macOS Mojave 10.14'ün güvenlik içeriği hakkında

Bu belgede macOS Mojave 10.14'ün güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarı'nı kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

macOS Mojave 10.14

Yayın tarihi: 24 Eylül 2018 Pazartesi

Bluetooth

İlgili modeller: iMac (21,5 inç, 2012 Sonu), iMac (27 inç, 2012 Sonu), iMac (21,5 inç, 2013 Sonu), iMac (21,5 inç, 2014 Ortası), iMac (Retina 5K, 27 inç, 2014 Sonu), iMac (21,5 inç, 2015 Sonu), Mac mini (2011 Ortası), Mac mini Server (2011 Ortası), Mac mini (2012 Sonu), Mac mini Server (2012 Sonu), Mac mini (2014 Sonu), Mac Pro (2013 Sonu), MacBook Air (11 inç, 2011 Ortası), MacBook Air (13 inç, 2011 Ortası), MacBook Air (11 inç, 2012 Ortası), MacBook Air (13 inç, 2012 Ortası), MacBook Air (11 inç, 2013 Ortası), MacBook Air (13 inç, 2013 Ortası), MacBook Air (11 inç, 2015 Başı), MacBook Air (13 inç, 2015 Başı), MacBook Pro (13 inç, 2012 Ortası), MacBook Pro (15 inç, 2012 Ortası), MacBook Pro (Retina, 13 inç, 2013 Başı), MacBook Pro (Retina, 15 inç, 2013 Başı), MacBook Pro (Retina, 13 inç, 2013 Sonu) ve MacBook Pro (Retina, 15 inç, 2013 Sonu)

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, Bluetooth trafiğini ele geçirebilir

Açıklama: Bluetooth'ta bir giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-5383: Lior Neumann ve Eli Biham

 

Aşağıdaki güncellemeler şu Mac modelleri için kullanılabilir: MacBook (2015 Başı ve sonraki modeller), MacBook Air (2012 Ortası ve sonraki modeller), MacBook Pro (2012 Ortası ve sonraki modeller), Mac mini (2012 Sonu ve sonraki modeller), iMac (2012 Sonu ve sonraki modeller), iMac Pro (tüm modeller), Mac Pro (2013 Sonu, 2010 Ortası ve MSI Gaming Radeon RX 560 ile Sapphire Radeon PULSE RX 580 dahil, önerilen Metal özellik grafik işlemciye sahip 2012 Ortası modelleri)

afpserver

Etki: Uzaktaki bir saldırgan HTTP istemcileri üzerinden AFP sunucularına saldırabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2018-4295: Tsinghua Üniversitesi ve UC Berkeley'den Jianjun Chen (@whucjj)

Giriş eklenme tarihi: 30 Ekim 2018

App Store

Etki: Kötü amaçlı bir uygulama, bilgisayar sahibinin Apple Kimliğini belirleyebilir

Açıklama: Apple Kimliğinin işlenmesiyle ilgili bir izin sorunu vardı. Erişim denetimleri iyileştirilerek bu sorun giderildi.

CVE-2018-4324: MacPaw Inc. şirketinden Sergii Kryvoblotskyi

AppleGraphicsControl

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4417: Yonsei Üniversitesi, Information Security Lab'den Lee (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 30 Ekim 2018

Uygulama Güvenlik Duvarı

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Ek sınırlamalar getirilerek bir konfigürasyon sorunu giderildi.

CVE-2018-4353: LinkedIn Inc. şirketinden Abhinav Bansal

Giriş güncellenme tarihi: 30 Ekim 2018

NİS

Etki: Perl'de birden fazla arabellek taşması sorunu vardı

Açıklama: Belleğin işlenmesi iyileştirilerek Perl'deki birden fazla sorun giderildi.

CVE-2017-12613: Tripwire VERT'ten Craig Young

CVE-2017-12618: Tripwire VERT'ten Craig Young

Giriş eklenme tarihi: 30 Ekim 2018

ATS

Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4411: Trend Micro'dan lilang wu moony Li (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 30 Ekim 2018

ATS

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Giriş eklenme tarihi: 30 Ekim 2018

Otomatik Kilit Açma

Etki: Kötü amaçlı bir uygulama, yerel kullanıcıların Apple Kimliklerine erişebilir

Açıklama: Yetki doğrulamasında bir doğrulama sorunu vardı. İşlem yetkisi doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2018-4321: Alibaba Inc. şirketinden Min (Spark) Zheng ve Xiaolong Bai

CFNetwork

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2018-4126: Bruno Keith (@bkth_) (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 30 Ekim 2018

CoreFoundation

Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4412: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Giriş eklenme tarihi: 30 Ekim 2018

CoreFoundation

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4414: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Giriş eklenme tarihi: 30 Ekim 2018

CoreText

Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2018-4347: anonim bir araştırmacı

Giriş eklenme tarihi: 30 Ekim 2018

Çökme Raporlayıcı

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4333: Brandon Azad

CUPS

Etki: Belirli konfigürasyonlarda uzaktaki bir saldırgan, yazıcı sunucusuna ait mesaj içeriğini rastgele içerikle değiştirebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir ekleme sorunu giderildi.

CVE-2018-4153: hansmi.ch'den Michael Hanselmann

Giriş eklenme tarihi: 30 Ekim 2018

CUPS

Etki: Ayrıcalıklı konumdaki bir saldırgan, servis reddi saldırısı gerçekleştirebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2018-4406: hansmi.ch'den Michael Hanselmann

Giriş eklenme tarihi: 30 Ekim 2018

Sözlük

Etki: Kötü amaçlarla oluşturulmuş bir sözlük dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Yerel dosya erişimine izin veren bir doğrulama sorunu vardı. Giriş temizleme işlemi ile bu sorun giderildi.

CVE-2018-4346: SecuRing'den Wojciech Reguła (@_r3ggi)

Giriş eklenme tarihi: 30 Ekim 2018

Grand Central Dispatch

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2018-4426: Brandon Azad

Giriş eklenme tarihi: 30 Ekim 2018

Heimdal

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Giriş eklenme tarihi: 30 Ekim 2018

Hypervisor

Etki: Spekülatif yürütme ve adres çevirileri özelliklerini kullanan mikro işlemcilerle çalışan sistemler, L1 veri önbelleğinde bulunan bilgilerin, bir terminal sayfası hatası ve yan kanal analizi yoluyla bilgilerin, misafir işletim sistemi öncelikli yerel kullanıcı erişimi olan bir saldırgana yetkisiz olarak açıklanmasına izin verebilir

Açıklama: Sanal makine girişinde L1 veri önbelleği yenilenerek, bilgilerin açığa çıkması sorunu giderildi.

CVE-2018-3646: Michigan Üniversitesi'nden Barış Kaşıkçı, Daniel Genkin, Ofir Weisse ve Thomas F. Wenisch, Technion'dan Mark Silberstein ve Marina Minkin, KU Leuven'den Raoul Strackx, Jo Van Bulck ve Frank Piessens, Intel Corporation'dan Rodrigo Branco, Henrique Kawakami, Ke Sun ve Kekai Hu, Adelaide Üniversitesi'nden Yuval Yarom

Giriş eklenme tarihi: 30 Ekim 2018

iBooks

Etki: Kötü amaçlarla oluşturulmuş bir iBooks dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Ek sınırlamalar getirilerek bir konfigürasyon sorunu giderildi.

CVE-2018-4355: bilibili güvenlik ekibinden evi1m0

Giriş eklenme tarihi: 30 Ekim 2018

Intel Grafik Sürücüsü

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4396: Didi Research America'dan Yu Wang

CVE-2018-4418: Didi Research America'dan Yu Wang

Giriş eklenme tarihi: 30 Ekim 2018

Intel Grafik Sürücüsü

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek başlatma sorunu giderildi.

CVE-2018-4351: Appology Team @ Theori (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 30 Ekim 2018

Intel Grafik Sürücüsü

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4350: Didi Research America'dan Yu Wang

Giriş eklenme tarihi: 30 Ekim 2018

Intel Grafik Sürücüsü

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2018-4334: Google Project Zero'dan Ian Beer

Giriş eklenme tarihi: 30 Ekim 2018

IOHIDFamily

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi

CVE-2018-4408: Google Project Zero'dan Ian Beer

Giriş eklenme tarihi: 30 Ekim 2018

IOKit

Etki: Kötü amaçlı bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4341: Google Project Zero'dan Ian Beer

CVE-2018-4354: Google Project Zero'dan Ian Beer

Giriş eklenme tarihi: 30 Ekim 2018

IOKit

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4383: Apple

Giriş eklenme tarihi: 30 Ekim 2018

IOUserEthernet

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2018-4401: Apple

Giriş eklenme tarihi: 30 Ekim 2018

Çekirdek

Etki: Kötü amaçlı bir uygulama, gizli kullanıcı bilgilerini sızdırabilir

Açıklama: Ayrıcalıklı API çağrılarında bir erişim sorunu vardı. Ek sınırlamalarla bu sorun giderildi.

CVE-2018-4399: Fabiano Anemone (@anoane)

Giriş eklenme tarihi: 30 Ekim 2018

Çekirdek

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan rastgele kod yürütebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4407: Semmle Ltd. şirketinden Kevin Backhouse

Giriş eklenme tarihi: 30 Ekim 2018

Çekirdek

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Google Project Zero'dan Ian Beer

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

CVE-2018-4425: cc (Trend Micro'nun Zero Day Initiative programıyla), Trend Micro'dan Juwei Lin (@panicaII) (Trend Micro'nun Zero Day Initiative programıyla)

Giriş güncellenme tarihi: 30 Ekim 2018

LibreSSL

Etki: Bu güncellemeyle birlikte libressl'deki birden fazla sorun giderildi

Açıklama: libressl 2.6.4 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2015-3194

CVE-2015-5333

CVE-2015-5334

CVE-2016-702

Giriş eklenme tarihi: 30 Ekim 2018

Oturum Açma Penceresi

Etki: Yerel bir kullanıcı servis reddine neden olabilir

Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4348: MWR InfoSecurity'den Ken Gannon ve MWR InfoSecurity'den Christian Demko

Giriş eklenme tarihi: 30 Ekim 2018

mDNSOffloadUserClient

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2018-4326: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla), Qihoo 360 Nirvan Team'den Zhuo Liang

Giriş eklenme tarihi: 30 Ekim 2018

MediaRemote

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2018-4310: Ant-Financial LightYear Labs'ten CodeColorist

Giriş eklenme tarihi: 30 Ekim 2018

Mikrokod

Etki: Tüm önceki bellek yazma işlemlerinin adresleri bilinmeden önce spekülatif yürütme özelliklerini ve bellek okuma işlemlerinin spekülatif yürütme özelliklerini kullanan mikro işlemcilerle çalışan sistemler, yan kanal analizi yoluyla bilgilerin yerel kullanıcı erişimi olan bir saldırgana yetkisiz olarak açıklanmasına izin verebilir

Açıklama: Mikrokod güncellenerek, bilgilerin açığa çıkması sorunu giderildi. Bu, en son üzerine yazılan adreslerden daha eski veri okuma işleminin, spekülatif bir yan kanal yoluyla gerçekleştirilememesini sağlar.

CVE-2018-3639: Google Project Zero'dan (GPZ) Jann Horn (@tehjh), Microsoft Security Response Center'dan (MSRC) Ken Johnson

Giriş eklenme tarihi: 30 Ekim 2018

Güvenlik

Etki: Yerel bir kullanıcı servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4395: Digita Security'den Patrick Wardle

Giriş eklenme tarihi: 30 Ekim 2018

Güvenlik

Etki: Bir saldırgan, RC4 şifreleme algoritmasındaki açıktan yararlanabilir

Açıklama: RC4 kaldırılarak bu sorun giderildi.

CVE-2016-1777: Pepi Zawodsky

Spotlight

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bellek bozulması sorunu giderildi.

CVE-2018-4393: Lufeng Li

Giriş eklenme tarihi: 30 Ekim 2018

Bulgu Çerçevesi

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2018-4203: Bruno Keith (@bkth_) (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 30 Ekim 2018

Metin

Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi servis reddine yol açabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2018-4304: jianan.huang (@Sevck)

Giriş eklenme tarihi: 30 Ekim 2018

Wi-Fi

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4338: SECLAB'den Lee ve Yonsei Üniversitesi (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 23 Ekim 2018

Ek teşekkür listesi

Erişilebilirlik Çerçevesi

Ryan Govostes'e yardımı için teşekkür ederiz.

Temel Veriler

NESO Security Labs GmbH şirketinden Andreas Kurtz'a (@aykay) yardımı için teşekkür ederiz.

CoreGraphics

Roblox Corporation şirketinden Nitin Arya'ya yardımı için teşekkür ederiz.

Mail

Rocket Internet SE şirketinden Alessandro Avagliano'ya, The New York Times gazetesinden John Whitehead'e, Omicron Software Systems şirketinden Kelvin Delbarre'ye ve Zbyszek Żółkiewski'ye yardımları için teşekkür ederiz.

Güvenlik

Christoph Sinai'ye, The Irish Times gazetesinden Daniel Dudek'e (@dannysapples), ADAPT Centre şirketinden Filip Klubička'ya (@lemoncloak), Dublin Teknoloji Enstitüsü'ne, Shapr3D şirketinden Istvan Csanady'ye, ITG Software, Inc. şirketinden Omar Barkawi'ye, Phil Caleno'ya, Wilson Ding'e ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

SQLite

NESO Security Labs GmbH şirketinden Andreas Kurtz'a (@aykay) yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: