Om sikkerhedsindholdet i macOS Mojave 10.14.5, sikkerhedsopdatering 2019-003 High Sierra, sikkerhedsopdatering 2019-003 Sierra

Dette dokument beskriver sikkerhedsindholdet i macOS Mojave 10.14.5, sikkerhedsopdatering 2019-003 High Sierra, sikkerhedsopdatering 2019-003 Sierra.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Mojave 10.14.5, sikkerhedsopdatering 2019-003 High Sierra, sikkerhedsopdatering 2019-003 Sierra

Udgivet 13. maj 2019

Tilgængelighedsframework

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2019-8603: Phoenhex og qwerty (@_niklasb, @qwertyoruiopz, @bkth_), der arbejder med Trend Micros Zero Day Initiative

AMD

Fås til: macOS Mojave 10.14.4

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8635: Lilang Wu og Moony Li fra TrendMicro Mobile Security Research Team, der arbejder med Trend Micros Zero Day Initiative

Programfirewall

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2019-8590: Storbritanniens National Cyber Security Centre (NCSC)

CoreAudio

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret fejlhåndtering.

CVE-2019-8592: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

CoreAudio

Fås til: macOS Mojave 10.14.4

Effekt: Behandling af et skadeligt filmarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8585: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

DesktopServices

Fås til: macOS Mojave 10.14.4

Effekt: Et skadeligt program kan omgå Gatekeeper-kontrollerne

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2019-8589: Andreas Clementi, Stefan Haselwanter og Peter Stelzhammer fra AV-Comparatives

Diskbilleder

Fås til: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2019-8560: Nikita Pupyshev fra Bauman Moscow State Technological University

Post opdateret 14. maj 2019

EFI

Fås til: macOS Mojave 10.14.4

Effekt: En bruger kan muligvis blive logget ind på en anden brugers konto

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2019-8634: Jenny Sprenger og Maik Hoepfel

Intel Graphics Driver

Fås til: macOS Mojave 10.14.4

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8616: Lilang Wu og Moony Li fra Trend Micro Mobile Security Research Team, der arbejder med Trend Micros Zero Day Initiative

Intel Graphics Driver

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2019-8629: Arash Tohidi fra Solita Oy

IOAcceleratorFamily

Fås til: macOS High Sierra 10.13.6

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2018-4456: Tyler Bohan fra Cisco Talos

IOKit

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Effekt: En lokal bruger kan indlæse usignerede kerneudvidelser

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2019-8606: Phoenhex og qwerty (@_niklasb, @qwertyoruiopz, @bkth_), der arbejder med Trend Micros Zero Day Initiative

Kernel

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2019-8525: Zhuo Liang og shrek_wzw fra Qihoo 360 Nirvan Team

Post tilføjet 14. maj 2019

Kernel

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.

CVE-2019-8547: derrek (@derrekr6)

Post tilføjet 14. maj 2019

Kernel

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2019-8605: Ned Williamson, der arbejder med Google Project Zero

Kernel

Fås til: macOS Mojave 10.14.4

Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen.

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2019-8576: Brandon Azad fra Google Project Zero, Junho Jang og Hanul Choi fra LINE Security Team

Post opdateret 30. maj 2019

Kernel

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Effekt: Et program kan medføre pludselig programlukning eller skrivning af kernehukommelse

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2019-8591: Ned Williamson, der arbejder med Google Project Zero

Beskeder

Fås til: macOS Mojave 10.14.4

Effekt: Et fjernangreb kan muligvis fremkalde DoS (Denial of Service) på systemet

Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.

CVE-2019-8573: Natalie Silvanovich fra Google Project Zero

Post tilføjet 3. juli 2019

Microcode

Fås til: macOS Mojave 10.14.4

Effekt: Indlæsningsporte, fyldbuffere og arkiveringsbuffere i systemer med mikroprocessorer, der anvender spekulativ udførelse, kan potentielt lade en hacker med lokal brugeradgang aktivere offentliggørelse af oplysninger via en sidekanal

Beskrivelse: Flere problemer med offentliggørelse af oplysninger er delvist løst via opdatering af mikrokoden og en ændring af OS-planlæggeren, så systemet er isoleret fra det webindhold, der kører i browseren. Der findes yderligere tilvalgsrettelser til deaktivering af hypertråde og aktivering af mikrokode-baserede rettelser for alle processer som standard, der fuldstændigt løser problemet. Flere oplysninger om rettelserne kan findes under https://support.apple.com/da-dk/HT210107.

CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu og Rodrigo Branco fra Intel; Lei Shi - Qihoo 360 CERT; Marina Minkin; Daniel Genkin fra University of Michigan og Yuval Yarom fra University of Adelaide

CVE-2018-12127: Brandon Falk fra Microsoft Windows Platform Security Team og Ke Sun, Henrique Kawakami, Kekai Hu og Rodrigo Branco fra Intel

CVE-2018-12130: Giorgi Maisuradze fra Microsoft Research; Ke Sun, Henrique Kawakami, Kekai Hu og Rodrigo Branco fra Intel; Moritz Lipp, Michael Schwarz og Daniel Gruss fra Graz University of Technology; Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos og Cristiano Giuffrida fra VUSec-gruppen på VU Amsterdam; Volodymyr Pikhur og Dan Horea Lutas fra BitDefender

CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu og Rodrigo Branco fra Intel; og Moritz Lipp, Michael Schwarz og Daniel Gruss fra Graz University of Technology

Post tilføjet 14. maj 2019

Sikkerhed

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8604: Fluoroacetate, der arbejder med Trend Micros Zero Day Initiative

SQLite

Fås til: macOS Mojave 10.14.4

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et problem med godkendelse af input er løst med forbedret hukommelsesbehandling.

CVE-2019-8577: Omer Gull fra Checkpoint Research

SQLite

Fås til: macOS Mojave 10.14.4

Effekt: En skadelig SQL-forespørgsel kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8600: Omer Gull fra Checkpoint Research

SQLite

Fås til: macOS Mojave 10.14.4

Effekt: Et skadeligt program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.

CVE-2019-8598: Omer Gull fra Checkpoint Research

SQLite

Fås til: macOS Mojave 10.14.4

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst ved at fjerne den sårbare kode.

CVE-2019-8602: Omer Gull fra Checkpoint Research

StreamingZip

Fås til: macOS Mojave 10.14.4

Effekt: En lokal bruger kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

sysdiagnose

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8574: Dayton Pidhirney (@_watbulb) fra Seekintoo (@seekintoo)

Understøttelse af Touch Bar

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8569: Viktor Oreshkin (@stek29)

WebKit

Fås til: macOS Mojave 10.14.4

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-6237: G. Geshev, der arbejder med Trend Micros Zero Day Initiative, Liu Long fra Qihoo 360 Vulcan Team

CVE-2019-8571: 01, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8583: sakura fra Tencent Xuanwu Lab, jessica (@babyjess1ca_) fra Tencent Keen Lab og dwfault, der arbejder hos ADLab fra Venustech

CVE-2019-8584: G. Geshev fra MWR Labs, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8586: en anonym programmør

CVE-2019-8587: G. Geshev, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8594: Suyoung Lee og Sooel Son fra KAIST Web Security & Privacy Lab og HyungSeok Han og Sang Kil Cha fra KAIST SoftSec Lab

CVE-2019-8595: G. Geshev fra MWR Labs, der arbejder Trend Micros Zero Day Initiative

CVE-2019-8596: Wen Xu fra SSLab på Georgia Tech

CVE-2019-8597: 01, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8601: Fluoroacetate, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8608: G. Geshev, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8609: Wen Xu fra SSLab, Georgia Tech

CVE-2019-8610: Anonym, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8611: Samuel Groß fra Google Project Zero

CVE-2019-8615: G. Geshev fra MWR Labs, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8619: Wen Xu fra SSLab på Georgia Tech og Hanqing Zhao fra Chaitin Security Research Lab

CVE-2019-8622: Samuel Groß fra Google Project Zero

CVE-2019-8623: Samuel Groß fra Google Project Zero

CVE-2019-8628: Wen Xu fra SSLab på Georgia Tech og Hanqing Zhao fra Chaitin Security Research Lab

WebKit

Fås til: macOS Mojave 10.14.4

Effekt: Behandling af skadeligt webindhold kan resultere i afsløring af proceshukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8607: Junho Jang og Hanul Choi fra LINE Security Team

Wi-Fi

Fås til: macOS Mojave 10.14.4

Effekt: En hacker med en privilegeret netværksposition kan ændre driverstatus

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2019-8612: Milan Stute fra Secure Mobile Networking Lab på Technische Universität Darmstadt

Post tilføjet 14. maj 2019

Yderligere anerkendelser

CoreFoundation

Vi vil gerne takke m4bln, Xiangqian Zhang, Huiming Liu fra Tencents Xuanwu Lab, Vozzie og Rami for hjælpen.

Post opdateret 14. maj 2019

Kernel

Vi vil gerne takke Denis Kopyrin for hjælpen.

Post opdateret 14. maj 2019

PackageKit

Vi vil gerne takke Csaba Fitzl (@theevilbit) for hjælpen.

Safari

Vi vil gerne takke Michael Ball fra Gradescope by Turnitin for hjælpen.

Systemindstillinger

Vi vil gerne takke en anonym programmør for hjælpen.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: