Om sikkerhedsindholdet i macOS Catalina 10.15

I dette dokument beskrives sikkerhedsindholdet i macOS Catalina 10.15.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Catalina 10.15

Udgivet 7. oktober 2019

AMD

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8748: Lilang Wu og Moony Li fra TrendMicro Mobile Security Research Team

apache_mod_php

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: Flere problemer i PHP

Beskrivelse: Flere problemer blev løst ved at opdatere til PHP version 7.3.8.

CVE-2019-11041

CVE-2019-11042

CoreAudio

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: Behandling af en skadelig film kan medføre afsløring af proceshukommelse

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

VE-2019-8705: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

Crash Reporter

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: Indstillingen "Del Mac-analyse" bliver muligvis ikke deaktiveret, når en bruger fravælger deling af analyse

Beskrivelse: Der fandtes en konkurrencetilstand ved læsning og skrivning af brugerindstillinger. Dette er løst ved forbedret statusbehandling.

CVE-2019-8757: William Cerniuk fra Core Development, LLC

Intel Graphics Driver

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8758: Lilang Wu og Moony Li fra Trend Micro

IOGraphics

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2019-8755: Lilang Wu og Moony Li fra Trend Micro

Kernel

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8717: Jann Horn fra Google Project Zero

Kernel

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2019-8781: Linus Henze (pinauten.de)

Bemærkninger

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: En lokal bruger kan muligvis se en brugers låste noter

Beskrivelse: Indholdet af låste noter vises undertiden i søgeresultater. Problemet blev løst via forbedret oprydning i data.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) fra Virginia Polytechnic Institute and State University

PDFKit

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: En hacker kan muligvis eksfiltrere indholdet i en krypteret PDF

Beskrivelse: Der opstod et problem ved håndteringen af links i krypterede PDF'er. Problemet er løst ved at indsætte en bekræftelsesdialog.

CVE-2019-8772: Jens Müller fra Ruhr University Bochum, Fabian Ising fra FH Münster University of Applied Sciences, Vladislav Mladenov fra Ruhr University Bochum, Christian Mainka fra Ruhr University Bochum, Sebastian Schinzel fra FH Münster University of Applied Sciences og Jörg Schwenk fra Ruhr University Bochum

SharedFileList

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: Et skadeligt program kan muligvis få adgang til seneste dokumenter

Beskrivelse: Problemet er løst med forbedret tilladelseslogik.

CVE-2019-8770: Stanislav Zinukhov fra Parallels International GmbH

sips

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) og pjf fra IceSword Lab of Qihoo 360

UIFoundation

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2019-8745: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: Et besøg på et skadeligt websted kan afsløre browserhistorikken

Beskrivelse: Der opstod et problem med tegning af webstedselementer. Problemet er løst med forbedret logik.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Fås til: MacBook (primo 2015 og nyere), MacBook Air (medio 2012 og nyere), MacBook Pro (medio 2012 og nyere), Mac mini (ultimo 2012 og nyere), iMac (ultimo 2012 og nyere), iMac Pro (alle modeller), Mac Pro (ultimo 2013 og nyere)

Effekt: En bruger kan muligvis ikke slette emner i browserhistorikken

Beskrivelse: Historikken blev ikke ryddet med "Ryd historik og webstedsdata". Problemet er løst ved forbedret datasletning.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Yderligere anerkendelser

boringssl

Vi vil gerne takke Thijs Alkemade (@xnyhps) fra Computest for hjælpen.

Post tilføjet 8. oktober 2019

Finder

Vi vil gerne takke Csaba Fitzl (@theevilbit) for hjælpen.

Gatekeeper

Vi vil gerne takke Csaba Fitzl (@theevilbit) for hjælpen.

Import af data fra Safari

Vi vil gerne takke Kent Zoya for hjælpen.

SCEP (Simple certificate enrollment protocol)

Vi vil gerne takke en anonym programmør for hjælpen.

Telefoni

Vi vil gerne takke Phil Stokes fra SentinelOne for hjælpen.

 

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: