Om sikkerhedsindholdet i macOS Catalina 10.15.4, sikkerhedsopdatering 2020-002 Mojave og sikkerhedsopdatering 2020-002 High Sierra

I dette dokument beskrives sikkerhedsindholdet i macOS Catalina 10.15.4, sikkerhedsopdatering 2020-002 Mojave og sikkerhedsopdatering 2020-002 High Sierra.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

macOS Catalina 10.15.4, sikkerhedsopdatering 2020-002 Mojave og sikkerhedsopdatering 2020-002 High Sierra

Udgivet 24. marts 2020

Konti

Fås til: macOS Catalina 10.15.3

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2020-9772: Allison Husain fra UC Berkeley

Post tilføjet 21. maj 2020

Apples HSSPI-support

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2020-3903: Proteas fra Qihoo 360 Nirvan Team

Post opdateret 1. maj 2020

AppleGraphicsControl

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret statusadministration.

CVE-2020-3904: Proteas fra Qihoo 360 Nirvan Team

AppleMobileFileIntegrity

Fås til: macOS Catalina 10.15.3

Effekt: Et program kan muligvis bruge vilkårlige rettigheder

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-3883: Linus Henze (pinauten.de)

Bluetooth

Fås til: macOS Catalina 10.15.3

Effekt: En hacker i en privilegeret netværksposition kan muligvis opfange Bluetooth-trafik

Beskrivelse: Der opstod et problem ved brug af en PRNG med lav entropi. Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2020-6616: Jörn Tillmanns (@matedealer) og Jiska Classen (@naehrdine) fra Secure Mobile Networking Lab

Post tilføjet 21. maj 2020

Bluetooth

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2020-9853: Yu Wang fra Didi Research America

Post tilføjet 21. maj 2020

Bluetooth

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Effekt: En lokal bruger kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen.

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-3907: Yu Wang fra Didi Research America

CVE-2020-3908: Yu Wang fra Didi Research America

CVE-2020-3912: Yu Wang fra Didi Research America

Bluetooth

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2020-3892: Yu Wang fra Didi Research America

CVE-2020-3893: Yu Wang fra Didi Research America

CVE-2020-3905: Yu Wang fra Didi Research America

Bluetooth

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2019-8853: Jianjun Dai fra Qihoo 360 Alpha Lab

Opkaldshistorik

Fås til: macOS Catalina 10.15.3

Effekt: Et skadeligt program kan muligvis få adgang til en brugers opkaldshistorik

Beskrivelse: Problemet blev løst med en ny rettighed.

CVE-2020-9776: Benjamin Randazzo (@____benjamin)

CoreBluetooth

Fås til: macOS Catalina 10.15.3

Effekt: En hacker kan lække følsomme brugeroplysninger

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-9828: Jianjun Dai fra Qihoo 360 Alpha Lab

Post tilføjet 13. maj 2020

CoreFoundation

Fås til: macOS Catalina 10.15.3

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Der var et problem med tilladelser. Problemet blev løst via forbedret validering af tilladelser.

CVE-2020-3913: Timo Christ fra Avira Operations GmbH & Co. KG

CoreText

Fås til: macOS Catalina 10.15.3

Effekt: Behandling af en skadelig sms kan medføre anvendelse af DoS (Denial of Service)

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2020-9829: Aaron Perris (@ aaronp613), en anonym programmør, en anonym programmør, Carlos S Tech, Sam Menzies fra Sam's Lounge, Sufiyan Gouri fra Lovely Professional University i Indien og Suleman Hasan Rathor fra Arabic-Classroom.com

Post tilføjet 21. maj 2020

CUPS

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2020-3898: Stephan Zeisberg (github.com/stze) fra Security Research Labs (srlabs.de)

Post tilføjet 8. april 2020

FaceTime

Fås til: macOS Catalina 10.15.3

Effekt: En lokal bruger kan muligvis få adgang til følsomme brugeroplysninger

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-3881: Yuval Ron, Amichai Shulman og Eli Biham fra Technion – Israel Institute of Technology

Symboler

Fås til: macOS Catalina 10.15.3

Effekt: Et skadeligt program kan muligvis identificere, hvilke andre programmer en bruger har installeret

Beskrivelse: Problemet er løst ved forbedret håndtering af symbolbuffere.

CVE-2020-9773: Chilik Tamir fra Zimperium zLabs

Intel Graphics Driver

Fås til: macOS Catalina 10.15.3

Effekt: Et skadeligt program kan muligvis afsløre beskyttet hukommelse

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.

CVE-2019-14615: Wenjian HE fra Hong Kong University of Science and Technology, Wei Zhang fra Hong Kong University of Science and Technology, Sharad Sinha fra Indian Institute of Technology Goa og Sanjeev Das fra University of North Carolina

IOHIDFamily

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2020-3919: Alex Plaskett fra F-Secure Consulting

Post opdateret 21. maj 2020

IOThunderboltFamily

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Et program kan få adgang til hævede rettigheder

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-3851: Xiaolong Bai og Min (Spark) Zheng fra Alibaba Inc. og Luyi Xing fra Indiana University Bloomington

Kernel

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.

CVE-2020-3914: pattern-f (@pattern_F_) fra WaCai

Kernel

Fås til: macOS Catalina 10.15.3

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret statusadministration.

CVE-2020-9785: Proteas fra Qihoo 360 Nirvan Team

libxml2

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Effekt: Flere problemer i libxml2

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2020-3909: LGTM.com

CVE-2020-3911: Fundet af OSS-Fuzz

libxml2

Fås til: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Effekt: Flere problemer i libxml2

Beskrivelse: Et bufferoverløbsproblem er løst med forbedret godkendelse af størrelse.

CVE-2020-3910: LGTM.com

Mail

Fås til: macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Effekt: En ekstern hacker kan muligvis forårsage kørsel af vilkårlig javascript-kode

Beskrivelse: Et problem med indsættelse er løst via forbedret godkendelse.

CVE-2020-3884: Apple

Udskrivning

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Effekt: Et skadeligt program kan overskrive vilkårlige arkiver

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2020-3915: En anonym programmør, der arbejder med iDefense Labs (https://vcp.idefense.com/), HyungSeok Han (DaramG) @Theori, der arbejder med TrendMicros Zero Day Initiative

Post tilføjet 1. maj 2020

Safari

Fås til: macOS Catalina 10.15.3

Effekt: En brugers private browseraktivitet arkiveres muligvis uventet i Skærmtid

Beskrivelse: Der opstod et problem med håndteringen af faner, der viser Billede i billede-videoer. Problemet blev løst med forbedret statusbehandling.

CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com) og Sambor Wawro fra STO64 School Krakow Poland

Post tilføjet 13. maj 2020

Sandbox

Fås til: macOS Catalina 10.15.3

Effekt: En bruger kan få adgang til beskyttede dele af arkivsystemet

Beskrivelse: Problemet blev løst med en ny rettighed.

CVE-2020-9771: Csaba Fitzl (@theevilbit) fra Offensive Security

Post tilføjet 21. maj 2020

Sandbox

Fås til: macOS Catalina 10.15.3

Effekt: En lokal bruger kan muligvis få adgang til følsomme brugeroplysninger

Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.

CVE-2020-3918: en anonym programmør og Augusto Alvarez fra Outcourse Limited

Post tilføjet 8. april 2020 og opdateret 21. maj 2020

sudo

Fås til: macOS Catalina 10.15.3

Effekt: En hacker kan muligvis køre kommandoer som en ikke-eksisterende bruger

Beskrivelse: Dette problem er løst ved at opdatere til sudo version 1.8.31.

CVE-2019-19232

sysdiagnose

Fås til: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Virkning: En applikation kan muligvis køre en sysdiagnose

Beskrivelse: Problemet er løst ved forbedret kontrol

CVE-2020-9786: Dayton Pidhirney (@_watbulb) fra Seekintoo (@seekintoo)

Post tilføjet 4. april 2020

TCC

Fås til: macOS Mojave 10.14.6, macOS Catalina 10.15.3

Effekt: Et skadeligt program kan tilsidesætte gennemførelse af kodesignering

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2020-3906: Patrick Wardle fra Jamf

Time Machine

Fås til: macOS Catalina 10.15.3

Effekt: En lokal bruger kan muligvis læse vilkårlige arkiver

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-3889: Lasse Trolle Borup fra Danish Cyber Defence

Vim

Fås til: macOS Catalina 10.15.3

Effekt: Flere problemer i Vim

Beskrivelse: Flere problemer blev løst ved opdatering til version 8.1.1850.

CVE-2020-9769: Steve Hahn fra LinkedIn

WebKit

Fås til: macOS Catalina 10.15.3

Effekt: Nogle websteder blev muligvis ikke vist under indstillingerne i Safari

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

Post tilføjet 8. april 2020

Yderligere anerkendelser

CoreText

Vi vil gerne takke en anonym programmør for hjælpen.

FireWire-lyd

Vi vil gerne takke Xiaolong Bai og Min (Spark) Zheng fra Alibaba Inc. og Luyi Xing fra Indiana University Bloomington for hjælpen.

FontParser

Vi vil gerne takke Matthew Denton fra Google Chrome for hjælpen.

Install Framework Legacy

Vi vil gerne takke Pris Sears fra Virginia Tech, Tom Lynch fra UAL Creative Computing Institute og en anonym programmør for hjælpen.

LinkPresentation

Vi vil gerne takke Travis for hjælpen.

OpenSSH

Vi vil gerne takke en anonym programmør for hjælpen.

rapportd

Vi vil gerne takke Alexander Heinrich (@Sn0wfreeze) fra Technische Universität Darmstadt for hjælpen.

Sidecar

Vi vil gerne takke Rick Backley (@rback_sec) for hjælpen.

sudo

Vi vil gerne takke Giorgio Oppo (linkedin.com/in/giorgio-oppo/) for hjælpen.

Post tilføjet 4. april 2020

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: