Om sikkerhedsindholdet i macOS Mojave 10.14.6, sikkerhedsopdatering 2019-004 High Sierra og sikkerhedsopdatering 2019-004 Sierra

I dette dokument beskrives sikkerhedsindholdet i macOS Mojave 10.14.6, sikkerhedsopdatering 2019-004 High Sierra og sikkerhedsopdatering 2019-004 Sierra.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Mojave 10.14.6, sikkerhedsopdatering 2019-004 High Sierra og sikkerhedsopdatering 2019-004 Sierra

AppleGraphicsControl

Fås til: macOS Mojave 10.14.5

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2019-8693: Arash Tohidi fra Solita

autofs

Fås til: macOS Sierra 10.12.6, macOS Mojave 10.14.5 og macOS High Sierra 10.13.6

Effekt: Udtrækning af et ZIP-arkiv, der indeholder et symbolsk link til et slutpunkt i en NFS-tilslutning, som er kontrolleret af en hacker, kan tilsidesætte Gatekeeper

Beskrivelse: Dette er løst ved, at Gatekeeper foretager ekstra kontrol af arkiver, der er tilknyttet via en netværksmappe.

CVE-2019-8656: Filippo Cavallarin

Bluetooth

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-19860

Bluetooth

Fås til: macOS Sierra 10.12.6, macOS Mojave 10.14.5 og macOS High Sierra 10.13.6

Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange Bluetooth-trafik (Key Negotiation of Bluetooth – KNOB)

Beskrivelse: Der var et problem med godkendelse af input i Bluetooth. Problemet er løst ved forbedret inputvalidering.

CVE-2019-9506: Daniele Antonioli fra SUTD, Singapore, Dr. Nils Ole Tippenhauer fra CISPA, Tyskland og professor Kasper Rasmussen fra University of Oxford, England

Ændringerne for dette problem begrænser CVE-2020-10135.

Carbon Core

Fås til: macOS Mojave 10.14.5

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2019-8661: natashenka fra Google Project Zero

Kernedata

Fås til: macOS Mojave 10.14.5

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8646: natashenka fra Google Project Zero

Kernedata

Fås til: macOS Mojave 10.14.5

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8660: Samuel Groß og natashenka fra Google Project Zero

CUPS

Fås til: macOS Sierra 10.12.6, macOS Mojave 10.14.5 og macOS High Sierra 10.13.6

Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode

Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.

CVE-2019-8675: Stephan Zeisberg (github.com/stze) fra Security Research Labs (srlabs.de)

CVE-2019-8696: Stephan Zeisberg (github.com/stze) fra Security Research Labs (srlabs.de)

Diskstyring

Fås til: macOS Mojave 10.14.5

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2019-8539: ccpwd, der arbejder med Trend Micros Zero Day Initiative

Diskstyring

Fås til: macOS Mojave 10.14.5

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8697: ccpwd, der arbejder med Trend Micros Zero Day Initiative

FaceTime

Fås til: macOS Mojave 10.14.5

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8648: Tao Huang og Tielei Wang fra Team Pangu

Fundet i apps

Fås til: macOS Mojave 10.14.5

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2019-8663: natashenka fra Google Project Zero

Game Center

Fås til: macOS Mojave 10.14.5

Effekt: En lokal bruger kan muligvis læse et vedvarende konto-id

Beskrivelse: Problemet er løst med en ny rettighed.

CVE-2019-8702: Min (Spark) Zheng og Xiaolong Bai fra Alibaba Inc.

Grapher

Fås til: macOS Mojave 10.14.5

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8695: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

Grafikdrivere

Fås til: macOS Mojave 10.14.5 og macOS High Sierra 10.13.6

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2019-8691: Aleksandr Tarasikov (@astarasikov), Arash Tohidi fra Solita, Lilang Wu og Moony Li fra Trend Micros Mobile Security Research Team, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8692: Lilang Wu og Moony Li fra Trend Micro Mobile Security Research Team, der arbejder med Trend Micros Zero Day Initiative

Heimdal

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Effekt: Der var et problem i Samba, som muligvis lod hackere udføre uautoriserede handlinger ved at opfange kommunikation mellem tjenester

Beskrivelse: Problemet er løst ved hjælp af forbedret kontrol for at forhindre uautoriserede handlinger i at blive udført.

CVE-2018-16860: Isaac Boukris og Andrew Bartlett fra Samba Team og Catalyst

IOAcceleratorFamily

Fås til: macOS Mojave 10.14.5

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8694: Arash Tohidi fra Solita

libxslt

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Effekt: En hacker kan muligvis se følsomme oplysninger

Beskrivelse: Et problem med stackoverløb er løst ved hjælp af forbedret inputvalidering.

CVE-2019-13118: fundet af OSS-Fuzz

Vis

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Effekt: En hacker kan muligvis udløse use-after-free i et program, hvilket afslutter serialisering af en NSDictionary, der ikke er tillid til

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2019-8662: natashenka og Samuel Groß fra Google Project Zero

Safari

Fås til: macOS Mojave 10.14.5

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2019-8670: Tsubasa FUJII (@reinforchu)

Sikkerhed

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8697: ccpwd, der arbejder med Trend Micros Zero Day Initiative

sips

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) og pjf fra IceSword Lab hos Qihoo 360

Siri

Fås til: macOS Mojave 10.14.5

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8646: natashenka fra Google Project Zero

Time Machine

Fås til: macOS Mojave 10.14.5

Effekt: Krypteringsstatussen på en Time Machine-sikkerhedskopi kan være forkert

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2019-8667: Roland Kletzing fra cyber:con GmbH

UIFoundation

Fås til: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Effekt: Parsing af et skadeligt Office-dokument kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8657: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: macOS Mojave 10.14.5

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Der var et logikproblem i håndteringen af dokumentindlæsninger. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2019-8690: Sergei Glazunov fra Google Project Zero

WebKit

Fås til: macOS Mojave 10.14.5

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Der var et logikproblem i håndteringen af samtidige sideindlæsninger. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2019-8649: Sergei Glazunov fra Google Project Zero

WebKit

Fås til: macOS Mojave 10.14.5

Effekt: Behandling af webindhold med skadelig kode kan føre til universel scripting på tværs af websteder

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2019-8658: akayn, der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: macOS Mojave 10.14.5

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8644: G. Geshev, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8666: Zongming Wang (王宗明) og Zhe Jin (金哲) fra Chengdu Security Response Center hos Qihoo 360 Technology Co. Ltd.

CVE-2019-8669: akayn, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8671: Apple

CVE-2019-8672: Samuel Groß fra Google Project Zero

CVE-2019-8673: Soyeon Park og Wen Xu fra SSLab på Georgia Tech

CVE-2019-8676: Soyeon Park og Wen Xu fra SSLab på Georgia Tech

CVE-2019-8677: Jihui Lu fra Tencent KeenLab

CVE-2019-8678: en anonym programmør, Anthony Lai (@darkfloyd1014) fra Knownsec, Ken Wong (@wwkenwong) fra VXRL, Jeonghoon Shin (@singi21a) fra Theori, Johnny Yu (@straight_blast) fra VX Browser Exploitation Group, Chris Chan (@dr4g0nfl4me) fra VX Browser Exploitation Group, Phil Mok (@shadyhamsters) fra VX Browser Exploitation Group, Alan Ho (@alan_h0) fra Knownsec, Byron Wai fra VX Browser Exploitation

CVE-2019-8679: Jihui Lu fra Tencent KeenLab

CVE-2019-8680: Jihui Lu fra Tencent KeenLab

CVE-2019-8681: G. Geshev, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8683: lokihardt fra Google Project Zero

CVE-2019-8684: lokihardt fra Google Project Zero

CVE-2019-8685: akayn, Dongzhuo Zhao, der arbejder med ADLab fra Venustech, Ken Wong (@wwkenwong) fra VXRL, Anthony Lai (@darkfloyd1014) fra VXRL og Eric Lung (@Khlung1) fra VXRL

CVE-2019-8686: G. Geshev, der arbejder med Trend Micros Zero Day Initiative

CVE-2019-8687: Apple

CVE-2019-8688: Insu Yun fra SSLab på Georgia Tech

CVE-2019-8689: lokihardt fra Google Project Zero

Yderligere anerkendelser

Klasseværelse

Vi vil gerne takke Jeff Johnson fra underpassapp.com for hjælpen.

Game Center

Vi vil gerne takke Min (Spark) Zheng og Xiaolong Bai fra Alibaba Inc. for hjælpen.