Informationen zum Sicherheitsinhalt von macOS Mojave 10.14.5, Sicherheitsupdate 2019-003 High Sierra und Sicherheitsupdate 2019-003 Sierra

In diesem Dokument wird der Sicherheitsinhalt von macOS Mojave 10.14.5, Sicherheitsupdate 2019-003 High Sierra und Sicherheitsupdate 2019-003 Sierra beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit.

macOS Mojave 10.14.5, Sicherheitsupdate 2019-003 High Sierra, Sicherheitsupdate 2019-003 Sierra

Veröffentlicht am 13. Mai 2019

Bedienungshilfen-Framework

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2019-8603: Phoenhex und qwerty (@_niklasb, @qwertyoruiopz, @bkth_) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

AMD

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8635: Lilang Wu und Moony Li vom Trend Micro Mobile Security Research Team in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Programm-Firewall

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2019-8590: Britisches National Cyber Security Centre (NCSC)

CoreAudio

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Fehlerverarbeitung behoben.

CVE-2019-8592: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CoreAudio

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Filmdatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8585: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

DesktopServices

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Eine schadhafte Anwendung kann Gatekeeper-Überprüfungen umgehen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2019-8589: Andreas Clementi, Stefan Haselwanter und Peter Stelzhammer von AV-Comparatives

Disk-Images

Verfügbar für: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2019-8560: Nikita Pupyshev von der Staatlichen Technischen Universität Moskau "Bauman"

Eintrag am 14. Mai 2019 aktualisiert

EFI

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Ein Benutzer kann unerwarteterweise beim Account eines anderen Benutzers angemeldet sein.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8634: Jenny Sprenger und Maik Hoepfel

Intel-Grafiktreiber

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8616: Lilang Wu und Moony Li vom Trend Micro Mobile Security Research Team in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Intel-Grafiktreiber

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.4

Auswirkung: Eine Anwendung kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8629: Arash Tohidi von Solita Oy

IOAcceleratorFamily

Verfügbar für: macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4456: Tyler Bohan von Cisco Talos

IOKit

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.4

Auswirkung: Ein lokaler Benutzer kann unsignierte Kernel-Erweiterungen laden.

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung der Symlinks behoben.

CVE-2019-8606: Phoenhex und qwerty (@_niklasb, @qwertyoruiopz, @bkth_) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Kernel

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8525: Zhuo Liang und shrek_wzw vom Qihoo 360 Nirvan Team

Eintrag am 14. Mai 2019 hinzugefügt

Kernel

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Remote-Angreifer kann ein Speicherleck verursachen.

Beschreibung: Es bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dies führte dazu, dass Inhalte des Kernelspeichers offengelegt wurden. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8547: derrek (@derrekr6)

Eintrag am 14. Mai 2019 hinzugefügt

Kernel

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Systemrechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8605: Ned Williamson in Zusammenarbeit mit Google Project Zero

Kernel

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Ein lokaler Benutzer kann einen unerwarteten Systemabbruch verursachen oder Kernel-Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8576: Brandon Azad von Google Project Zero, unho Jang und Hanul Choi vom LINE Security Team

Kernel

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Auswirkung: Eine Anwendung kann einen unerwarteten Systemabbruch verursachen oder in den Kernel-Speicher schreiben.

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8591: Ned Williamson in Zusammenarbeit mit Google Project Zero

Microcode

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Load-Ports sowie Füll- und Speicherpuffer in Systemen mit Mikroprozessoren, die das Verfahren "speculative execution" (spekulative Ausführung) nutzen, können einem Angreifer mit lokalem Benutzerzugriff die Offenlegung von Informationen über einen Seitenkanal erlauben.

Beschreibung: Mehrere Probleme im Hinblick auf die Offenlegung von Informationen wurden teilweise behoben, indem der Microcode aktualisiert und der OS-Scheduler geändert wurde, um das System von den Webinhalten im Browser zu isolieren. Zur vollständigen Behebung dieser Probleme können zusätzliche Schutzmaßnahmen aktiviert werden: das Deaktivieren von Hyper-Threading und das standardmäßige Aktivieren von Microcode-basierten Schutzmaßnahmen für alle Prozesse. Einzelheiten zu den Schutzmaßnahmen finden sich unter https://support.apple.com/de-de/HT210107.

CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu und Rodrigo Branco von Intel; Lei Shi von Qihoo 360 CERT; Marina Minkin; Daniel Genkin von der University of Michigan; und Yuval Yarom von der University of Adelaide

CVE-2018-12127: Brandon Falk vom Microsoft Windows Platform Security Team und Ke Sun, Henrique Kawakami, Kekai Hu und Rodrigo Branco von Intel

CVE-2018-12130: Giorgi Maisuradze von Microsoft Research; Ke Sun, Henrique Kawakami, Kekai Hu und Rodrigo Branco von Intel; Moritz Lipp, Michael Schwarz und Daniel Gruss von der Technischen Universität Graz; Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos und Cristiano Giuffrida von der VUSec-Gruppe an der Freien Universität Amsterdam; Volodymyr Pikhur; und Dan Horea Lutas von BitDefender

CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu und Rodrigo Branco von Intel und Moritz Lipp, Michael Schwarz und Daniel Gruss von der Technischen Universität Graz

Eintrag am 14. Mai 2019 hinzugefügt

Sicherheit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8604: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

SQLite

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Eine Anwendung kann erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Problem bei der Eingabeüberprüfung wurde durch eine verbesserte Arbeitsspeicherverwaltung behoben.

CVE-2019-8577: Omer Gull von Checkpoint Research

SQLite

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8600: Omer Gull von Checkpoint Research

SQLite

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8598: Omer Gull von Checkpoint Research

SQLite

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Ein Schadprogramm kann die Rechte erhöhen.

Beschreibung: Ein Speicherfehler wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2019-8602: Omer Gull von Checkpoint Research

StreamingZip

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Ein lokaler Benutzer kann geschützte Bereiche des Dateisystems ändern.

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung der Symlinks behoben.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

sysdiagnose

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8574: Dayton Pidhirney (@_watbulb) von Seekintoo (@seekintoo)

Touch Bar-Unterstützung

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8569: Viktor Oreshkin (@stek29)

WebKit

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6237: G. Geshev in Zusammenarbeit mit der Zero Day Initiative von Trend Micro, Liu Long vom Qihoo 360 Vulcan Team

CVE-2019-8571: 01 in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8583: sakura vom Xuanwu Lab von Tencent, jessica (@babyjess1ca_) vom Keen Lab von Tencent und dwfault vom ADLab von Venustech

CVE-2019-8584: G. Geshev von MWR Labs in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8586: Ein anonymer Forscher

CVE-2019-8587: G. Geshev in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8594: Suyoung Lee und Sooel Son vom Web Security & Privacy Lab von KAIST und HyungSeok Han und Sang Kil Cha vom SoftSec Lab von KAIST

CVE-2019-8595: G. Geshev von MWR Labs in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8596: Wen Xu vom SSLab der Georgia Tech

CVE-2019-8597: 01 in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8601: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8608: G. Geshev in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8609: Wen Xu vom SSLab der Georgia Tech

CVE-2019-8610: Ein anonymer Forscher in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8611: Samuel Groß von Google Project Zero

CVE-2019-8615: G. Geshev von MWR Labs in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-8619: Wen Xu vom SSLab der Georgia Tech und Hanqing Zhao vom Chaitin Security Research Lab

CVE-2019-8622: Samuel Groß von Google Project Zero

CVE-2019-8623: Samuel Groß von Google Project Zero

CVE-2019-8628: Wen Xu vom SSLab der Georgia Tech und Hanqing Zhao vom Chaitin Security Research Lab

WebKit

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Durch die Verarbeitung von in böser Absicht erstellten Webinhalten kann Prozessspeicher offengelegt werden.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8607: Junho Jang und Hanul Choi vom LINE Security Team

WLAN

Verfügbar für: macOS Mojave 10.14.4

Auswirkung: Ein Angreifer an einer privilegierten Netzwerkposition kann den Treiberstatus ändern.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8612: Milan Stute vom Secure Mobile Networking Lab der Technischen Universität Darmstadt

Eintrag am 14. Mai 2019 hinzugefügt

Zusätzliche Danksagung

CoreFoundation

Wir möchten uns bei m4bln, Xiangqian Zhang, Huiming Liu vom Xuanwu Lab von Tencent, Vozzie und Rami für die Unterstützung bedanken.

Eintrag am 14. Mai 2019 aktualisiert

Kernel

Wir möchten uns bei Denis Kopyrin für die Unterstützung bedanken.

Eintrag am 14. Mai 2019 aktualisiert

PackageKit

Wir möchten uns bei Csaba Fitzl (@theevilbit) für die Unterstützung bedanken.

Safari

Wir möchten uns bei Michael Ball von Gradescope von Turnitin für die Unterstützung bedanken.

Systemeinstellungen

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: