Informationen zum Sicherheitsinhalt von macOS Catalina 10.15

In diesem Dokument wird der Sicherheitsinhalt von macOS Catalina 10.15 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

macOS Catalina 10.15

Veröffentlicht am 7. Oktober 2019

AMD

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8748: Lilang Wu und Moony Li vom Trend Micro Mobile Security Research Team

apache_mod_php

Auswirkung: Mehrere Probleme in PHP

Beschreibung: Mehrere Probleme wurden durch das Update von PHP auf Version 7.3.8 behoben.

CVE-2019-11041

CVE-2019-11042

Audio

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8706: Yu Zhou vom Ant-Financial Light-Year Security Lab

Eintrag am 29. Oktober 2019 hinzugefügt

Audio

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann begrenzten Speicher aufweisen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8850: Anonymous in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 4. Dezember 2019 hinzugefügt

Books

Auswirkung: Die Analyse einer in böser Absicht erstellten iBooks-Datei kann zu einem dauerhaften Denial-of-Service führen

Beschreibung: Ein Problem mit der Ressourcenausschöpfung wurde durch eine bessere Eingabeüberprüfung behoben.

CVE-2019-8774: Gertjan Franken imec-DistriNet der KU Leuven

Eintrag am 29. Oktober 2019 hinzugefügt

CFNetwork

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2019-8753: Łukasz Pilorz von Standard Chartered GBS Poland

Eintrag am 29. Oktober 2019 hinzugefügt

CoreAudio

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Films kann zur Preisgabe des Prozessspeichers führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-8705: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CoreAudio

Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Audiodatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8592: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am Mittwoch, 6. November 2019 hinzugefügt

CoreCrypto

Auswirkung: Die Verarbeitung einer großen Eingabe kann zu einem Denial-of-Service führen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8741: Nicky Mouha von NIST

Eintrag am 29. Oktober 2019 hinzugefügt

CoreMedia

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8825: gefunden von GWP-ASan in Google Chrome

Eintrag am 29. Oktober 2019 hinzugefügt

Crash Reporter

Auswirkung: Die Einstellung "Mac-Analysedaten mit Apple teilen" wird möglicherweise nicht deaktiviert, wenn ein Benutzer die Option zum Teilen der Analysedaten deaktiviert

Beschreibung: Beim Lesen und Schreiben der Benutzereinstellungen trat eine Race-Bedingung auf. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2019-8757: William Cerniuk von Core Development, LLC

CUPS

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann vertrauliche Benutzerdaten offenlegen

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8736: Pawel Gocyla von ING Tech Poland (ingtechpoland.com)

Eintrag am 29. Oktober 2019 hinzugefügt

CUPS

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Strings kann zu einer Heapbeschädigung führen.

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8767: Stephen Zeisberg

Eintrag am 29. Oktober 2019 hinzugefügt

CUPS

Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2019-8737: Pawel Gocyla von ING Tech Poland (ingtechpoland.com)

Eintrag am 29. Oktober 2019 hinzugefügt

dyld

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8776: Jann Horn von Google Project Zero

Eintrag am 3. Februar 2020 hinzugefügt

File Quarantine

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2019-8509: CodeColorist von Ant-Financial Light-Year Labs

Eintrag am 29. Oktober 2019 hinzugefügt

Foundation

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8746: natashenka und Samuel Groß von Google Project Zero

Eintrag am 29. Oktober 2019 hinzugefügt

Graphics

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Shaders kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-12152: Piotr Bania von Cisco Talos

CVE-2018-12153: Piotr Bania von Cisco Talos

CVE-2018-12154: Piotr Bania von Cisco Talos

Eintrag am 29. Oktober 2019 hinzugefügt

IOGraphics

Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch verursachen oder Kernelspeicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8759: 360 Nirvan Team

Eintrag am 29. Oktober 2019 hinzugefügt

Intel Graphics Driver

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8758: Lilang Wu und Moony Li von Trend Micro

IOGraphics

Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2019-8755: Lilang Wu und Moony Li von Trend Micro

Kernel

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Dieses Problem wurde durch verbesserte Berechtigungen behoben.

CVE-2019-8703: Ein anonymer Forscher

Eintrag am 16. März 2021 hinzugefügt

Kernel

Auswirkung: Eine lokale App könnte einen Persistent Identifier für einen Account abrufen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2019-8809: Apple

Eintrag am 29. Oktober 2019 hinzugefügt

Kernel

Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.

Beschreibung: Bei der Verarbeitung von IPv6-Paketen trat ein Speicherfehler auf. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8744: Zhuo Liang vom Qihoo 360 Vulcan Team

Eintrag am 29. Oktober 2019 hinzugefügt

Kernel

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8717: Jann Horn von Google Project Zero

Kernel

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

Eintrag am 29. Oktober 2019 aktualisiert

libxml2

Auswirkung: Mehrere Probleme in libxml2

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8749: gefunden von OSS-Fuzz

CVE-2019-8756: gefunden von OSS-Fuzz

Eintrag am 29. Oktober 2019 hinzugefügt

libxslt

Auswirkung: Mehrere Probleme in libxml

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8750: gefunden von OSS-Fuzz

Eintrag am 29. Oktober 2019 hinzugefügt

mDNSResponder

Auswirkung: Ein Angreifer in physischer Nähe kann möglicherweise Gerätenamen in der AWDL-Kommunikation passiv beobachten

Beschreibung: Dieses Problem wurde behoben, indem Gerätenamen durch eine zufällige Kennung ersetzt wurden.

CVE-2019-8799: David Kreitschmann und Milan Stute vom Secure Mobile Networking Lab der Technischen Universität Darmstadt

Eintrag am 29. Oktober 2019 hinzugefügt

Menus

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8826: Gefunden von GWP-ASan in Google Chrome

Eintrag am 29. Oktober 2019 hinzugefügt

Notes

Auswirkung: Ein lokaler Benutzer könnte in der Lage sein, die gelöschten Notizen eines Benutzers zu sehen.

Beschreibung: Die Inhalte gesperrter Notizen erschienen manchmal in den Suchergebnissen. Dieses Problem wurde durch eine verbesserte Datenbereinigung behoben.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) von der Virginia Polytechnic Institute and State University

PDFKit

Auswirkung: Ein Angreifer kann den Inhalt einer verschlüsselten PDF-Datei abfangen.

Beschreibung: Bei der Verarbeitung von Links in verschlüsselten PDF-Dateien trat ein Problem auf. Dieses Problem wurde durch das Hinzufügen einer Bestätigungsaufforderung behoben.

CVE-2019-8772: Jens Müller, Vladislav Mladenov, Christian Mainka und Jörg Schwenk von der Ruhr-Universität Bochum sowie Fabian Ising und Sebastian Schinzel von der FH Münster University of Applied Sciences

PluginKit

Auswirkung: Ein lokaler Benutzer kann die Existenz willkürlicher Dateien überprüfen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2019-8708: Ein anonymer Forscher

Eintrag am 29. Oktober 2019 hinzugefügt

PluginKit

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8715: Ein anonymer Forscher

Eintrag am 29. Oktober 2019 hinzugefügt

Sandbox

Auswirkung: Ein Schadprogramm kann möglicherweise auf beschränkte Dateien zugreifen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2019-8855: Apple

Eintrag am 18. Dezember 2019 hinzugefügt

SharedFileList

Auswirkung: Ein Schadprogramm kann möglicherweise auf die neuesten Dokumente zugreifen

Beschreibung: Das Problem wurde durch verbesserte Berechtigungslogik behoben.

CVE-2019-8770: Stanislav Zinukhov von der Parallels International GmbH

sips

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) und pjf vom IceSword Lab von Qihoo 360

UIFoundation

Auswirkung: Die Analyse einer schadhaften Textdatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2019-8761: Renee Trisberg von SpectX

Eintrag am 10. August 2020 und am 21. Juli 2021 aktualisiert

UIFoundation

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8745: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

UIFoundation

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8831: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Eintrag am 18. November 2019 hinzugefügt

WebKit

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Offenlegung des Browserverlaufs führen

Beschreibung: Beim Darstellen von Webseitenelementen ist ein Problem aufgetreten. Das Problem wurde durch verbesserte Logik behoben.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Auswirkung: Ein Benutzer kann unter Umständen keine Verlaufsobjekte löschen.

Beschreibung: "Verlauf und Websitedaten löschen" hat den Verlauf nicht gelöscht. Das Problem wurde durch ein verbessertes Löschen von Daten behoben.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Wi-Fi

Auswirkung: Ein Gerät kann möglicherweise durch seine WLAN-MAC-Adresse passiv nachverfolgt werden.

Beschreibung: Ein Problem mit dem Datenschutz von Benutzerdaten wurde behoben, indem die Broadcast-MAC-Adresse entfernt wurde.

CVE-2019-8854: FuriousMacTeam von der United States Naval Academy und der Mitre Cooperation, Ta-Lun Yen von UCCU Hacker

Eintrag am 4. Dezember 2019 hinzugefügt und am 18. Dezember 2019 aktualisiert

Zusätzliche Danksagung

AppleRTC

Wir möchten uns bei Vitaly Cheptsov für die Unterstützung bedanken.

Eintrag am 29. Oktober 2019 hinzugefügt

Audio

Wir danken riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro für die Unterstützung.

Eintrag am 29. Oktober 2019 hinzugefügt

boringssl

Wir möchten uns bei Nimrod Aviram von der Universität Tel Aviv, Robert Merget von der Ruhr-Universität Bochum, Juraj Somorovsky von der Ruhr-Universität Bochum und Thijs Alkemade (@xnyhps) von Computest für die Unterstützung bedanken.

Eintrag am 8. Oktober 2019 hinzugefügt und am 29. Oktober 2019 aktualisiert

curl

Wir möchten uns bei Joseph Barisa vom School District of Philadelphia für die Unterstützung bedanken.

Eintrag am 3. Februar 2020 hinzugefügt und am 11. Februar 2020 aktualisiert

Finder

Wir möchten uns bei Csaba Fitzl (@theevilbit) für die Unterstützung bedanken.

Gatekeeper

Wir möchten uns bei Csaba Fitzl (@theevilbit) für die Unterstützung bedanken.

Identity Service

Wir möchten uns bei Yiğit Can YILMAZ (@yilmazcanyigit) für die Unterstützung bedanken.

Eintrag am 29. Oktober 2019 hinzugefügt

Kernel

Wir möchten uns bei Brandon Azad von Google Project Zero und Vlad Tsyrklevich für die Unterstützung bedanken.

Eintrag am 28. Juli 2020 aktualisiert

Local Authentication

Wir möchten uns bei Ryan Lopopolo für die Unterstützung bedanken.

Eintrag am 3. Februar 2020 hinzugefügt

mDNSResponder

Wir möchten uns bei Gregor Lang von der e.solutions GmbH für die Unterstützung bedanken.

Eintrag am 29. Oktober 2019 hinzugefügt

Python

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Eintrag am 29. Oktober 2019 hinzugefügt

Safari Data Importing

Wir möchten uns bei Kent Zoya für die Unterstützung bedanken.

Security

Wir möchten uns bei Pepijn Dutour Geerling (pepijn.io) und einem anonymen Forscher für die Unterstützung bedanken.

Eintrag am 18. November 2019 hinzugefügt

Simple Certificate Enrollment-Protokoll (SCEP)

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Siri

Wir möchten uns bei Yuval Ron, Amichai Shulman und Eli Biham vom Technion des Israel Institute of Technology für die Unterstützung bedanken.

Eintrag am 4. Dezember 2019 hinzugefügt und am 18. Dezember 2019 aktualisiert

Telephony

Wir möchten uns bei Phil Stokes von SentinelOne für die Unterstützung bedanken.

VPN

Wir möchten uns bei Royce Gawron von Second Son Consulting, Inc. für die Unterstützung bedanken.

Eintrag am 29. Oktober 2019 hinzugefügt

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: 06. November 2023