macOS High Sierra 10.13.4, Güvenlik Güncellemesi 2018-002 Sierra ve Güvenlik Güncellemesi 2018-002 El Capitan'ın güvenlik içeriği hakkında

Bu belgede macOS High Sierra 10.13.4, Güvenlik Güncellemesi 2018-002 Sierra ve Güvenlik Güncellemesi 2018-002 El Capitan'ın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarını kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

macOS High Sierra 10.13.4, Güvenlik Güncellemesi 2018-002 Sierra ve Güvenlik Güncellemesi 2018-002 El Capitan

Yayınlanma tarihi: 29 Mart 2018

Yönetici Çerçevesi

İlgili sürüm: macOS High Sierra 10.13.3

Etki: sysadminctl aracına girilen parolalar diğer yerel kullanıcılara gösterilebilir

Açıklama: Parolaların, sysadminctl komut satırı aracına bağımsız değişkenlerin içinde geçirilmesi gerekiyordu. Bu da parolaların diğer yerel kullanıcılara gösterilmesi riskini taşıyordu. Bu güncellemeyle birlikte parola parametresi isteğe bağlı hale getirildi; sysadminctl yalnızca gerekli olduğunda parola isteyecek.

CVE-2018-4170: anonim bir araştırmacı

APFS

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Bir APFS disk bölümü parolasının bir kısmı beklenmedik şekilde kesilebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir ekleme sorunu giderildi.

CVE-2018-4105: David J Beitey (@davidjb_), Geoffrey Bugniot

ATS

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Kötü amaçlarla oluşturulmuş bir dosyanın işlenmesi kullanıcı bilgilerini açığa çıkarabilir

Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2018-4112: Mozilla'dan Haik Aftandilian

CFNetwork Oturumu

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4166: Samuel Groß (@5aelo)

CoreFoundation

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi servis reddine yol açabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2018-4142: Google Switzerland GmbH şirketinden Robin Leroy

Giriş güncellenme tarihi: 3 Nisan 2019

CoreTypes

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Etki: Kötü amaçlarla oluşturulmuş bir web sayfasının işlenmesi bir disk görüntüsünün bağlanmasına neden olabilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2017-13890: Apple, Syndis'ten Theodor Ragnar Gislason

curl

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Etki: curl'de birden fazla sorun

Açıklama: curl'de bir tam sayı taşması vardı. Sınır denetimi iyileştirilerek bu sorun giderildi.

CVE-2017-8816: Alex Nichols

Giriş güncellenme tarihi: 3 Nisan 2019

Disk Görüntüleri

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Kötü amaçlarla oluşturulmuş bir disk görüntüsünün bağlanması bir uygulamanın başlatılmasına neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2018-4176: Syndis'ten Theodor Ragnar Gislason

Disk Yönetimi

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Bir APFS disk bölümü parolasının bir kısmı beklenmedik şekilde kesilebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir ekleme sorunu giderildi.

CVE-2018-4108: anonim bir araştırmacı, ShiftLeft Inc. şirketinden Kamatham Chaitanya

EFI

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Wi-Fi kapsama alanındaki bir saldırgan, WPA istemcilerinde yeniden nonce kullanımını zorlayabilir (Anahtar Yeniden Yükleme Saldırıları - KRACK)

Açıklama: Durum geçişlerinin işlenmesinde bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2017-13080: KU Leuven'deki imec-DistriNet grubundan Mathy Vanhoef

Giriş eklenme tarihi: 18 Ekim 2018

Dosya Sistemi Etkinlikleri

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4167: Samuel Groß (@5aelo)

iCloud Drive

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4151: Samuel Groß (@5aelo)

Intel Grafik Sürücüsü

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4132: Qihoo 360 IceSword Lab'den Axis ve pjf

IOFireWireFamily

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4135: Alibaba Inc. şirketinden Xiaolong Bai ve Min (Spark) Zheng

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2018-4150: anonim bir araştırmacı

Çekirdek

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4104: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4143: derrek (@derrekr6)

Çekirdek

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2018-4136: lgtm.com ve Semmle'dan Jonas Jensen

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2018-4160: lgtm.com ve Semmle'dan Jonas Jensen

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir

Açıklama: Program durumu geçişinde bilgilerin açığa çıkması sorunu vardı. Durumun işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2018-4185: Brandon Azad

Giriş eklenme tarihi: 19 Temmuz 2018

kext araçları

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bellek bozulmasına neden olan bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2018-4139: Google Project Zero'dan Ian Beer

LaunchServices

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Kötü amaçlarla oluşturulmuş bir uygulama, kod imzalama zorlamasını atlayabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2018-4175: Syndis'ten Theodor Ragnar Gislason

libxml2

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.3, OS X El Capitan 10.11.6

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi Safari'nin beklenmedik şekilde çökmesine yol açabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2017-15412: Nick Wellnhofer

Giriş güncellenme tarihi: 18 Ekim 2018

LinkPresentation

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Kötü amaçlarla oluşturulmuş bir kısa mesajın işlenmesi kullanıcı arabirimi sahteciliğine (UI spoofing) neden olabilir

Açıklama: URL'lerin işlenmesinde adres sahteciliği sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4187: Roman Mueller (@faker_), Tencent Güvenlik Platformu Departmanı'ndan Zhiyang Zeng (@Wester)

Giriş eklenme tarihi: 3 Nisan 2019

Yerel Kimlik Doğrulaması

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Yerel bir kullanıcı, gizli kullanıcı bilgilerini görüntüleyebilir

Açıklama: Akıllı kart PIN'lerin işlenmesinde bir sorun vardı. Ek mantıkla bu sorun giderildi.

CVE-2018-4179: David Fuhrmann

Giriş eklenme tarihi: 13 Nisan 2018

Mail

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, S/MIME şifreli e-postaların içeriklerini sızdırabilir

Açıklama: S/MIME HTML e-postalarının işlenmesinde bir sorun vardı. S/MIME imzası olmayan veya geçersiz olan S/MIME şifreli iletilerdeki uzak kaynakların saptanmış olarak yüklenmesine son verilerek bu sorun giderildi.

CVE-2018-4111: Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Damian Poddebniak, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Christian Dresen, Bochum Ruhr Üniversitesi'nden Jens Müller, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Fabian Ising, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Sebastian Schinzel, KU Leuven'den Simon Friedberger, Bochum Ruhr Üniversitesi'nden Juraj Somorovsky, Bochum Ruhr Üniversitesi'nden Jörg Schwenk

Giriş güncellenme tarihi: 13 Nisan 2018

Mail

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, S/MIME şifreli e-postaların içeriklerini ele geçirebilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2018-4174: Integrated Mapping Ltd şirketinden John McCombs, LoonSoft Inc. şirketinden McClain Looney

Giriş güncellenme tarihi: 13 Nisan 2018

Notlar

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4152: Samuel Groß (@5aelo)

Notlar

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2017-7151: Samuel Groß (@5aelo)

Giriş eklenme tarihi: 18 Ekim 2018

NSURLSession

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4166: Samuel Groß (@5aelo)

NVIDIA Grafik Sürücüleri

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4138: Qihoo 360 IceSword Lab'den Axis ve pjf

PDFKit

İlgili sürüm: macOS High Sierra 10.13.3

Etki: PDF'lerdeki bir URL'nin tıklanması kötü amaçlı bir web sitesinin ziyaret edilmesine neden olabilir

Açıklama: PDF'lerdeki URL'lerin ayrıştırılmasında bir sorun vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4107: Innovia Technology'den Nick Safford

Giriş güncellenme tarihi: 9 Nisan 2018

PluginKit

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4156: Samuel Groß (@5aelo)

Göz At

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4157: Samuel Groß (@5aelo)

Uzaktan Yönetim

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Uzak bir kullanıcı, kök ayrıcalıkları elde edebilir

Açıklama: Uzaktan Yönetim'de bir izin sorunu vardı. İzin doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4298: SupCloud'dan Tim van der Werff

Giriş eklenme tarihi: 19 Temmuz 2018

Güvenlik

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

SIP

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Ek sınırlamalar getirilerek bir konfigürasyon sorunu giderildi.

CVE-2017-13911: Twocanoes Software'den Timothy Perfitt

Giriş eklenme tarihi: 8 Ağustos 2018, giriş güncellenme tarihi: 25 Eylül 2018

Durum Çubuğu

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Kötü amaçlı bir uygulama, kullanıcıya bildirilmeden mikrofona erişebilir

Açıklama: Mikrofon kullanımı göstergesinin ne zaman görüntüleneceğini belirleme konusunda bir tutarsızlık sorunu vardı. Özellik doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4173: pingmd'den Joshua Pokotilow

Giriş eklenme tarihi: 9 Nisan 2018

Depolama Alanı

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Ek doğrulama ile bir yarış durumu sorunu giderildi.

CVE-2018-4154: Samuel Groß (@5aelo)

Sistem Tercihleri

İlgili sürüm: macOS High Sierra 10.13.3

Etki: Bir konfigürasyon profili, kaldırıldıktan sonra hatalı şekilde etkin kalabilir

Açıklama: CFPreferences'da bir sorun vardı. Tercih temizleme işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4115: Wandera'dan Johann Thalakada, Vladimir Zubkov ve Matt Vlasach

Giriş güncellenme tarihi: 3 Nisan 2019

Terminal

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Kötü amaçlı içeriklerin yapıştırılması rastgele komut yürütmeye neden olabilir

Açıklama: Köşeli Ayraçlı Yapıştırma Modu'nun işlenmesinde bir komut ekleme sorunu vardı. Özel karakterleri doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4106: Simon Hosie

Giriş güncellenme tarihi: 15 Mayıs 2019

WindowServer

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.3

Etki: Ayrıcalığı olmayan bir uygulama, güvenli giriş modu etkinleştirilmiş olsa bile diğer uygulamalara girilen tuş vuruşlarını kaydedebilir

Açıklama: Ayrıcalığı olmayan bir uygulama, tuş durumlarını tarayarak, güvenli giriş modu etkinleştirilmiş olsa bile diğer uygulamalara girilen tuş vuruşlarını kaydedebiliyordu. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2018-4131: folivora.AI GmbH şirketinden Andreas Hegenberg

Giriş güncellenme tarihi: 3 Nisan 2019

Ek teşekkür listesi

Mail

Wire Swiss GmbH şirketinden Sabri Haddouche'a (@pwnsdx) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 21 Haziran 2018

Safari'de Oturum Açma Sırasında Otomatik Doldurma

Jun Kokatsu'ya (@shhnjk) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 3 Nisan 2019

Güvenlik

Abraham Masri'ye (@cheesecakeufo) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 13 Nisan 2018

Paylaşma Tercihleri Bölümü

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 3 Nisan 2019

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: