Informationen zum Sicherheitsinhalt von macOS Mojave 10.14.3, Sicherheitsupdate 2019-001 High Sierra und Sicherheitsupdate 2019-001 Sierra

In diesem Dokument wird der Sicherheitsinhalt von macOS Mojave 10.14.3, Sicherheitsupdate 2019-001 High Sierra und Sicherheitsupdate 2019-001 Sierra beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen finden Sie auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Apple-Produktsicherheit.

macOS Mojave 10.14.3, Sicherheitsupdate 2019-001 High Sierra, Sicherheitsupdate 2019-001 Sierra

Veröffentlicht am 22. Januar 2019

AppleKeyStore

Verfügbar für: macOS Mojave 10.14.2

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann Sandbox-Einschränkungen umgehen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-6235: Brandon Azad

Bluetooth

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann die Ausführung willkürlichen Codes verursachen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-6200: ein anonymer Forscher

Core Media

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-6202: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CVE-2019-6221: Fluoroacetate in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

CoreAnimation

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher lesen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-6231: Zhuo Liang vom Qihoo 360 Nirvan Team

CoreAnimation

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Ein Schadprogramm kann die Sandbox umgehen

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6230: Proteas, Shrek_wzw und Zhuo Liang vom Qihoo 360 Nirvan Team

FaceTime

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Ein Remote-Angreifer ist möglicherweise in der Lage, einen FaceTime-Anruf zu initiieren, der die Ausführung willkürlichen Codes verursacht

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6224: Natalie Silvanovich von Google Project Zero

Hypervisor

Verfügbar für: macOS Sierra 10.12.6 und macOS High Sierra 10.13.6

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise und Fred Jacobs von der Virtual Machine Monitor Group von VMware, Inc.

Intel-Grafiktreiber

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Auswirkung: Ein Schadprogramm kann möglicherweise willkürlichen Code mit Systemrechten ausführen

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2018-4452: Liu Long vom Qihoo 360 Vulcan Team

IOKit

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Ein Schadprogramm kann die Sandbox umgehen

Beschreibung: Ein Typenverwechslungsproblem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6214: Ian Beer von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2019-6225: Brandon Azad von Google Project Zero, Qixun Zhao vom Qihoo 360 Vulcan Team

Kernel

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-6210: Ned Williamson von Google

Kernel

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Ein Schadprogramm kann unerwartete Änderungen im Speicher verursachen, der von verschiedenen Prozessen gemeinsam genutzt wird

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung des Sperrstatus behoben.

CVE-2019-6205: Ian Beer von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-6213: Ian Beer von Google Project Zero

Kernel

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Das Layout des Kernelspeichers kann von einem Schadprogramm ermittelt werden

Beschreibung: Es bestand ein Problem, das den Zugriff auf Speicher außerhalb des zugewiesenen Bereichs ermöglichte. Dies führte dazu, dass Inhalte des Kernelspeichers offengelegt wurden. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-6209: Brandon Azad von Google Project Zero

Kernel

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Ein Schadprogramm kann unerwartete Änderungen im Speicher verursachen, der von verschiedenen Prozessen gemeinsam genutzt wird

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-6208: Jann Horn von Google Project Zero

libxpc

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-6218: Ian Beer von Google Project Zero

Maschinelle Verarbeitung natürlicher Sprache

Verfügbar für: macOS Mojave 10.14.2

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Nachricht kann zu einem Denial-of-Service führen

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2019-6219: Authier Thomas

QuartzCore

Verfügbar für: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-6220: Yufeng Ruan vom Chaitin Security Research Lab

SQLite

Verfügbar für: macOS Mojave 10.14.2

Auswirkung: Eine in böser Absicht erstellte SQL-Anfrage kann zur Ausführung willkürlichen Codes führen

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-20346: Tencent Blade Team

CVE-2018-20505: Tencent Blade Team

CVE-2018-20506: Tencent Blade Team

WebRTC

Verfügbar für: macOS Mojave 10.14.2

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung willkürlichen Codes führen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-6211: Georgi Geshev (@munmap), Fabi Beterke (@pwnfl4k3s) und Rob Miller (@trotmaster99) von MWR Labs (@mwrlabs) in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Zusätzliche Danksagung

apache_mod_php

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

Kernel

Wir möchten uns bei Daniel Roethlisberger von Swisscom CSIRT für seine Unterstützung bedanken.

LibreSSL

Wir möchten uns bei Viktor Szakats für seine Unterstützung bedanken.

mDNSResponder

Wir möchten uns bei Fatemah Alharbi von der University of California, Riverside (UCR), und der Taibah University (TU), Jie Chang von LinkSure Network, Yuchen Zhou von der Northeastern University, Feng Qian von der University of Minnesota – Twin City, Zhiyun Qian von der University of California, Riverside (UCR), und Nael Abu-Ghazaleh von der University of California, Riverside (UCR), für ihre Unterstützung bedanken.

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: