Om sikkerhedsindholdet i macOS Catalina 10.15.1, sikkerhedsopdatering 2019-001 og sikkerhedsopdatering 2019-006
Dette dokument beskriver sikkerhedsindholdet i macOS Catalina 10.15.1, sikkerhedsopdatering 2019-001 og sikkerhedsopdatering 2019-006.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
macOS Catalina 10.15.1, sikkerhedsopdatering 2019-001, sikkerhedsopdatering 2019-006
Accounts
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: En ekstern hacker kan lække hukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2019-8787: Steffen Klee fra Secure Mobile Networking Lab på Technische Universität Darmstadt
Accounts
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: AirDrop-overførsler kan uventet blive accepteret, når tilstanden Alle er slået til
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2019-8796: Allison Husain fra UC Berkeley
AirDrop
Fås til: macOS Catalina 10.15
Effekt: AirDrop-overførsler kan uventet blive accepteret, når tilstanden Alle er slået til
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2019-8796: Allison Husain fra UC Berkeley
AMD
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2019-8748: Lilang Wu og Moony Li fra Trend Micro Mobile Security Research Team
apache_mod_php
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: Flere problemer i PHP
Beskrivelse: Flere problemer blev løst ved at opdatere til PHP version 7.3.8.
CVE-2019-11041
CVE-2019-11042
APFS
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2019-8824: Mac, der arbejder med Trend Micros Zero Day Initiative
App Store
Fås til: macOS Catalina 10.15
Effekt: En lokal hacker kan muligvis logge ind på en konto tilhørende en bruger, som tidligere har logget ind, uden gyldige loginoplysninger.
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleGraphicsControl
Fås til: macOS Catalina 10.15
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2019-8817: Arash Tohidi
AppleGraphicsControl
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2019-8716: Zhiyi Zhang fra Codesafe Team hos Legendsec under Qi'anxin Group, Zhuo Liang fra Qihoo 360 Vulcan Team
Associated Domains
Fås til: macOS Catalina 10.15
Effekt: Forkert behandling af URL-adresser kan medføre eksfiltrering af data
Beskrivelse: Der var et problem med parsing af URL-adresser. Problemet er løst ved forbedret inputvalidering.
CVE-2019-8788: Juha Lindstedt fra Pakastin, Mirko Tanania, Rauli Rikama fra Zero Keyboard Ltd
Audio
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2019-8706: Yu Zhou fra Ant-financial Light-Year Security Lab
Audio
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2019-8785: Ian Beer fra Google Project Zero
CVE-2019-8797: 08Tc3wBB, der arbejder med SSD Secure Disclosure
Audio
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: Behandling af et skadeligt lydarkiv kan medføre afsløring af beskyttet hukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2019-8850: Anonym, der arbejder med Trend Micros Zero Day Initiative
Books
Fås til: macOS Catalina 10.15
Effekt: Parsing af et skadeligt iBooks-arkiv kan medføre afsløring af brugeroplysninger
Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.
CVE-2019-8789: Gertjan Franken fra imec-DistriNet, KU Leuven
Contacts
Fås til: macOS Catalina 10.15
Effekt: Behandling af en skadelig kontakt kan medføre efterligning af brugergrænsefladen
Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.
CVE-2017-7152: Oliver Paukstadt fra Thinking Objects GmbH (to.com)
CoreAudio
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: Afspilning af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2019-8592: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative
CoreAudio
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: Behandling af en skadelig film kan medføre afsløring af proceshukommelse
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2019-8705: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative
CoreMedia
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2019-8825: Fundet af GWP-ASan i Google Chrome
CUPS
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger
Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.
CVE-2019-8736: Pawel Gocyla fra ING Tech Poland (ingtechpoland.com)
CUPS
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: Behandling af streng med skadelig kode kan føre til beskadigelse af heap
Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.
CVE-2019-8767: Stephen Zeisberg
CUPS
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: En hacker med en privilegeret position kan muligvis fremkalde et DoS-angreb
Beskrivelse: Et Denial of Service-problem blev rettet via forbedret validering.
CVE-2019-8737: Pawel Gocyla fra ING Tech Poland (ingtechpoland.com)
File Quarantine
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder
Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.
CVE-2019-8509: CodeColorist fra Ant-Financial LightYear Labs
File System Events
Fås til: macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2019-8798: ABC Research s.r.o., der arbejder med Trend Micros Zero Day Initiative
Foundation
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2019-8746: natashenka og Samuel Groß fra Google Project Zero
Graphics
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: Behandlingen af en skadelig shader kan lede til uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2018-12152: Piotr Bania fra Cisco Talos
CVE-2018-12153: Piotr Bania fra Cisco Talos
CVE-2018-12154: Piotr Bania fra Cisco Talos
Graphics Driver
Fås til: macOS Catalina 10.15
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2019-8784: Vasiliy Vasilyev og Ilya Finogeev fra Webinar, LLC
Intel Graphics Driver
Fås til: macOS Catalina 10.15
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2019-8807: Yu Wang fra Didi Research America
IOGraphics
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen.
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2019-8759: En anden person fra 360 Nirvan Team
iTunes
Fås til: macOS Catalina 10.15
Effekt: Kørsel af iTunes-installeringsprogrammet i et ikke-godkendt bibliotek kan føre til vilkårlig kørsel af kode
Beskrivelse: Der var et problem med indlæsning af dynamisk bibliotek i indstillingen af iTunes. Problemet er løst med forbedret stisøgning.
CVE-2019-8801: Hou JingYi (@hjy79425575) fra Qihoo 360 CERT
Kernel
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Kernel
Fås til: macOS Catalina 10.15
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.
CVE-2019-8794: 08Tc3wBB, der arbejder med SSD Secure Disclosure
Kernel
Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2019-8717: Jann Horn fra Google Project Zero
CVE-2019-8786: Wen Xu fra Georgia Tech, Microsoft Offensive Security Research Intern
Kernel
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
Beskrivelse: Der var et problem med beskadiget hukommelse under behandling af IPv6-pakker. Problemet er løst ved forbedret hukommelsesstyring.
CVE-2019-8744: Zhuo Liang fra Qihoo 360 Vulcan Team
Kernel
Fås til: macOS Catalina 10.15
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er blevet rettet gennem forbedret låsning.
CVE-2019-8829: Jann Horn fra Google Project Zero
libxml2
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: Flere problemer i libxml2
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2019-8749: Fundet af OSS-Fuzz
CVE-2019-8756: Fundet af OSS-Fuzz
libxslt
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: Flere problemer i libxslt
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2019-8750: Fundet af OSS-Fuzz
manpages
Fås til: macOS High Sierra 10.13.6, macOS Catalina 10.15
Effekt: Et skadeligt program kan muligvis opnå rodrettigheder
Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.
CVE-2019-8802: Csaba Fitzl (@theevilbit)
PDFKit
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: En hacker kan muligvis eksfiltrere indholdet i en krypteret PDF
Beskrivelse: Der opstod et problem ved håndteringen af links i krypterede PDF'er. Problemet er løst ved at indsætte en bekræftelsesdialog.
CVE-2019-8772: Jens Müller fra Ruhr University Bochum, Fabian Ising fra FH Münster University of Applied Sciences, Vladislav Mladenov fra Ruhr University Bochum, Christian Mainka fra Ruhr University Bochum, Sebastian Schinzel fra FH Münster University of Applied Sciences og Jörg Schwenk fra Ruhr University Bochum
PluginKit
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: En lokal bruger kan muligvis tjekke, om der findes arbitrære arkiver
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2019-8708: En anonym programmør
PluginKit
Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2019-8715: En anonym programmør
Screen Sharing Server
Fås til: macOS Catalina 10.15
Effekt: En bruger, der deler sin skærm, er muligvis ikke i stand til at afslutte skærmdeling
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2019-8858: Saul van der Bijl fra Saul’s Place Counseling B.V.
System Extensions
Fås til: macOS Catalina 10.15
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et godkendelsesproblem med bekræftelsen af rettigheder. Problemet er løst ved forbedret godkendelse af procesrettigheder.
CVE-2019-8805: Scott Knight (@sdotknight) fra VMware Carbon Black TAU
UIFoundation
Fås til: macOS Catalina 10.15
Effekt: Et skadeligt HTML-dokument kan være i stand til at gengive iframes med følsomme brugeroplysninger
Beskrivelse: Der var et problem med "iframe"-elementer på tværs af oprindelsessteder. Problemet er løst ved forbedret sporing af sikkerhedsoprindelser.
CVE-2019-8754: Renee Trisberg fra SpectX
UIFoundation
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.
CVE-2019-8745: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative
UIFoundation
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2019-8831: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative
UIFoundation
Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6
Effekt: Parsing af et skadeligt tekstarkiv kan medføre afsløring af brugeroplysninger
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2019-8761: Renee Trisberg fra SpectX
Wi-Fi
Fås til: macOS Catalina 10.15
Effekt: En hacker inden for Wi-Fi-rækkevidde kan være i stand til at se en lille del af netværkstrafikken
Beskrivelse: Der var et logikproblem i håndteringen af statusovergange. Det er løst ved hjælp af forbedret statusadministration.
CVE-2019-15126: Milos Cermak fra ESET
Yderligere anerkendelser
CFNetwork
Vi vil gerne takke Lily Chen fra Google for hjælpen.
Find My
Vi vil gerne takke Amr Elseehy for hjælpen.
Kernel
Vi vil gerne takke Brandon Azad fra Google Project Zero, Daniel Roethlisberger fra Swisscom CSIRT, Jann Horn fra Google Project Zero for hjælpen.
libresolv
Vi vil gerne takke enh hos Google for hjælpen.
Local Authentication
Vi vil gerne takke Ryan Lopopolo for hjælpen.
mDNSResponder
Vi vil gerne takke Gregor Lang fra e.solutions GmbH for hjælpen.
Postfix
Vi vil gerne takke Chris Barker fra Puppet for hjælpen.
python
Vi vil gerne takke en anonym programmør for hjælpen.
VPN
Vi vil gerne takke Royce Gawron fra Second Son Consulting, Inc. for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.