Informationen zum Sicherheitsinhalt von macOS Catalina 10.15.1, Sicherheitsupdate 2019-001 und Sicherheitsupdate 2019-006

In diesem Dokument wird der Sicherheitsinhalt von macOS Catalina 10.15.1, Sicherheitsupdate 2019-001 und Sicherheitsupdate 2019-006 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

macOS Catalina 10.15.1, Sicherheitsupdate 2019-001, Sicherheitsupdate 2019-006

Accounts

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Ein entfernter Angreifer kann möglicherweise ein Speicherleck verursachen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8787: Steffen Klee vom Secure Mobile Networking Lab der Technischen Universität Darmstadt

Accounts

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: AirDrop-Übertragungen werden im Modus "Jeder" möglicherweise unerwartet akzeptiert.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-8796: Allison Husain von der UC Berkeley

AirDrop

Verfügbar für: macOS Catalina 10.15

Auswirkung: AirDrop-Übertragungen werden im Modus "Jeder" möglicherweise unerwartet akzeptiert.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-8796: Allison Husain von der UC Berkeley

AMD

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8748: Lilang Wu und Moony Li vom Trend Micro Mobile Security Research Team

apache_mod_php

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Mehrere Probleme in PHP

Beschreibung: Mehrere Probleme wurden durch das Update von PHP auf Version 7.3.8 behoben.

CVE-2019-11041

CVE-2019-11042

APFS

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8824: Mac in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

App Store

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein lokaler Angreifer kann sich möglicherweise beim Account eines zuvor angemeldeten Benutzers ohne gültige Anmeldedaten anmelden.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8716: Zhiyi Zhang vom Codesafe Team von Legendsec bei der Qi'anxin Group, Zhuo Liang vom Qihoo 360 Vulcan Team

Associated Domains

Verfügbar für: macOS Catalina 10.15

Auswirkung: Die fehlerhafte Verarbeitung von URLs kann zu einer Datenexfiltration führen.

Beschreibung: Es bestand ein Problem bei der Analyse von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8788: Juha Lindstedt von Pakastin, Mirko Tanania, Rauli Rikama von Zero Keyboard Ltd

Audio

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8706: Yu Zhou vom Ant-Financial Light-Year Security Lab

Audio

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8785: Ian Beer von Google Project Zero

CVE-2019-8797: 08Tc3wBB in Zusammenarbeit mit SSD Secure Disclosure

Audio

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann begrenzten Speicher aufweisen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8850: Anonymous in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Books

Verfügbar für: macOS Catalina 10.15

Auswirkung: Die Analyse einer in böser Absicht erstellten iBooks-Datei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung der Symlinks behoben.

CVE-2019-8789: Gertjan Franken von imec-DistriNet, KU Leuven

Contacts

Verfügbar für: macOS Catalina 10.15

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Kontakts kann zu UI-Spoofing führen.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7152: Oliver Paukstadt von der Thinking Objects GmbH (to.com)

CoreAudio

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Die Wiedergabe einer in böser Absicht erstellten Audiodatei kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8592: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CoreAudio

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Films kann zur Preisgabe des Prozessspeichers führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-8705: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CoreMedia

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8825: gefunden von GWP-ASan in Google Chrome

CUPS

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann vertrauliche Benutzerdaten offenlegen

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8736: Pawel Gocyla von ING Tech Poland (ingtechpoland.com)

CUPS

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Strings kann zu einer Heapbeschädigung führen.

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8767: Stephen Zeisberg

CUPS

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2019-8737: Pawel Gocyla von ING Tech Poland (ingtechpoland.com)

File Quarantine

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2019-8509: CodeColorist von Ant-Financial Light-Year Labs

File System Events

Verfügbar für: macOS High Sierra 10.13.6 und macOS Catalina 10.15

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8798: ABC Research s.r.o. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Foundation

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Ein entfernter Angreifer kann einen unerwarteten Programmabbruch oder die Ausführung willkürlichen Codes verursachen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8746: natashenka und Samuel Groß von Google Project Zero

Graphics

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Shaders kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-12152: Piotr Bania von Cisco Talos

CVE-2018-12153: Piotr Bania von Cisco Talos

CVE-2018-12154: Piotr Bania von Cisco Talos

Graphics Driver

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8784: Vasiliy Vasilyev und Ilya Finogeev von Webinar, LLC

Intel Graphics Driver

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8807: Yu Wang von Didi Research America

IOGraphics

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch verursachen oder Kernelspeicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8759: 360 Nirvan Team

iTunes

Verfügbar für: macOS Catalina 10.15

Auswirkung: Die Ausführung des iTunes-Installationsprogramms in einem nicht vertrauenswürdigen Verzeichnis kann zur Ausführung willkürlichen Codes führen

Beschreibung: Es bestand ein Problem beim dynamischen Laden der Mediathek während der Einrichtung von iTunes. Dieses Problem wurde durch eine verbesserte Pfadsuche behoben.

CVE-2019-8801: Hou JingYi (@hjy79425575) von Qihoo 360 CERT

Kernel

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Kernel

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2019-8794: 08Tc3wBB in Zusammenarbeit mit SSD Secure Disclosure

Kernel

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8717: Jann Horn von Google Project Zero

CVE-2019-8786: Wen Xu von der Georgia Tech, Microsoft Offensive Security Research Intern

Kernel

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.

Beschreibung: Bei der Verarbeitung von IPv6-Paketen trat ein Speicherfehler auf. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8744: Zhuo Liang vom Qihoo 360 Vulcan Team

Kernel

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Sperrung behoben.

CVE-2019-8829: Jann Horn von Google Project Zero

libxml2

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Mehrere Probleme in libxml2

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8749: gefunden von OSS-Fuzz

CVE-2019-8756: gefunden von OSS-Fuzz

libxslt

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Mehrere Probleme in libxml

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8750: gefunden von OSS-Fuzz

manpages

Verfügbar für: macOS High Sierra 10.13.6 und macOS Catalina 10.15

Auswirkung: Ein Schadprogramm kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Ein Angreifer kann den Inhalt einer verschlüsselten PDF-Datei abfangen.

Beschreibung: Bei der Verarbeitung von Links in verschlüsselten PDF-Dateien trat ein Problem auf. Dieses Problem wurde durch das Hinzufügen einer Bestätigungsaufforderung behoben.

CVE-2019-8772: Jens Müller, Vladislav Mladenov, Christian Mainka und Jörg Schwenk von der Ruhr-Universität Bochum sowie Fabian Ising und Sebastian Schinzel von der FH Münster University of Applied Sciences

PluginKit

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein lokaler Benutzer kann die Existenz willkürlicher Dateien überprüfen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2019-8708: Ein anonymer Forscher

PluginKit

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8715: Ein anonymer Forscher

Screen Sharing Server

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Benutzer, der seinen Bildschirm freigibt, kann die Bildschirmfreigabe möglicherweise nicht beenden.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8858: Saul van der Bijl von Saul’s Place Counseling B.V.

System Extensions

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Es bestand ein Validierungsproblem bei der Bestätigung der Berechtigung. Dieses Problem wurde durch eine verbesserte Validierung der Prozessberechtigung behoben.

CVE-2019-8805: Scott Knight (@sdotknight) von VMware Carbon Black TAU

UIFoundation

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein in böser Absicht erstelltes HTML-Dokument kann iframes mit vertraulichen Benutzerinformationen darstellen.

Beschreibung: Bei "iFrame"-Elementen kam es zu einem Cross-Origin-Problem. Dieses Problem wurde durch eine verbesserte Nachverfolgung der Sicherheitsursprünge behoben.

CVE-2019-8754: Renee Trisberg von SpectX

UIFoundation

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textdatei kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8745: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

UIFoundation

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8831: riusksk von VulWar Corp in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

UIFoundation

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Die Analyse einer schadhaften Textdatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2019-8761: Renee Trisberg von SpectX

Wi-Fi

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Angreifer in WLAN-Reichweite kann eine geringe Menge des Datenverkehrs im Netzwerk sehen.

Beschreibung: Bei der Behandlung von Statusübergängen kam es zu einem Logikproblem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-15126: Milos Cermak bei ESET

Zusätzliche Danksagung

CFNetwork

Wir möchten uns bei Lily Chen von Google für die Unterstützung bedanken.

Find My

Wir möchten uns bei Amr Elseehy für die Unterstützung bedanken.

Kernel

Wir danken Brandon Azad von Google Project Zero, Daniel Roethlisberger von Swisscom CSIRT und Jann Horn von Google Project Zero für die Unterstützung.

libresolv

Wir möchten uns bei enh von Google für die Unterstützung bedanken.

Local Authentication

Wir möchten uns bei Ryan Lopopolo für die Unterstützung bedanken.

mDNSResponder

Wir möchten uns bei Gregor Lang von der e.solutions GmbH für die Unterstützung bedanken.

Postfix

Wir möchten uns bei Chris Barker von Puppet für die Unterstützung bedanken.

Python

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

VPN

Wir möchten uns bei Royce Gawron von Second Son Consulting, Inc. für die Unterstützung bedanken.