Informationen zu Apple-Sicherheitsupdates
Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.
Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.
Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.
macOS Catalina 10.15.2, Sicherheitsupdate 2019-002 Mojave, Sicherheitsupdate 2019-007 High Sierra
Veröffentlicht am 10. Dezember 2019
ATS
Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Auswirkung: Ein Schadprogramm kann möglicherweise auf beschränkte Dateien zugreifen.
Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.
CVE-2019-8837: Csaba Fitzl (@theevilbit)
Eintrag am 18. Dezember 2019 aktualisiert
Bluetooth
Verfügbar für: macOS Catalina 10.15
Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.
Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.
CVE-2019-8853: Jianjun Dai von Qihoo 360 Alpha Lab
CallKit
Verfügbar für: macOS Catalina 10.15
Auswirkung: Mithilfe von Siri getätigte Anrufe können bei Geräten mit zwei aktiven Mobilfunktarifen über den falschen Mobilfunktarif eingeleitet werden.
Beschreibung: Bei der Verarbeitung von ausgehenden Telefonanrufen, die mithilfe von Siri getätigt wurden, lag ein API-Problem vor. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.
CVE-2019-8856: Fabrice TERRANCLE von TERRANCLE SARL
CFNetwork-Proxys
Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2019-8848: Zhuo Liang vom Qihoo 360 Vulcan Team
Eintrag am 18. Dezember 2019 aktualisiert
CFNetwork
Verfügbar für: macOS Catalina 10.15
Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann möglicherweise für eine bestimmte Anzahl von Top-Level-Domänen, die zuvor nicht in der HSTS-Preloadliste aufgeführt waren, HSTS umgehen.
Beschreibung: Ein Konfigurationsproblem wurde durch zusätzliche Einschränkungen behoben.
CVE-2019-8834: Rob Sayre (@sayrer)
Eintrag am 3. Februar 2020 hinzugefügt
CUPS
Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Auswirkung: In bestimmten Konfigurationen kann ein entfernter Angreifer willkürliche Druckbefehle übermitteln.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2019-8842: Niky1235 von China Mobile
Eintrag am 18. Dezember 2019 aktualisiert
CUPS
Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.
Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.
CVE-2019-8839: Stephan Zeisberg von Security Research Labs
Eintrag am 18. Dezember 2019 aktualisiert
FaceTime
Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Auswirkung: Das Verarbeiten eines in bösartiger Absicht erstellten Videos mit FaceTime kann dazu führen, dass Code willkürlich ausgeführt wird.
Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.
CVE-2019-8830: natashenka von Google Project Zero
Eintrag am 18. Dezember 2019 aktualisiert
IOGraphics
Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Auswirkung: Ein Mac wird nach dem Beenden des Ruhezustands nicht sofort gesperrt.
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2019-8851: Vladik Khononov von DoiT International
Eintrag am 3. Februar 2020 hinzugefügt
Kernel
Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch Entfernen des angreifbaren Codes behoben.
CVE-2019-8833: Ian Beer von Google Project Zero
Eintrag am 18. Dezember 2019 aktualisiert
Kernel
Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 und macOS Catalina 10.15
Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8828: Cim Stordal von Cognite
CVE-2019-8838: Dr. Silvio Cesare von InfoSect
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) von WaCai
libexpat
Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Auswirkung: Die Analyse einer schadhaften XML-Datei könnte zur Preisgabe von Benutzerinformationen führen.
Beschreibung: Dieses Problem wurde durch die Aktualisierung von Expat auf Version 2.2.8 behoben.
CVE-2019-15903: Joonun Jang
Eintrag am 18. Dezember 2019 aktualisiert
Hinweise
Verfügbar für: macOS Catalina 10.15
Auswirkung: Ein entfernter Angreifer kann bestehende Dateien überschreiben.
Beschreibung: Ein Parsing-Problem bei der Verarbeitung von Verzeichnispfaden wurde durch eine verbesserte Pfadüberprüfung behoben.
CVE-2020-9782: Allison Husain von der UC Berkeley
Eintrag am 4. April 2020 hinzugefügt
OpenLDAP
Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Auswirkung: Mehrere Probleme bei OpenLDAP
Beschreibung: Mehrere Probleme wurden durch das Update von OpenLDAP auf Version 2.4.28 behoben.
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
Eintrag am 3. Februar 2020 aktualisiert
Sicherheit
Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 und macOS Catalina 10.15
Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.
Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2019-8832: Insu Yun vom SSLab der Georgia Tech
tcpdump
Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Auswirkung: Mehrere Probleme in tcpdump
Beschreibung: Mehrere Probleme wurden durch das Update von tcpdump auf Version 4.9.3 und von libpcap auf Version 1.9.1 behoben.
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
Eintrag am 11. Februar 2020 aktualisiert
WLAN
Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Auswirkung: Ein Angreifer in WLAN-Reichweite kann eine geringe Menge des Datenverkehrs im Netzwerk sehen.
Beschreibung: Bei der Behandlung von Statusübergängen kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.
CVE-2019-15126: Milos Cermak bei ESET
Eintrag am 27. Februar 2020 hinzugefügt
Zusätzliche Danksagung
Accounts
Wir möchten uns bei Allison Husain von der UC Berkeley, Kishan Bagaria (KishanBagaria.com) und Tom Snelling von der Loughborough University für die Unterstützung bedanken.
Eintrag am 4. April 2020 aktualisiert
Core Data
Wir möchten uns bei natashenka von Google Project Zero für die Unterstützung bedanken.
Finder
Wir möchten uns bei Csaba Fitzl (@theevilbit) für die Unterstützung bedanken.
Eintrag am 18. Dezember 2019 hinzugefügt
Kernel
Wir möchten uns bei Daniel Roethlisberger von Swisscom CSIRT für die Unterstützung bedanken.
Eintrag am 18. Dezember 2019 hinzugefügt