Om sikkerhedsindholdet i macOS Catalina 10.15.2, sikkerhedsopdatering 2019-002 Mojave og sikkerhedsopdatering 2019-007 High Sierra

Dette dokument beskriver sikkerhedsindholdet i macOS Catalina 10.15.2, sikkerhedsopdatering 2019-002 Mojave og sikkerhedsopdatering 2019-007 High Sierra.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Catalina 10.15.2, sikkerhedsopdatering 2019-002 Mojave og sikkerhedsopdatering 2019-007 High Sierra

Udgivet 10. december 2019

ATS

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et skadeligt program kan muligvis få adgang til begrænsede arkiver

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Post opdateret 18. december 2019

Bluetooth

Fås til: macOS Catalina 10.15

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2019-8853: Jianjun Dai fra Qihoo 360 Alpha Lab

CallKit

Fås til: macOS Catalina 10.15

Effekt: Opkald, der blev foretaget ved hjælp af Siri, kan være påbegyndt med det forkerte mobilabonnement på enheder med to aktive abonnementer

Beskrivelse: Der var et API-problem med håndteringen af udgående opkald, der blev påbegyndt med Siri. Problemet er løst ved forbedret statusbehandling.

CVE-2019-8856: Fabrice TERRANCLE fra TERRANCLE SARL

CFNetwork-proxyservere

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2019-8848: Zhuo Liang fra Qihoo 360 Vulcan Team

Post opdateret 18. december 2019

CUPS

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Ved nogle konfigurationer kan en hacker muligvis indsende vilkårlige udskriftsjob

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2019-8842: Niky1235 fra China Mobile

Post opdateret 18. december 2019

CUPS

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: En hacker med en privilegeret position kan muligvis fremkalde et DoS-angreb

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2019-8839: Stephan Zeisberg fra Security Research Labs

Post opdateret 18. december 2019

FaceTime

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Behandling af en skadelig video via FaceTime kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2019-8830: Natalie Silvanovich fra Google Project Zero

Post opdateret 18. december 2019

Kernel

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst ved at fjerne den sårbare kode.

CVE-2019-8833: Ian Beer fra Google Project Zero

Post opdateret 18. december 2019

Kernel

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8828: Cim Stordal fra Cognite

CVE-2019-8838: Dr. Silvio Cesare fra InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) fra WaCai

libexpat

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Dette problem er løst ved at opdatere til expat version 2.2.8.

CVE-2019-15903: Joonun Jang

Post opdateret 18. december 2019

OpenLDAP

Fås til: macOS Catalina 10.15

Effekt: Flere problemer i OpenLDAP

Beskrivelse: Flere problemer blev løst ved at opdatere til OpenLDAP version 2.4.28.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Sikkerhed

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2019-8832: Insu Yun fra SSLab på Georgia Tech

tcpdump

Fås til: macOS Catalina 10.15

Effekt: Flere problemer i tcpdump

Beskrivelse: Flere problemer blev løst ved at opdatere til tcpdump version 4.9.3 og libpcap version 1.9.1

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

CVE-2019-15166

CVE-2019-15167

Yderligere anerkendelser

Konti

Vi vil gerne takke Kishan Bagaria (KishanBagaria.com) og Tom Snelling fra Loughborough University for hjælpen.

Kernedata

Vi vil gerne takke Natalie Silvanovich fra Google Project Zero for hjælpen.

Finder

Vi vil gerne takke Csaba Fitzl (@theevilbit) for hjælpen.

Post tilføjet 18. december 2019

Kernel

Vi vil gerne takke Daniel Roethlisberger fra Swisscom CSIRT for hjælpen.

Post tilføjet 18. december 2019

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: