Om sikkerhedsindholdet i macOS Mojave 10.14.4, sikkerhedsopdatering 2019-002 High Sierra, sikkerhedsopdatering 2019-002 Sierra

Dette dokument beskriver sikkerhedsindholdet i macOS Mojave 10.14.4, sikkerhedsopdatering 2019-002 High Sierra, sikkerhedsopdatering 2019-002 Sierra.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Mojave 10.14.4, sikkerhedsopdatering 2019-002 High Sierra. sikkerhedsopdatering 2019-002 Sierra

Udgivet 25. marts 2019

802.1X

Fås til: macOS Mojave 10.14.3

Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange netværkstrafik

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2019-6203: Dominic White fra SensePost (@singe)

Post tilføjet 15. april 2019

802.1X

Fås til: macOS High Sierra 10.13.6

Effekt: Et radius-servercertifikat, der ikke er tillid til, kan blive godkendt

Beskrivelse: Der var et godkendelsesproblem i Trust Anchor Management. Dette problem blev rettet gennem forbedret validering.

CVE-2019-8531: En anonym programmør, QA team fra SecureW2

Post tilføjet 15. maj 2019

Konti

Fås til: macOS Mojave 10.14.3

Effekt: Behandling af et skadeligt vcf-arkiv kan medføre et DoS-angreb

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret validering.

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

Post tilføjet 3. april 2019

APFS

Fås til: macOS Mojave 10.14.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et logikproblem, som resulterede i beskadiget hukommelse. Det er løst ved hjælp af forbedret statusadministration.

CVE-2019-8534: Mac, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 15. april 2019

AppleGraphicsControl

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et bufferoverløbsproblem er løst med forbedret godkendelse af størrelse.

CVE-2019-8555: Zhiyi Zhang fra 360 ESG Codesafe Team, Zhuo Liang og shrek_wzw fra Qihoo 360 Nirvan Team

Bom

Fås til: macOS Mojave 10.14.3

Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne

Beskrivelse: Problemet er løst ved forbedret behandling af arkivmetadata.

CVE-2019-6239: Ian Moorhouse og Michael Trimm

CFString

Fås til: macOS Mojave 10.14.3

Effekt: Behandling af en skadelig streng kan medføre et DoS-angreb

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2019-8516: SWIPS-teamet fra Frifee Inc.

configd

Fås til: macOS Mojave 10.14.3

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

Kontakter

Fås til: macOS Mojave 10.14.3

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.

CVE-2019-8511: En anonym programmør

CoreCrypto

Fås til: macOS Mojave 10.14.3

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2019-8542: En anonym programmør

DiskArbitration

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Effekt: Et krypteret drev kan gøres passivt og aktiveres af en anden bruger, uden at man bliver bedt om at indtaste adgangskoden

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2019-8522: Colin Meginnis (@falc420)

FaceTime

Fås til: macOS Mojave 10.14.3

Effekt: En brugers video kan ikke sættes på pause under et FaceTime-opkald, hvis brugeren afslutter FaceTime-appen, mens der ringes op

Beskrivelse: Der var et problem med at sætte FaceTime-video på pause. Problemet er løst med forbedret logik.

CVE-2019-8550: Lauren Guzniczak fra Keystone Academy

Feedback Assistant

Fås til: macOS Mojave 10.14.3

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2019-8565: CodeColorist fra Ant-Financial LightYear Labs

Feedback Assistant

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Effekt: Et skadeligt program kan overskrive vilkårlige arkiver

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2019-8521: CodeColorist fra Ant-Financial LightYear Labs

file

Fås til: macOS Mojave 10.14.3

Effekt: Behandling af et skadeligt arkiv kan afsløre brugeroplysninger

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2019-8906: Francisco Alonso

Post opdateret 15. april 2019

Grafikdrivere

Fås til: macOS Mojave 10.14.3

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) og Junzhi Lu fra Trend Micro Research, som arbejder med Trend Micro's Zero Day Initiative, Lilang Wu og Moony Li fra Trend Micro

Post opdateret 1. august 2019

iAP

Fås til: macOS Mojave 10.14.3

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2019-8542: En anonym programmør

IOGraphics

Fås til: macOS Mojave 10.14.3

Effekt: En Mac låses muligvis ikke, når den frakobles en ekstern skærm

Beskrivelse: Et problem med behandling af låsen er løst gennem forbedret behandling af låsen.

CVE-2019-8533: en anonym programmør, James Eagan fra Télécom ParisTech, R. Scott Kemp fra MIT og Romke van Dijk fra Z-CERT

IOHIDFamily

Fås til: macOS Mojave 10.14.3

Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen.

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2019-8545: Adam Donenfeld (@doadam) fra Zimperium zLabs Team

IOKit

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Effekt: En lokal bruger kan læse kernehukommelsen

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2019-8504: En anonym programmør

IOKit SCSI

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8529: Juwei Lin (@panicaII) fra Trend Micro Research i samarbejde med Trend Micros Zero Day Initiative

Post opdateret 15. april 2019

Kernel

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Effekt: En hacker kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen

Beskrivelse: Et bufferoverløbsproblem er løst med forbedret godkendelse af størrelse.

CVE-2019-8527: Ned Williamson fra Google og derrek (@derrekr6)

Kernel

Tilgængelig for: macOS Mojave 10.14.3, macOS High Sierra 10.13.6

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) fra Qihoo 360 Vulcan Team

Post tilføjet 3. april 2019, opdateret 1. august 2019

Kernel

Fås til: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Effekt: Åbning af en skadelig NFS-netværksmappe kan medføre kørsel af vilkårlig kode med systemrettigheder

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2019-8508: Dr. Silvio Cesare fra InfoSect

Kernel

Fås til: macOS Mojave 10.14.3

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2019-8514: Samuel Groß fra Google Project Zero

Kernel

Fås til: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2019-8540: Weibo Wang (@ma1fan) fra Qihoo 360 Nirvan Team

Kernel

Fås til: macOS Mojave 10.14.3

Effekt: En lokal bruger kan læse kernehukommelsen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-7293: Ned Williamson fra Google

Kernel

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.

CVE-2019-6207: Weibo Wang fra Qihoo 360 Nirvan Team (@ma1fan)

CVE-2019-8510: Stefan Esser fra Antid0te UG

Kernel

Fås til: macOS Mojave 10.14.3

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.

CVE-2019-8547: derrek (@derrekr6)

Post tilføjet 1. august 2019

Kernel

Fås til: macOS Mojave 10.14.3

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2019-8525: Zhuo Liang og shrek_wzw fra Qihoo 360 Nirvan Team

Post tilføjet 1. august 2019

libmalloc

Fås til: macOS High Sierra 10.13.6

Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.

CVE-2018-4433: Vitaly Cheptsov

Post tilføjet 1. august 2019

Mail

Fås til: macOS Mojave 10.14.3

Effekt: Behandling af en skadelig e-mail kan medføre efterligning af S/MIME-signatur

Beskrivelse: Der opstod et problem ved håndteringen af S-MIME-certifikater. Problemet er løst ved hjælp af forbedret godkendelse af S-MIME-certifikater.

CVE-2019-8642: Maya Sigal og Volker Roth fra Freie Universität Berlin

Post tilføjet 1. august 2019

Mail

Fås til: macOS Mojave 10.14.3

Effekt: En angriber i en privilegeret netværksposition kan være i stand til at opfange indholdet af S/MIME-krypteret e-mail

Beskrivelse: Der opstod et problem ved håndteringen af krypteret Mail. Problemet blev løst ved hjælp af forbedret isolering af MIME i Mail.

CVE-2019-8645: Maya Sigal og Volker Roth fra Freie Universität Berlin

Post tilføjet 1. august 2019

Beskeder

Fås til: macOS Mojave 10.14.3

Effekt: En lokal bruger kan muligvis få adgang til følsomme brugeroplysninger

Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.

CVE-2019-8546: ChiYuan Chang

Modem CCL

Fås til: macOS Mojave 10.14.3

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et problem med godkendelse af input er løst med forbedret hukommelsesbehandling.

CVE-2019-8579: En anonym programmør

Post tilføjet 15. april 2019

Bemærkninger

Fås til: macOS Mojave 10.14.3

Effekt: En lokal bruger kan muligvis se en brugers låste noter

Beskrivelse: Et adgangsproblem er løst gennem forbedret hukommelseshåndtering.

CVE-2019-8537: Greg Walker (gregwalker.us)

PackageKit

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2019-8561: Jaron Bradley fra Crowdstrike

Perl

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Effekt: Flere problemer i Perl

Beskrivelse: Flere problemer i Perl er løst i denne opdatering.

CVE-2018-12015: Jakub Wilk

CVE-2018-18311: Jayakrishna Menon

CVE-2018-18313: Eiichi Tsukata

Strømstyring

Fås til: macOS Mojave 10.14.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Der var flere problemer med godkendelse af input i MIG-genereret kode. Problemerne er løst ved forbedret godkendelse.

CVE-2019-8549: Mohamed Ghannam (@_simo36) fra SSD Secure Disclosure (ssd-disclosure.com)

QuartzCore

Fås til: macOS Mojave 10.14.3

Effekt: Behandling af skadelige data kan medføre pludselig applukning

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8507: Kai Lu fra Fortinets FortiGuard Labs

Sandbox

Fås til: macOS Mojave 10.14.3

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2019-8618: Brandon Azad

Post tilføjet 1. august 2019

Sikkerhed

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2019-8526: Linus Henze (pinauten.de)

Sikkerhed

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Effekt: Et skadeligt program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2019-8520: Antonio Groza, Storbritanniens National Cyber Security Centre (NCSC)

Sikkerhed

Fås til: macOS Mojave 10.14.3

Effekt: Et radius-servercertifikat, der ikke er tillid til, kan blive godkendt

Beskrivelse: Der var et godkendelsesproblem i Trust Anchor Management. Dette problem blev rettet gennem forbedret validering.

CVE-2019-8531: En anonym programmør, QA team fra SecureW2

Sikkerhed

Fås til: macOS Mojave 10.14.3

Effekt: Et radius-servercertifikat, der ikke er tillid til, kan blive godkendt

Beskrivelse: Der var et godkendelsesproblem i Trust Anchor Management. Dette problem blev rettet gennem forbedret validering.

CVE-2019-8531: En anonym programmør, QA team fra SecureW2

Post tilføjet 15. maj 2019

Siri

Fås til: macOS Mojave 10.14.3

Effekt: En skadelig app kan muligvis foretage en dikteringsanmodning uden brugerens tilladelse

Beskrivelse: Der var et API-problem med at håndtere dikteringsanmodninger. Dette problem blev rettet gennem forbedret validering.

CVE-2019-8502: Luke Deshotels fra North Carolina State University, Jordan Beichler fra North Carolina State University, William Enck fra North Carolina State University, Costin Carabaș fra University POLITEHNICA of Bucharest og Răzvan Deaconescu fra University POLITEHNICA of Bucharest

Time Machine

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Effekt: En lokal bruger kan muligvis køre vilkårlige shell-kommandoer

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2019-8513: CodeColorist fra Ant-Financial LightYear Labs

Understøttelse af Touch Bar

Fås til: macOS Mojave 10.14.3

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8569: Viktor Oreshkin (@stek29)

Post tilføjet 1. august 2019

TrueTypeScaler

Fås til: macOS Mojave 10.14.3

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2019-8517: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

Wi-Fi

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Effekt: En hacker med en privilegeret netværksposition kan ændre driverstatus

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2019-8564: Hugues Anguelkov, under et praktikophold hos Quarkslab

Post tilføjet 15. april 2019

Wi-Fi

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Effekt: En hacker med en privilegeret netværksposition kan ændre driverstatus

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2019-8612: Milan Stute fra Secure Mobile Networking Lab på Technische Universität Darmstadt

Post tilføjet 1. august 2019

Wi-Fi

Fås til: macOS Mojave 10.14.3

Effekt: En enhed kan muligvis spores passivt via enhedens Wi-Fi MAC-adresse

Beskrivelse: Et problem med brugeranonymitet er løst ved at fjerne den udsendende MAC-adresse.

CVE-2019-8567: David Kreitschmann og Milan Stute fra Secure Mobile Networking Lab på Technische Universität Darmstadt

Post tilføjet 1. august 2019

xar

Fås til: macOS Mojave 10.14.3

Effekt: Behandling af en skadelig pakke kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)

Post tilføjet 15. april 2019

XPC

Fås til: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Effekt: Et skadeligt program kan overskrive vilkårlige arkiver

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2019-8530: CodeColorist fra Ant-Financial LightYear Labs

Yderligere anerkendelser

Konti

Vi vil gerne takke Milan Stute fra Secure Mobile Networking Lab på Technische Universität Darmstadt for hjælpen.

Bøger

Vi vil gerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjælpen.

Kernel

Vi vil gerne takke Brandon Azad fra Google Project Zero, Raz Mashat (@RazMashat) fra Ilan Ramon High School for hjælpen.

Post opdateret 1. august 2019

Mail

Vi vil gerne takke Craig Young fra Tripwire VERT og Hanno Böck for hjælpen.

Time Machine

Vi vil gerne takke CodeColorist fra Ant-Financial LightYear Labs for hjælpen.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: