netflix'ten Ian Haken
Güvenlik
İlgili sürüm: macOS High Sierra 10.13.2
Etki: Bir saldırgan, yönetici parolası girmeden yönetici kimlik doğrulamasını atlayabilir
Açıklama: Kimlik bilgilerinin doğrulanmasında bir mantık hatası vardı. Kimlik bilgisi doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2017-13889: James Barnes, Automation Engineering'den Glenn G. Bruckno, P.E., Computer Engineering Politecnico di Milano'dan Kevin Manca, New Brunswick Üniversitesi'nden Rene Malenfant
Touch Bar Desteği
İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2018-4083: Google Project Zero'dan Ian Beer
WebKit
İlgili sürüm: macOS High Sierra 10.13.2
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2018-4088: Theori'den Jeonghoon Shin
CVE-2018-4089: Google Project Zero'dan Ivan Fratric
CVE-2018-4096: OSS-Fuzz tarafından bulundu
WebKit
İlgili sürüm: macOS High Sierra 10.13.2
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2018-4147: OSS-Fuzz tarafından bulundu
WebKit Sayfa Yüklemesi
İlgili sürüm: macOS High Sierra 10.13.2
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2017-7830: Jun Kokatsu (@shhnjk)
Wi-Fi
İlgili sürümler: macOS High Sierra 10.13.2, macOS Sierra 10.12.6, OS X El Capitan 10.11.6
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2018-4084: Minionz'dan Hyung Sup Lee ve Hanyang Üniversitesi'nden You Chan Lee
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.