macOS Mojave 10.14'ün güvenlik içeriği hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın. Apple ile iletişimlerinizi Apple Ürün Güvenliği PGP Anahtarını kullanarak şifreleyebilirsiniz.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Yayın tarihi: 24 Eylül 2018

Bluetooth

İlgili modeller: iMac (21,5 inç, 2012 Sonu), iMac (27 inç, 2012 Sonu), iMac (21,5 inç, 2013 Sonu), iMac (21,5 inç, 2014 Ortası), iMac (Retina 5K, 27 inç, 2014 Sonu), iMac (21,5 inç, 2015 Sonu), Mac mini (2011 Ortası), Mac mini Server (2011 Ortası), Mac mini (2012 Sonu), Mac mini Server (2012 Sonu), Mac mini (2014 Sonu), Mac Pro (2013 Sonu), MacBook Air (11 inç, 2011 Ortası), MacBook Air (13 inç, 2011 Ortası), MacBook Air (11 inç, 2012 Ortası), MacBook Air (13 inç, 2012 Ortası), MacBook Air (11 inç, 2013 Ortası), MacBook Air (13 inç, 2013 Ortası), MacBook Air (11 inç, 2015 Başı), MacBook Air (13 inç, 2015 Başı), MacBook Pro (13 inç, 2012 Ortası), MacBook Pro (15 inç, 2012 Ortası), MacBook Pro (Retina, 13 inç, 2013 Başı), MacBook Pro (Retina, 15 inç, 2013 Başı), MacBook Pro (Retina, 13 inç, 2013 Sonu) ve MacBook Pro (Retina, 15 inç, 2013 Sonu)

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, Bluetooth trafiğini ele geçirebilir

Açıklama: Bluetooth'ta bir giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2018-5383: Lior Neumann ve Eli Biham

 

Aşağıdaki güncellemeler şu Mac modelleri için kullanılabilir: MacBook (2015 Başı ve sonraki modelleri), MacBook Air (2012 Ortası ve sonraki modelleri), MacBook Pro (2012 Ortası ve sonraki modelleri), Mac mini (2012 Sonu ve sonraki modelleri), iMac (2012 Sonu ve sonraki modelleri), iMac Pro (tüm modelleri), Mac Pro (2013 Sonu, 2010 Ortası ve MSI Gaming Radeon RX 560 ile Sapphire Radeon PULSE RX 580 dahil, önerilen Metal özellikli grafik işlemciye sahip 2012 Ortası modelleri)

afpserver

Etki: Uzaktaki bir saldırgan, HTTP istemcileri üzerinden AFP sunucularına saldırabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2018-4295: Tsinghua Üniversitesi ve UC Berkeley'den Jianjun Chen (@whucjj)

Giriş eklenme tarihi: 30 Ekim 2018

App Store

Etki: Kötü amaçlı bir uygulama, bilgisayar sahibinin Apple Kimliğini belirleyebilir

Açıklama: Apple Kimliğinin işlenmesiyle ilgili bir izin sorunu vardı. Erişim denetimleri iyileştirilerek bu sorun giderildi.

CVE-2018-4324: MacPaw Inc. şirketinden Sergii Kryvoblotskyi

AppleGraphicsControl

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4417: Yonsei Üniversitesi, Information Security Lab'den Lee (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 30 Ekim 2018

Uygulama Güvenlik Duvarı

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Ek sınırlamalar getirilerek bir konfigürasyon sorunu giderildi.

CVE-2018-4353: LinkedIn Inc. şirketinden Abhinav Bansal

Giriş güncellenme tarihi: 30 Ekim 2018

APR

Etki: Perl'de birden fazla arabellek taşması sorunu vardı

Açıklama: Belleğin işlenmesi iyileştirilerek Perl'deki birden fazla sorun giderildi.

CVE-2017-12613: Tripwire VERT'ten Craig Young

CVE-2017-12618: Tripwire VERT'ten Craig Young

Giriş eklenme tarihi: 30 Ekim 2018

ATS

Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4411: Trend Micro'dan lilang wu moony Li (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 30 Ekim 2018

ATS

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2018-4308: Mohamed Ghannam (@_simo36)

Giriş eklenme tarihi: 30 Ekim 2018

Otomatik Kilit Açma

Etki: Kötü amaçlı bir uygulama yerel kullanıcıların Apple Kimliklerine erişebilir

Açıklama: Yetki doğrulamasında bir doğrulama sorunu vardı. İşlem yetkisi doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2018-4321: Alibaba Inc. şirketinden Min (Spark) Zheng ve Xiaolong Bai

CFNetwork

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4126: Bruno Keith (@bkth_) (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 30 Ekim 2018

CoreFoundation

Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4412: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Giriş eklenme tarihi: 30 Ekim 2018

CoreFoundation

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4414: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Giriş eklenme tarihi: 30 Ekim 2018

CoreText

Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2018-4347: Readdle'dan Vasyl Tkachuk

Giriş eklenme tarihi: 30 Ekim 2018, giriş güncellenme tarihi: 13 Aralık 2018

Çökme Raporlayıcı

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4333: Brandon Azad

CUPS

Etki: Belirli konfigürasyonlarda uzaktaki bir saldırgan, yazıcı sunucusundan gelen mesaj içeriğini rastgele içerikle değiştirebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir ekleme (injection) sorunu giderildi.

CVE-2018-4153: hansmi.ch'den Michael Hanselmann

Giriş eklenme tarihi: 30 Ekim 2018

CUPS

Etki: Ayrıcalıklı konumdaki bir saldırgan, servis reddi saldırısı gerçekleştirebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2018-4406: hansmi.ch'den Michael Hanselmann

Giriş eklenme tarihi: 30 Ekim 2018

Sözlük

Etki: Kötü amaçlarla oluşturulmuş bir sözlük dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Yerel dosya erişimine izin veren bir doğrulama sorunu vardı. Giriş temizleme işlemi ile bu sorun giderildi.

CVE-2018-4346: SecuRing'den Wojciech Reguła (@_r3ggi)

Giriş eklenme tarihi: 30 Ekim 2018

Grand Central Dispatch

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4426: Brandon Azad

Giriş eklenme tarihi: 30 Ekim 2018

Heimdal

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Giriş eklenme tarihi: 30 Ekim 2018

Hypervisor

Etki: Spekülatif yürütme ve adres çevirileri özelliklerini kullanan mikroişlemcilerle çalışan sistemler, bir terminal sayfası hatası nedeniyle, L1 veri önbelleğinde bulunan bilgilerin yerel kullanıcı erişimi ve misafir düzeyinde işletim sistemi önceliği olan saldırganlara yan kanal analizi yoluyla yetkisiz olarak açıklanmasına izin verebilir

Açıklama: Sanal makine girişinde L1 veri önbelleği yenilenerek bilgilerin açığa çıkması sorunu giderildi.

CVE-2018-3646: Michigan Üniversitesi'nden Barış Kaşıkçı, Daniel Genkin, Ofir Weisse ve Thomas F. Wenisch, Technion'dan Mark Silberstein ve Marina Minkin, KU Leuven'den Raoul Strackx, Jo Van Bulck ve Frank Piessens, Intel Corporation'dan Rodrigo Branco, Henrique Kawakami, Ke Sun ve Kekai Hu, Adelaide Üniversitesi'nden Yuval Yarom

Giriş eklenme tarihi: 30 Ekim 2018

iBooks

Etki: Kötü amaçlarla oluşturulmuş bir iBooks dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Ek sınırlamalar getirilerek bir konfigürasyon sorunu giderildi.

CVE-2018-4355: bilibili güvenlik ekibinden evi1m0

Giriş eklenme tarihi: 30 Ekim 2018

Intel Grafik Sürücüsü

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4396: Didi Research America'dan Yu Wang

CVE-2018-4418: Didi Research America'dan Yu Wang

Giriş eklenme tarihi: 30 Ekim 2018

Intel Grafik Sürücüsü

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2018-4351: Theori'den Appology Ekibi (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 30 Ekim 2018

Intel Grafik Sürücüsü

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4350: Didi Research America'dan Yu Wang

Giriş eklenme tarihi: 30 Ekim 2018

Intel Grafik Sürücüsü

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4334: Google Project Zero'dan Ian Beer

Giriş eklenme tarihi: 30 Ekim 2018

Intel Grafik Sürücüsü

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4456: Cisco Talos'tan Tyler Bohan

Giriş eklenme tarihi: 21 Aralık 2018

IOHIDFamily

Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi

CVE-2018-4408: Google Project Zero'dan Ian Beer

Giriş eklenme tarihi: 30 Ekim 2018

IOKit

Etki: Kötü amaçlı bir uygulama, korumalı alanını ihlal edebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4341: Google Project Zero'dan Ian Beer

CVE-2018-4354: Google Project Zero'dan Ian Beer

Giriş eklenme tarihi: 30 Ekim 2018

IOKit

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4383: Apple

Giriş eklenme tarihi: 30 Ekim 2018

IOUserEthernet

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4401: Apple

Giriş eklenme tarihi: 30 Ekim 2018

Çekirdek

Etki: Kötü amaçlı bir uygulama, gizli kullanıcı bilgilerini sızdırabilir

Açıklama: Ayrıcalıklı API çağrılarında bir erişim sorunu vardı. Ek sınırlamalarla bu sorun giderildi.

CVE-2018-4399: Fabiano Anemone (@anoane)

Giriş eklenme tarihi: 30 Ekim 2018

Çekirdek

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, rastgele kod yürütebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4407: Semmle Ltd. şirketinden Kevin Backhouse

Giriş eklenme tarihi: 30 Ekim 2018

Çekirdek

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Google Project Zero'dan Ian Beer

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

CVE-2018-4425: cc (Trend Micro'nun Zero Day Initiative programıyla), Trend Micro'dan Juwei Lin (@panicaII) (Trend Micro'nun Zero Day Initiative programıyla)

Giriş güncellenme tarihi: 30 Ekim 2018

LibreSSL

Etki: Bu güncellemeyle libressl'deki birden fazla sorun giderildi

Açıklama: Libressl 2.6.4 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2015-3194

CVE-2015-5333

CVE-2015-5334

CVE-2016-0702

Giriş eklenme tarihi: 30 Ekim 2018, giriş güncellenme tarihi: 13 Aralık 2018

Oturum Açma Penceresi

Etki: Yerel bir kullanıcı servis reddine neden olabilir

Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4348: MWR InfoSecurity'den Ken Gannon ve MWR InfoSecurity'den Christian Demko

Giriş eklenme tarihi: 30 Ekim 2018

mDNSOffloadUserClient

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4326: anonim bir araştırmacı (Trend Micro'nun Zero Day Initiative programıyla), Qihoo 360 Nirvan Team'den Zhuo Liang

Giriş eklenme tarihi: 30 Ekim 2018

MediaRemote

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Ek korumalı alan sınırlamalarıyla bir erişim sorunu giderildi.

CVE-2018-4310: Ant-Financial LightYear Labs'ten CodeColorist

Giriş eklenme tarihi: 30 Ekim 2018

Mikrokod

Etki: Spekülatif yürütme özelliklerini kullanan mikroişlemcilerle çalışan sistemlerde, önceki tüm bellek yazma işlemlerinin adresi bilinmeden spekülatif bellek okuma işlemleri yapıldığında, yerel kullanıcı erişimi olan bir saldırgana yan kanal analizi yoluyla bilgilerin yetkisiz olarak açıklanmasına izin verilebilir

Açıklama: Mikrokod güncellenerek, bilgilerin açığa çıkması sorunu giderildi. Bu, en son üzerine yazılan adreslerden okunan daha eski verilerin, bir spekülatif yürütme yan kanalı yoluyla okunamamasını sağlar.

CVE-2018-3639: Google Project Zero'dan (GPZ) Jann Horn (@tehjh), Microsoft Security Response Center'dan (MSRC) Ken Johnson

Giriş eklenme tarihi: 30 Ekim 2018

Güvenlik

Etki: Yerel bir kullanıcı servis reddine neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-4395: Digita Security'den Patrick Wardle

Giriş eklenme tarihi: 30 Ekim 2018

Güvenlik

Etki: Bir saldırgan, RC4 şifreleme algoritmasındaki zayıflıktan yararlanabilir

Açıklama: RC4 kaldırılarak bu sorun giderildi.

CVE-2016-1777: Pepi Zawodsky

Spotlight

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4393: Lufeng Li

Giriş eklenme tarihi: 30 Ekim 2018

Bulgu Çerçevesi

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2018-4203: Bruno Keith (@bkth_) (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 30 Ekim 2018

Metin

Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi servis reddine yol açabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2018-4304: jianan.huang (@Sevck)

Giriş eklenme tarihi: 30 Ekim 2018

Wi-Fi

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2018-4338: SECLAB'den Lee ve Yonsei Üniversitesi (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 23 Ekim 2018

Erişilebilirlik Çerçevesi

Ryan Govostes'e yardımı için teşekkür ederiz.

Core Data

NESO Security Labs GmbH şirketinden Andreas Kurtz'a (@aykay) yardımı için teşekkür ederiz.

CoreDAV

Verisign şirketinden Matthew Thomas'a yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 13 Aralık 2018, giriş güncellenme tarihi: 21 Aralık 2018

CoreGraphics

Roblox Corporation şirketinden Nitin Arya'ya yardımı için teşekkür ederiz.

CoreSymbolication

Brandon Azad'a yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 13 Aralık 2018

IOUSBHostFamily

CanSecWest'ten Dragos Ruiu'ya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 13 Aralık 2018

Çekirdek

Brandon Azad'a yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 13 Aralık 2018

Mail

Rocket Internet SE şirketinden Alessandro Avagliano'ya, The New York Times gazetesinden John Whitehead'e, Omicron Software Systems şirketinden Kelvin Delbarre'ye ve Zbyszek Żółkiewski'ye yardımları için teşekkür ederiz.

Göz At

Google Project Zero'dan lokihardt, SecuRing'den Wojciech Reguła (@_r3ggi) ve Digita Security'den Patrick Wardle'a yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 13 Aralık 2018

Güvenlik

Christoph Sinai'ye, The Irish Times gazetesinden Daniel Dudek'e (@dannysapples), ADAPT Centre şirketinden Filip Klubička'ya (@lemoncloak), Dublin Teknoloji Enstitüsü'ne, Shapr3D şirketinden Istvan Csanady'ye, ITG Software, Inc. şirketinden Omar Barkawi'ye, Phil Caleno'ya, Wilson Ding'e ve anonim bir araştırmacıya yardımları için teşekkür ederiz.

SQLite

NESO Security Labs GmbH şirketinden Andreas Kurtz'a (@aykay) yardımı için teşekkür ederiz.

Terminal

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 13 Aralık 2018

WindowServer

Digita Security'den Patrick Wardle'a yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 13 Aralık 2018