Om sikkerhedsindholdet i macOS Catalina 10.15.1, sikkerhedsopdatering 2019-001 og sikkerhedsopdatering 2019-006

Dette dokument beskriver sikkerhedsindholdet i macOS Catalina 10.15.1, sikkerhedsopdatering 2019-001 og sikkerhedsopdatering 2019-006.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Catalina 10.15.1, sikkerhedsopdatering 2019-001, sikkerhedsopdatering 2019-006

Udgivet 29. oktober 2019

Konti

Fås til: macOS Catalina 10.15

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8787: Steffen Klee fra Secure Mobile Networking Lab på Technische Universität Darmstadt

App Store

Fås til: macOS Catalina 10.15

Effekt: En lokal hacker kan muligvis logge ind på en konto tilhørende en bruger, som tidligere har logget ind, uden gyldige loginoplysninger.

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8716: Zhiyi Zhang fra Codesafe Team of Legendsec hos Qi'anxin Group, Zhuo Liang fra Qihoo 360 Vulcan Team

Tilknyttede domæner

Fås til: macOS Catalina 10.15

Effekt: Forkert behandling af URL-adresser kan medføre eksfiltrering af data

Beskrivelse: Der var et problem med parsing af URL-adresser. Problemet er løst ved forbedret inputvalidering.

CVE-2019-8788: Juha Lindstedt fra Pakastin, Mirko Tanania, Rauli Rikama fra Zero Keyboard Ltd

Lyd

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2019-8706: Yu Zhou fra Ant-financial Light-Year Security Lab

Lyd

Fås til: macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8785: Ian Beer fra Google Project Zero

CVE-2019-8797: 08Tc3wBB, som arbejder med SSD Secure Disclosure

Bøger

Fås til: macOS Catalina 10.15

Effekt: Parsing af et skadeligt iBooks-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2019-8789: Gertjan Franken fra imec-DistriNet, KU Leuven

Kontakter

Fås til: macOS Catalina 10.15

Effekt: Behandling af en skadelig kontakt kan medføre efterligning af brugergrænsefladen

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2017-7152: Oliver Paukstadt fra Thinking Objects GmbH (to.com)

CoreAudio

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Afspilning af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode.

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8592: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 6. november 2019

CUPS

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.

CVE-2019-8736: Pawel Gocyla fra ING Tech Poland (ingtechpoland.com)

CUPS

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Behandling af streng med skadelig kode kan føre til beskadigelse af heap

Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.

CVE-2019-8767: Stephen Zeisberg

CUPS

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: En hacker med en privilegeret position kan muligvis fremkalde et DoS-angreb

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret validering.

CVE-2019-8737: Pawel Gocyla fra ING Tech Poland (ingtechpoland.com)

Arkivkarantæne

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2019-8509: CodeColorist fra Ant-Financial LightYear Labs

Filsystemhændelser

Fås til: macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8798: ABC Research s.r.o., som arbejder med Trend Micros Zero Day Initiative

Grafik

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Behandlingen af en skadelig shader kan lede til uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-12152: Piotr Bania fra Cisco Talos

CVE-2018-12153: Piotr Bania fra Cisco Talos

CVE-2018-12154: Piotr Bania fra Cisco Talos

Graphics Driver

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8784: Vasiliy Vasilyev og Ilya Finogeev fra Webinar, LLC

Intel Graphics Driver

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8807: Yu Wang fra Didi Research America

IOGraphics

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen.

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2019-8759: En anden fra 360 Nirvan Team

iTunes

Fås til: macOS Catalina 10.15

Effekt: Kørsel af iTunes-installeringsprogrammet i et ikke-godkendt bibliotek kan føre til vilkårlig kørsel af kode

Beskrivelse: Der var et problem med indlæsning af dynamisk bibliotek i indstillingen af iTunes. Problemet er løst med forbedret stisøgning.

CVE-2019-8801: Hou JingYi (@hjy79425575) fra Qihoo 360 CERT

Kernel

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2019-8794: 08Tc3wBB, som arbejder med SSD Secure Disclosure

Kernel

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8786: En anonym programmør

Kernel

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Der var et problem med beskadiget hukommelse under behandling af IPv6-pakker. Problemet er løst ved forbedret hukommelsesstyring.

CVE-2019-8744: Zhuo Liang fra Qihoo 360 Vulcan Team

Kernel

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er blevet rettet gennem forbedret låsning.

CVE-2019-8829: Jann Horn fra Google Project Zero

Post tilføjet 6. november 2019

libxml2

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Flere problemer i libxml2

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8749: Fundet af OSS-Fuzz

CVE-2019-8756: Fundet af OSS-Fuzz

libxslt

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Flere problemer i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8750: Fundet af OSS-Fuzz

manpages

Fås til: macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PluginKit

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: En lokal bruger kan muligvis tjekke, om der findes arbitrære arkiver

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2019-8708: En anonym programmør

PluginKit

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8715: En anonym programmør

Systemudvidelser

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Der var et godkendelsesproblem med bekræftelsen af rettigheder. Problemet er løst ved forbedret godkendelse af procesrettigheder.

CVE-2019-8805: Scott Knight (@sdotknight) fra VMware Carbon Black TAU

UIFoundation

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Parsing af et skadeligt tekstarkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2019-8761: Renee Trisberg fra SpectX

Yderligere anerkendelser

CFNetwork

Vi vil gerne takke Lily Chen fra Google for hjælpen.

Kernel

Vi vil gerne takke Brandon Azad fra Google Project Zero, Daniel Roethlisberger fra Swisscom CSIRT, Jann Horn fra Google Project Zero for hjælpen.

Post opdateret 6. november 2019

libresolv

Vi vil gerne takke enh hos Google for hjælpen.

Postfix

Vi vil gerne takke Chris Barker fra Puppet for hjælpen.

python

Vi vil gerne takke en anonym programmør for hjælpen.

VPN

Vi vil gerne takke Royce Gawron fra Second Son Consulting, Inc. for hjælpen.

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: