Om sikkerhedsindholdet i macOS Catalina 10.15.2, sikkerhedsopdatering 2019-002 Mojave og sikkerhedsopdatering 2019-007 High Sierra
Dette dokument beskriver sikkerhedsindholdet i macOS Catalina 10.15.2, sikkerhedsopdatering 2019-002 Mojave og sikkerhedsopdatering 2019-007 High Sierra.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
macOS Catalina 10.15.2, sikkerhedsopdatering 2019-002 Mojave og sikkerhedsopdatering 2019-007 High Sierra
ATS
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: Et skadeligt program kan muligvis få adgang til begrænsede arkiver
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2019-8837: Csaba Fitzl (@theevilbit)
Bluetooth
Fås til: macOS Catalina 10.15
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2019-8853: Jianjun Dai fra Qihoo 360 Alpha Lab
CallKit
Fås til: macOS Catalina 10.15
Effekt: Opkald, der blev foretaget ved hjælp af Siri, kan være påbegyndt med det forkerte mobilabonnement på enheder med to aktive abonnementer
Beskrivelse: Der var et API-problem med håndteringen af udgående opkald, der blev påbegyndt med Siri. Problemet er løst ved forbedret statusbehandling.
CVE-2019-8856: Fabrice TERRANCLE fra TERRANCLE SARL
CFNetwork-proxyservere
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2019-8848: Zhuo Liang fra Qihoo 360 Vulcan Team
CFNetwork
Fås til: macOS Catalina 10.15
Effekt: En hacker i en privilegeret netværksposition kan være i stand til at tilsidesætte HSTS for et begrænset antal specifikke topniveaudomæner, der ikke tidligere var på den forudindlæste HSTS-liste
Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.
CVE-2019-8834: Rob Sayre (@sayrer)
CUPS
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: Ved nogle konfigurationer kan en hacker muligvis indsende vilkårlige udskriftsjob
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2019-8842: Niky1235 fra China Mobile
CUPS
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: En hacker med en privilegeret position kan muligvis fremkalde et DoS-angreb
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2019-8839: Stephan Zeisberg fra Security Research Labs
FaceTime
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: Behandling af en skadelig video via FaceTime kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2019-8830: natashenka fra Google Project Zero
IOGraphics
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: En Mac bliver muligvis ikke låst omgående ved afbrydelse af vågeblus
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2019-8851: Vladik Khononov fra DoiT International
Kernel
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst ved at fjerne den sårbare kode.
CVE-2019-8833: Ian Beer fra Google Project Zero
Kernel
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2019-8828: Cim Stordal fra Cognite
CVE-2019-8838: Dr. Silvio Cesare fra InfoSect
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) fra WaCai
libexpat
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger
Beskrivelse: Dette problem er løst ved at opdatere til expat version 2.2.8.
CVE-2019-15903: Joonun Jang
Bemærkninger
Fås til: macOS Catalina 10.15
Effekt: En ekstern hacker kan muligvis overskrive eksisterende arkiver
Beskrivelse: Et parsingproblem i forbindelse med behandlingen af biblioteksstier blev løst via forbedret stigodkendelse.
CVE-2020-9782: Allison Husain fra UC Berkeley
OpenLDAP
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: Flere problemer i OpenLDAP
Beskrivelse: Flere problemer blev løst ved at opdatere til OpenLDAP version 2.4.28.
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
Sikkerhed
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2019-8832: Insu Yun fra SSLab på Georgia Tech
tcpdump
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: Flere problemer i tcpdump
Beskrivelse: Flere problemer blev løst ved at opdatere til tcpdump version 4.9.3 og libpcap version 1.9.1
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
Wi-Fi
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: En hacker inden for Wi-Fi-rækkevidde kan være i stand til at se en lille del af netværkstrafikken
Beskrivelse: Der var et logikproblem i håndteringen af statusovergange. Det er løst ved hjælp af forbedret statusadministration.
CVE-2019-15126: Milos Cermak fra ESET
Yderligere anerkendelser
Konti
Vi vil gerne takke Allison Husain fra UC Berkeley og Kishan Bagaria (KishanBagaria.com) og Tom Snelling fra Loughborough University for hjælpen.
Kernedata
Vi vil gerne takke natashenka fra Google Project Zero for hjælpen.
Finder
Vi vil gerne takke Csaba Fitzl (@theevilbit) for hjælpen.
Kernel
Vi vil gerne takke Daniel Roethlisberger fra Swisscom CSIRT for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.