Om sikkerhedsindholdet i macOS Catalina 10.15.1, sikkerhedsopdatering 2019-001 og sikkerhedsopdatering 2019-006

Dette dokument beskriver sikkerhedsindholdet i macOS Catalina 10.15.1, sikkerhedsopdatering 2019-001 og sikkerhedsopdatering 2019-006.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Catalina 10.15.1, sikkerhedsopdatering 2019-001, sikkerhedsopdatering 2019-006

Accounts

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8787: Steffen Klee fra Secure Mobile Networking Lab på Technische Universität Darmstadt

Accounts

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: AirDrop-overførsler kan uventet blive accepteret, når tilstanden Alle er slået til

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2019-8796: Allison Husain fra UC Berkeley

AirDrop

Fås til: macOS Catalina 10.15

Effekt: AirDrop-overførsler kan uventet blive accepteret, når tilstanden Alle er slået til

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2019-8796: Allison Husain fra UC Berkeley

AMD

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8748: Lilang Wu og Moony Li fra Trend Micro Mobile Security Research Team

apache_mod_php

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: Flere problemer i PHP

Beskrivelse: Flere problemer blev løst ved at opdatere til PHP version 7.3.8.

CVE-2019-11041

CVE-2019-11042

APFS

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2019-8824: Mac, der arbejder med Trend Micros Zero Day Initiative

App Store

Fås til: macOS Catalina 10.15

Effekt: En lokal hacker kan muligvis logge ind på en konto tilhørende en bruger, som tidligere har logget ind, uden gyldige loginoplysninger.

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8716: Zhiyi Zhang fra Codesafe Team hos Legendsec under Qi'anxin Group, Zhuo Liang fra Qihoo 360 Vulcan Team

Associated Domains

Fås til: macOS Catalina 10.15

Effekt: Forkert behandling af URL-adresser kan medføre eksfiltrering af data

Beskrivelse: Der var et problem med parsing af URL-adresser. Problemet er løst ved forbedret inputvalidering.

CVE-2019-8788: Juha Lindstedt fra Pakastin, Mirko Tanania, Rauli Rikama fra Zero Keyboard Ltd

Audio

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2019-8706: Yu Zhou fra Ant-financial Light-Year Security Lab

Audio

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8785: Ian Beer fra Google Project Zero

CVE-2019-8797: 08Tc3wBB, der arbejder med SSD Secure Disclosure

Audio

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: Behandling af et skadeligt lydarkiv kan medføre afsløring af beskyttet hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8850: Anonym, der arbejder med Trend Micros Zero Day Initiative

Books

Fås til: macOS Catalina 10.15

Effekt: Parsing af et skadeligt iBooks-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2019-8789: Gertjan Franken fra imec-DistriNet, KU Leuven

Contacts

Fås til: macOS Catalina 10.15

Effekt: Behandling af en skadelig kontakt kan medføre efterligning af brugergrænsefladen

Beskrivelse: Et problem med en inkonsekvent brugerflade er løst ved forbedret statusadministration.

CVE-2017-7152: Oliver Paukstadt fra Thinking Objects GmbH (to.com)

CoreAudio

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: Afspilning af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8592: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

CoreAudio

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: Behandling af en skadelig film kan medføre afsløring af proceshukommelse

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2019-8705: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

CoreMedia

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2019-8825: Fundet af GWP-ASan i Google Chrome

CUPS

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: En hacker i en privilegeret netværksposition kan afsløre følsomme brugeroplysninger

Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.

CVE-2019-8736: Pawel Gocyla fra ING Tech Poland (ingtechpoland.com)

CUPS

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Behandling af streng med skadelig kode kan føre til beskadigelse af heap

Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.

CVE-2019-8767: Stephen Zeisberg

CUPS

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: En hacker med en privilegeret position kan muligvis fremkalde et DoS-angreb

Beskrivelse: Et Denial of Service-problem blev rettet via forbedret validering.

CVE-2019-8737: Pawel Gocyla fra ING Tech Poland (ingtechpoland.com)

File Quarantine

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2019-8509: CodeColorist fra Ant-Financial LightYear Labs

File System Events

Fås til: macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8798: ABC Research s.r.o., der arbejder med Trend Micros Zero Day Initiative

Foundation

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8746: natashenka og Samuel Groß fra Google Project Zero

Graphics

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Behandlingen af en skadelig shader kan lede til uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2018-12152: Piotr Bania fra Cisco Talos

CVE-2018-12153: Piotr Bania fra Cisco Talos

CVE-2018-12154: Piotr Bania fra Cisco Talos

Graphics Driver

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8784: Vasiliy Vasilyev og Ilya Finogeev fra Webinar, LLC

Intel Graphics Driver

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8807: Yu Wang fra Didi Research America

IOGraphics

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen.

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2019-8759: En anden person fra 360 Nirvan Team

iTunes

Fås til: macOS Catalina 10.15

Effekt: Kørsel af iTunes-installeringsprogrammet i et ikke-godkendt bibliotek kan føre til vilkårlig kørsel af kode

Beskrivelse: Der var et problem med indlæsning af dynamisk bibliotek i indstillingen af iTunes. Problemet er løst med forbedret stisøgning.

CVE-2019-8801: Hou JingYi (@hjy79425575) fra Qihoo 360 CERT

Kernel

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Kernel

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2019-8794: 08Tc3wBB, der arbejder med SSD Secure Disclosure

Kernel

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8717: Jann Horn fra Google Project Zero

CVE-2019-8786: Wen Xu fra Georgia Tech, Microsoft Offensive Security Research Intern

Kernel

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Der var et problem med beskadiget hukommelse under behandling af IPv6-pakker. Problemet er løst ved forbedret hukommelsesstyring.

CVE-2019-8744: Zhuo Liang fra Qihoo 360 Vulcan Team

Kernel

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er blevet rettet gennem forbedret låsning.

CVE-2019-8829: Jann Horn fra Google Project Zero

libxml2

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Flere problemer i libxml2

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8749: Fundet af OSS-Fuzz

CVE-2019-8756: Fundet af OSS-Fuzz

libxslt

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Flere problemer i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2019-8750: Fundet af OSS-Fuzz

manpages

Fås til: macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret logik.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: En hacker kan muligvis eksfiltrere indholdet i en krypteret PDF

Beskrivelse: Der opstod et problem ved håndteringen af links i krypterede PDF'er. Problemet er løst ved at indsætte en bekræftelsesdialog.

CVE-2019-8772: Jens Müller fra Ruhr University Bochum, Fabian Ising fra FH Münster University of Applied Sciences, Vladislav Mladenov fra Ruhr University Bochum, Christian Mainka fra Ruhr University Bochum, Sebastian Schinzel fra FH Münster University of Applied Sciences og Jörg Schwenk fra Ruhr University Bochum

PluginKit

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: En lokal bruger kan muligvis tjekke, om der findes arbitrære arkiver

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2019-8708: En anonym programmør

PluginKit

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8715: En anonym programmør

Screen Sharing Server

Fås til: macOS Catalina 10.15

Effekt: En bruger, der deler sin skærm, er muligvis ikke i stand til at afslutte skærmdeling

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2019-8858: Saul van der Bijl fra Saul’s Place Counseling B.V.

System Extensions

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Der var et godkendelsesproblem med bekræftelsen af rettigheder. Problemet er løst ved forbedret godkendelse af procesrettigheder.

CVE-2019-8805: Scott Knight (@sdotknight) fra VMware Carbon Black TAU

UIFoundation

Fås til: macOS Catalina 10.15

Effekt: Et skadeligt HTML-dokument kan være i stand til at gengive iframes med følsomme brugeroplysninger

Beskrivelse: Der var et problem med "iframe"-elementer på tværs af oprindelsessteder. Problemet er løst ved forbedret sporing af sikkerhedsoprindelser.

CVE-2019-8754: Renee Trisberg fra SpectX

UIFoundation

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2019-8745: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

UIFoundation

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8831: riusksk fra VulWar Corp, der arbejder med Trend Micros Zero Day Initiative

UIFoundation

Fås til: macOS Mojave 10.14.6 og macOS High Sierra 10.13.6

Effekt: Parsing af et skadeligt tekstarkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2019-8761: Renee Trisberg fra SpectX

Wi-Fi

Fås til: macOS Catalina 10.15

Effekt: En hacker inden for Wi-Fi-rækkevidde kan være i stand til at se en lille del af netværkstrafikken

Beskrivelse: Der var et logikproblem i håndteringen af statusovergange. Det er løst ved hjælp af forbedret statusadministration.

CVE-2019-15126: Milos Cermak fra ESET

Yderligere anerkendelser

CFNetwork

Vi vil gerne takke Lily Chen fra Google for hjælpen.

Find My

Vi vil gerne takke Amr Elseehy for hjælpen.

Kernel

Vi vil gerne takke Brandon Azad fra Google Project Zero, Daniel Roethlisberger fra Swisscom CSIRT, Jann Horn fra Google Project Zero for hjælpen.

libresolv

Vi vil gerne takke enh hos Google for hjælpen.

Local Authentication

Vi vil gerne takke Ryan Lopopolo for hjælpen.

mDNSResponder

Vi vil gerne takke Gregor Lang fra e.solutions GmbH for hjælpen.

Postfix

Vi vil gerne takke Chris Barker fra Puppet for hjælpen.

python

Vi vil gerne takke en anonym programmør for hjælpen.

VPN

Vi vil gerne takke Royce Gawron fra Second Son Consulting, Inc. for hjælpen.