macOS High Sierra 10.13.5, Güvenlik Güncellemesi 2018-003 Sierra, Güvenlik Güncellemesi 2018-003 El Capitan'ın güvenlik içeriği hakkında

Bu belgede macOS High Sierra 10.13.5, Güvenlik Güncellemesi 2018-003 Sierra, Güvenlik Güncellemesi 2018-003 El Capitan'ın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

macOS High Sierra 10.13.5, Güvenlik Güncellemesi 2018-003 Sierra, Güvenlik Güncellemesi 2018-003 El Capitan

Yayınlanma tarihi: 1 Haziran 2018

Erişilebilirlik Çerçevesi

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Erişilebilirlik Çerçevesi'nde bilgilerin açığa çıkması sorunu vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.

CVE-2018-4196: MWR Labs'den Alex Plaskett, Georgi Geshev ve Fabian Beterke (Trend Micro'nun Zero Day Initiative programıyla) ve Trend Micro Zero Day Initiative programından WanderingGlitch

Giriş güncellenme tarihi: 19 Temmuz 2018

AMD

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Yerel bir kullanıcı çekirdek belleğini okuyabilir

Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4253: Qihoo 360 Nirvan Team'den shrek_wzw

AMD

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Yerel bir kullanıcı çekirdek belleğini okuyabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2018-4256: Qihoo 360 Nirvan Team'den shrek_wzw

Giriş eklenme tarihi: 19 Temmuz 2018

AMD

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Yerel bir kullanıcı çekirdek belleğini okuyabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2018-4255: anonim bir araştırmacı

Giriş eklenme tarihi: 18 Ekim 2018

AMD

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Çekirdekte bir giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4254: anonim bir araştırmacı

Giriş eklenme tarihi: 18 Ekim 2018

AppleGraphicsControl

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır kontrolü iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2018-4258: Qihoo 360 Nirvan Team'den shrek_wzw

Giriş eklenme tarihi: 18 Ekim 2018

AppleGraphicsPowerManagement

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Boyut doğrulama işlemi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2018-4257: Qihoo 360 Nirvan Team'den shrek_wzw

Giriş eklenme tarihi: 18 Ekim 2018

apache_mod_php

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Bu güncellemede PHP'deki sorunlar giderildi

Açıklama: PHP 7.1.16 sürümüne güncelleme yapılarak bu sorun giderildi.

CVE-2018-7584: Nanyang Teknoloji Üniversitesi'nden Wei Lei ve Liu Yang

ATS

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2018-4219: Mohamed Ghannam (@_simo36)

Bluetooth

İlgili ürünler: MacBook Pro (Retina, 15 inç, 2015 Ortası), MacBook Pro (Retina, 15 inç, 2015), MacBook Pro (Retina, 13 inç, 2015 Başı), MacBook Pro (15 inç, 2017), MacBook Pro (15 inç, 2016), MacBook Pro (13 inç, 2016 Sonu, İki Thunderbolt 3 Bağlantı Noktası), MacBook Pro (13 inç, 2016 Sonu, Dört Thunderbolt 3 Bağlantı Noktası), MacBook Pro (13 inç, 2017, Dört Thunderbolt 3 Bağlantı Noktası), MacBook (Retina, 12 inç, 2016 Başı), MacBook (Retina, 12 inç, 2015 Başı), MacBook (Retina, 12 inç, 2017), iMac Pro, iMac (Retina 5K, 27 inç, 2015 Sonu), iMac (Retina 5K, 27 inç, 2017), iMac (Retina 4K, 21,5 inç, 2015 Sonu), iMac (Retina 4K, 21,5 inç, 2017), iMac (21,5 inç, 2015 Sonu) ve iMac (21,5 inç, 2017)

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, Bluetooth trafiğini ele geçirebilir

Açıklama: Bluetooth'ta bir giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-5383: Lior Neumann ve Eli Biham

Giriş eklenme tarihi: 23 Temmuz 2018

Bluetooth

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir.

Açıklama: Aygıt özelliklerinde bilgilerin açığa çıkması sorunu vardı. Nesne yönetimi iyileştirilerek bu sorun giderildi.

CVE-2018-4171: Qihoo 360 Nirvan Team'den shrek_wzw

CoreGraphics

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2018-4194: Tencent KeenLab'den Jihui Lu, Ant-financial Light-Year Security Lab'den Yu Zhou

Giriş eklenme tarihi: 21 Haziran 2018

CUPS

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Yerel bir işlem, yetki denetimleri olmadan başka işlemleri değiştirebilir

Açıklama: CUPS'te bir sorun vardı. Erişim sınırlamaları iyileştirilerek bu sorun giderildi.

CVE-2018-4180: Gotham Digital Science'tan Dan Bastone

Giriş eklenme tarihi: 11 Temmuz 2018

CUPS

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Yerel bir kullanıcı, rastgele dosyaları kök olarak okuyabilir

Açıklama: CUPS'te bir sorun vardı. Erişim sınırlamaları iyileştirilerek bu sorun giderildi.

CVE-2018-4181: Gotham Digital Science'tan Eric Rafaloff ve John Dunlap

Giriş eklenme tarihi: 11 Temmuz 2018

CUPS

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: CUPS'e yönelik ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2018-4182: Gotham Digital Science'tan Dan Bastone

Giriş eklenme tarihi: 11 Temmuz 2018

CUPS

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2018-4183: Gotham Digital Science'tan Dan Bastone and Eric Rafaloff

Giriş eklenme tarihi: 11 Temmuz 2018

Firmware

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Kök ayrıcalıklarına sahip kötü amaçlı bir uygulama, EFI flaş belleği bölgesini değiştirebilir

Açıklama: Konfigürasyon güncellenerek aygıt konfigürasyonuyla ilgili bir sorun giderildi.

CVE-2018-4251: Maxim Goryachy ve Mark Ermolov

FontParser

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Etki: Kötü amaçlarla oluşturulmuş bir font dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4211: Qihoo 360 Nirvan Team'den Proteas

Grand Central Dispatch

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Yetki plist'lerinin ayrıştırılmasında bir sorun vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4229: Hamburg Üniversitesi, Security in Distributed Systems Group'tan Jakob Rieck (@0xdead10cc)

Grafik Sürücüleri

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4159: Qihoo 360 IceSword Lab'den Axis ve pjf

Hypervisor

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bir bellek bozulması güvenlik açığı giderildi.

CVE-2018-4242: Qihoo 360 Nirvan Team'den Zhuo Liang

iBooks

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, iBooks'ta sahte parola istemleri gönderebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2018-4202: Jerry Decime

Intel Grafik Sürücüsü

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4141: anonim bir araştırmacı, Qihoo 360 Vulcan Team'den Zhao Qixun (@S0rryMybad)

IOFireWireAVC

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2018-4228: Mentor Graphics'ten Benjamin Gnahm (@mitp0sh)

IOGraphics

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2018-4236: Qihoo 360 Vulcan Team'den Zhao Qixun (@S0rryMybad)

IOHIDFamily

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2018-4234: Qihoo 360 Nirvan Team'den Proteas

Çekirdek

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Etki: Ayrıcalıklı konumdaki bir saldırgan, servis reddi saldırısı gerçekleştirebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2018-4249: Semmle Ltd. şirketinden Kevin Backhouse

Çekirdek

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Bazı durumlarda belirli işletim sistemleri, birtakım yönergelerin ardından Intel mimarisiyle ilgili hata ayıklama istisnalarının oluşmasını beklemeyebilir veya bunları uygun şekilde işlemeyebilir. Sorunun, yönergelerin açıklanmamış bir yan etkisinden kaynaklandığı düşünülmektedir. Bir saldırgan bu istisna işlemesini kullanarak Ring 0 ve gizli belleğe erişim elde edebilir veya işletim sistemi işlemlerini denetleyebilir.

CVE-2018-8897: Andy Lutomirski, Everdox Tech LLC şirketinden Nick Peterson(linkedin.com/in/everdox)

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınır kontrolü iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2018-4241: Google Project Zero'dan Ian Beer

CVE-2018-4243: Google Project Zero'dan Ian Beer

libxpc

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2018-4237: Samuel Groß (@5aelo) (Trend Micro'nun Zero Day Initiative programıyla)

Mail

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Bir saldırgan, S/MIME şifreli e-postaların içeriğini sızdırabilir

Açıklama: Şifreli Mail e-postalarının işlenmesinde bir sorun vardı. Mail uygulamasında MIME sorunlarını belirleme işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4227: Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Damian Poddebniak, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Christian Dresen, Bochum Ruhr Üniversitesi'nden Jens Müller, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Fabian Ising, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Sebastian Schinzel, KU Leuven'den Simon Friedberger, Bochum Ruhr Üniversitesi'nden Juraj Somorovsky, Bochum Ruhr Üniversitesi'nden Jörg Schwenk

Mesajlar

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Yerel bir kullanıcı kimliğe bürünme saldırıları gerçekleştirebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir ekleme sorunu giderildi.

CVE-2018-4235: Salesforce.com'dan Anurodh Pokharel

Mesajlar

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Kötü amaçlarla oluşturulmuş bir mesajın işlenmesi servis reddine yol açabilir

Açıklama: Mesaj doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4240: Primefort Pvt. Ltd şirketinden Sriram (@Sri_Hxor)

NVIDIA Grafik Sürücüleri

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bir yarış durumu giderildi.

CVE-2018-4230: Google Project Zero'dan Ian Beer

Güvenlik

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Kullanıcılar, istemci sertifikalarını kullanan kötü amaçlı web siteleri tarafından izlenebilir

Açıklama: S-MIME sertifikalarının işlenmesinde bir sorun vardı. S-MIME sertifikalarını doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4221: Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Damian Poddebniak, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Christian Dresen, Bochum Ruhr Üniversitesi'nden Jens Müller, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Fabian Ising, Münster Üniversitesi Uygulamalı Bilimler Fakültesi'nden Sebastian Schinzel, KU Leuven'den Simon Friedberger, Bochum Ruhr Üniversitesi'nden Juraj Somorovsky, Bochum Ruhr Üniversitesi'nden Jörg Schwenk

Güvenlik

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Yerel bir kullanıcı kalıcı bir hesap tanımlayıcıyı okuyabilir

Açıklama: Durum yönetimi iyileştirilerek bir yetkilendirme sorunu giderildi.

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

Güvenlik

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Yerel bir kullanıcı kalıcı bir aygıt tanımlayıcıyı okuyabilir

Açıklama: Durum yönetimi iyileştirilerek bir yetkilendirme sorunu giderildi.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Güvenlik

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Yerel bir kullanıcı, Anahtar Zinciri'nin durumunu değiştirebilir

Açıklama: Durum yönetimi iyileştirilerek bir yetkilendirme sorunu giderildi.

CVE-2018-4225: Abraham Masri (@cheesecakeufo)

Güvenlik

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Yerel bir kullanıcı hassas kullanıcı bilgilerini görüntüleyebilir

Açıklama: Durum yönetimi iyileştirilerek bir yetkilendirme sorunu giderildi.

CVE-2018-4226: Abraham Masri (@cheesecakeufo)

Konuşma

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Mikrofon erişiminin işlenmesinde korumalı alan sorunu vardı. Mikrofon erişiminin işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2018-4184: Hamburg Üniversitesi, Security in Distributed Systems Group'tan Jakob Rieck (@0xdead10cc)

UIKit

İlgili sürüm: macOS High Sierra 10.13.4

Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi servis reddine yol açabilir

Açıklama: Metinlerin işlenmesinde bir doğrulama sorunu vardı. Metin doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-4198: Hunter Byrnes

Windows Server

İlgili sürümler: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2018-4193: Ret2 Systems, Inc şirketinden Markus Gaasedelen, Nick Burnett ve Patrick Biernat (Trend Micro'nun Zero Day Initiative programıyla), Richard Zhu (fluorescence) (Trend Micro'nun Zero Day Initiative programıyla)

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: