Om sikkerhedsindholdet i macOS Catalina 10.15.2, sikkerhedsopdatering 2019-002 Mojave og sikkerhedsopdatering 2019-007 High Sierra

Dette dokument beskriver sikkerhedsindholdet i macOS Catalina 10.15.2, sikkerhedsopdatering 2019-002 Mojave og sikkerhedsopdatering 2019-007 High Sierra.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Catalina 10.15.2, sikkerhedsopdatering 2019-002 Mojave og sikkerhedsopdatering 2019-007 High Sierra

Udgivet 10. december 2019

ATS

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et skadeligt program kan muligvis få adgang til begrænsede arkiver

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Post opdateret 18. december 2019

Bluetooth

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2019-8853: Jianjun Dai fra Qihoo 360 Alpha Lab

CallKit

Fås til: macOS Catalina 10.15

Effekt: Opkald, der blev foretaget ved hjælp af Siri, kan være påbegyndt med det forkerte mobilabonnement på enheder med to aktive abonnementer

Beskrivelse: Der var et API-problem med håndteringen af udgående opkald, der blev påbegyndt med Siri. Problemet er løst ved forbedret statusbehandling.

CVE-2019-8856: Fabrice TERRANCLE fra TERRANCLE SARL

CFNetwork-proxyservere

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2019-8848: Zhuo Liang fra Qihoo 360 Vulcan Team

Post opdateret 18. december 2019

CFNetwork

Fås til: macOS Catalina 10.15

Effekt: En hacker i en privilegeret netværksposition kan være i stand til at tilsidesætte HSTS for et begrænset antal specifikke topniveaudomæner, der ikke tidligere var på den forudindlæste HSTS-liste

Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.

CVE-2019-8834: Rob Sayre (@sayrer)

Post tilføjet 3. februar 2020

CUPS

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Ved nogle konfigurationer kan en hacker muligvis indsende vilkårlige udskriftsjob

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2019-8842: Niky1235 fra China Mobile

Post opdateret 18. december 2019

CUPS

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: En hacker med en privilegeret position kan muligvis fremkalde et DoS-angreb

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2019-8839: Stephan Zeisberg fra Security Research Labs

Post opdateret 18. december 2019

FaceTime

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Behandling af en skadelig video via FaceTime kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8830: natashenka fra Google Project Zero

Post opdateret 18. december 2019

IOGraphics

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: En Mac bliver muligvis ikke låst omgående ved afbrydelse af vågeblus

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2019-8851: Vladik Khononov fra DoiT International

Post tilføjet 3. februar 2020

Kernel

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst ved at fjerne den sårbare kode.

CVE-2019-8833: Ian Beer fra Google Project Zero

Post opdateret 18. december 2019

Kernel

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8828: Cim Stordal fra Cognite

CVE-2019-8838: Dr. Silvio Cesare fra InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) fra WaCai

libexpat

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Dette problem er løst ved at opdatere til expat version 2.2.8.

CVE-2019-15903: Joonun Jang

Post opdateret 18. december 2019

Bemærkninger

Fås til: macOS Catalina 10.15

Effekt: En ekstern hacker kan muligvis overskrive eksisterende arkiver

Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier blev løst via forbedret stigodkendelse.

CVE-2020-9782: Allison Husain fra UC Berkeley

Post tilføjet 4. april 2020

OpenLDAP

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Flere problemer i OpenLDAP

Beskrivelse: Flere problemer blev løst ved at opdatere til OpenLDAP version 2.4.28.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Post opdateret 3. februar 2020

Sikkerhed

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8832: Insu Yun fra SSLab på Georgia Tech

tcpdump

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Flere problemer i tcpdump

Beskrivelse: Flere problemer blev løst ved at opdatere til tcpdump version 4.9.3 og libpcap version 1.9.1

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15166

CVE-2019-15167

Post opdateret 11. februar 2020

Wi-Fi

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: En hacker inden for Wi-Fi-rækkevidde kan være i stand til at se en lille del af netværkstrafikken

Beskrivelse: Der var et logikproblem i håndteringen af statusovergange. Det er løst ved hjælp af forbedret statusadministration.

CVE-2019-15126: Milos Cermak fra ESET

Post tilføjet 27. februar 2020

Yderligere anerkendelser

Konti

Vi vil gerne takke Allison Husain fra UC Berkeley og Kishan Bagaria (KishanBagaria.com) og Tom Snelling fra Loughborough University for hjælpen.

Post opdateret 4. april 2020

Kernedata

Vi vil gerne takke natashenka fra Google Project Zero for hjælpen.

Finder

Vi vil gerne takke Csaba Fitzl (@theevilbit) for hjælpen.

Post tilføjet 18. december 2019

Kernel

Vi vil gerne takke Daniel Roethlisberger fra Swisscom CSIRT for hjælpen.

Post tilføjet 18. december 2019

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: