Informationen zum Sicherheitsinhalt von macOS Catalina 10.15

In diesem Dokument wird der Sicherheitsinhalt von macOS Catalina 10.15 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit.

macOS Catalina 10.15

Veröffentlicht am 7. Oktober 2019

AMD

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8748: Lilang Wu und Moony Li vom Trend Micro Mobile Security Research Team

apache_mod_php

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Mehrere Probleme in PHP

Beschreibung: Mehrere Probleme wurden durch das Update von PHP auf Version 7.3.8 behoben.

CVE-2019-11041

CVE-2019-11042

CoreAudio

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Films kann zur Preisgabe des Prozessspeichers führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-8705: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Crash Reporter

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Die Einstellung "Mac-Analysedaten mit Apple teilen" wird möglicherweise nicht deaktiviert, wenn ein Benutzer die Option zum Teilen der Analysedaten deaktiviert

Beschreibung: Beim Lesen und Schreiben der Benutzereinstellungen trat eine Race-Bedingung auf. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2019-8757: William Cerniuk von Core Development, LLC

Intel-Grafiktreiber

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8758: Lilang Wu und Moony Li von Trend Micro

IOGraphics

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2019-8755: Lilang Wu und Moony Li von Trend Micro

Kernel

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8717: Jann Horn von Google Project Zero

Kernel

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8781: Linus Henze (pinauten.de)

Hinweise

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Ein lokaler Benutzer könnte in der Lage sein, die gelöschten Notizen eines Benutzers zu sehen.

Beschreibung: Die Inhalte gesperrter Notizen erschienen manchmal in den Suchergebnissen. Dieses Problem wurde durch eine verbesserte Datenbereinigung behoben.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) von der Virginia Polytechnic Institute and State University

PDFKit

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Ein Angreifer kann den Inhalt einer verschlüsselten PDF-Datei abfangen.

Beschreibung: Bei der Verarbeitung von Links in verschlüsselten PDF-Dateien trat ein Problem auf. Dieses Problem wurde durch das Hinzufügen einer Bestätigungsaufforderung behoben.

CVE-2019-8772: Jens Müller, Vladislav Mladenov, Christian Mainka und Jörg Schwenk von der Ruhr-Universität Bochum sowie Fabian Ising und Sebastian Schinzel von der FH Münster University of Applied Sciences

SharedFileList

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Ein Schadprogramm kann möglicherweise auf die neuesten Dokumente zugreifen

Beschreibung: Das Problem wurde durch verbesserte Berechtigungslogik behoben.

CVE-2019-8770: Stanislav Zinukhov von der Parallels International GmbH

sips

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) und pjf vom IceSword Lab von Qihoo 360

UIFoundation

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8745: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

WebKit

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Der Besuch einer in böser Absicht erstellten Website kann zur Offenlegung des Browserverlaufs führen

Beschreibung: Beim Darstellen von Webseitenelementen ist ein Problem aufgetreten. Das Problem wurde durch verbesserte Logik behoben.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Verfügbar für: MacBook (Anfang 2015 und neuer), MacBook Air (Mitte 2012 und neuer), MacBook Pro (Mitte 2012 und neuer), Mac mini (Ende 2012 und neuer), iMac (Ende 2012 und neuer), iMac Pro (alle Modelle), Mac Pro (Ende 2013 und neuer)

Auswirkung: Ein Benutzer kann unter Umständen keine Verlaufsobjekte löschen.

Beschreibung: "Verlauf und Websitedaten löschen" hat den Verlauf nicht gelöscht. Das Problem wurde durch ein verbessertes Löschen von Daten behoben.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Zusätzliche Danksagung

Finder

Wir möchten uns bei Csaba Fitzl (@theevilbit) für die Unterstützung bedanken.

Gatekeeper

Wir möchten uns bei Csaba Fitzl (@theevilbit) für die Unterstützung bedanken.

Safari-Datenimport

Wir möchten uns bei Kent Zoya für die Unterstützung bedanken.

Simple Certificate Enrollment-Protokoll (SCEP)

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Telefonie

Wir möchten uns bei Phil Stokes von SentinelOne für die Unterstützung bedanken.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: