Informationen zum Sicherheitsinhalt von macOS Catalina 10.15.1, Sicherheitsupdate 2019-001 und Sicherheitsupdate 2019-006

In diesem Dokument wird der Sicherheitsinhalt von macOS Catalina 10.15.1, Sicherheitsupdate 2019-001 und Sicherheitsupdate 2019-006 beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

macOS Catalina 10.15.1, Sicherheitsupdate 2019-001, Sicherheitsupdate 2019-006

Veröffentlicht am 29. Oktober 2019

Accounts

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein entfernter Angreifer kann möglicherweise ein Speicherleck verursachen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8787: Steffen Klee vom Secure Mobile Networking Lab der Technischen Universität Darmstadt

App Store

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein lokaler Angreifer kann sich beim Account eines zuvor angemeldeten Benutzers abmelden, ohne dass er gültige Anmeldedaten dafür hat.

Beschreibung: Ein Authentifizierungsproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8716: Zhiyi Zhang vom Codesafe Team von Legendsec bei der Qi'anxin Group, Zhuo Liang vom Qihoo 360 Vulcan Team

Zugeordnete Domains

Verfügbar für: macOS Catalina 10.15

Auswirkung: Die fehlerhafte Verarbeitung von URLs kann zu einer Datenexfiltration führen.

Beschreibung: Es bestand ein Problem bei der Analyse von URLs. Dieses Problem wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8788: Juha Lindstedt von Pakastin, Mirko Tanania, Rauli Rikama von Zero Keyboard Ltd

Audio

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann zur Ausführung von willkürlichem Code führen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-8706: Yu Zhou vom Ant-financial Light-Year Security Lab

Audio

Verfügbar für: macOS High Sierra 10.13.6 und macOS Catalina 10.15

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8785: Ian Beer von Google Project Zero

CVE-2019-8797: 08Tc3wBB in Zusammenarbeit mit SSD Secure Disclosure

Bücher

Verfügbar für: macOS Catalina 10.15

Auswirkung: Die Analyse einer in böser Absicht erstellten iBooks-Datei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Bei der Verarbeitung von Symlinks bestand ein Überprüfungsproblem. Dieses Problem wurde durch eine verbesserte Überprüfung der Symlinks behoben.

CVE-2019-8789: Gertjan Franken von imec-DistriNet, KU Leuven

Kontakte

Verfügbar für: macOS Catalina 10.15

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Kontakts kann zu UI-Spoofing führen.

Beschreibung: Ein Problem aufgrund einer uneinheitlichen Benutzeroberfläche wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2017-7152: Oliver Paukstadt von der Thinking Objects GmbH (to.com)

CUPS

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann vertrauliche Benutzerdaten offenlegen

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8736: Pawel Gocyla von ING Tech Poland (ingtechpoland.com)

CUPS

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Strings kann zu einer Heapbeschädigung führen.

Beschreibung: Ein Problem mit der Speichernutzung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8767: Stephen Zeisberg

CUPS

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Denial-of-Service-Problem wurde durch eine verbesserte Prüfung behoben.

CVE-2019-8737: Pawel Gocyla von ING Tech Poland (ingtechpoland.com)

Dateiquarantäne

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2019-8509: CodeColorist von Ant-Financial LightYear Labs

Dateisystemereignisse

Verfügbar für: macOS High Sierra 10.13.6 und macOS Catalina 10.15

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8798: ABC Research s.r.o. in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Grafik

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Shaders kann zu einem unerwarteten Programmabbruch oder zur Ausführung willkürlichen Codes führen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2018-12152: Piotr Bania von Cisco Talos

CVE-2018-12153: Piotr Bania von Cisco Talos

CVE-2018-12154: Piotr Bania von Cisco Talos

Grafiktreiber

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8784: Vasiliy Vasilyev und Ilya Finogeev von Webinar, LLC

Intel-Grafiktreiber

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8807: Yu Wang von Didi Research America

IOGraphics

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein lokaler Benutzer kann einen unerwarteten Systemabbruch verursachen oder Kernel-Speicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8759: 360 Nirvan Team

iTunes

Verfügbar für: macOS Catalina 10.15

Auswirkung: Die Ausführung des iTunes-Installationsprogramms in einem nicht vertrauenswürdigen Verzeichnis kann zur Ausführung willkürlichen Codes führen.

Beschreibung: Es bestand ein Problem beim dynamischen Laden der Mediathek während der Einrichtung von iTunes. Dieses Problem wurde durch eine verbesserte Pfadsuche behoben.

CVE-2019-8801: Hou JingYi (@hjy79425575) von Qihoo 360 CERT

Kernel

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2019-8794: 08Tc3wBB in Zusammenarbeit mit SSD Secure Disclosure

Kernel

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 und macOS Catalina 10.15

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8786: Ein anonymer Forscher

Kernel

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.

Beschreibung: Bei der Verarbeitung von IPv6-Paketen trat ein Speicherfehler auf. Dieses Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8744: Zhuo Liang vom Qihoo 360 Vulcan Team

libxml2

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Mehrere Probleme in libxml2

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8749: Gefunden von OSS-Fuzz

CVE-2019-8756: Gefunden von OSS-Fuzz

libxslt

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Mehrere Probleme in libxslt

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8750: Gefunden von OSS-Fuzz

manpages

Verfügbar für: macOS High Sierra 10.13.6 und macOS Catalina 10.15

Auswirkung: Ein Schadprogramm kann möglicherweise Root-Rechte erlangen.

Beschreibung: Ein Überprüfungsproblem wurde mit einer verbesserten Logik behoben.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PluginKit

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein lokaler Benutzer kann die Existenz willkürlicher Dateien überprüfen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2019-8708: Ein anonymer Forscher

PluginKit

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8715: Ein anonymer Forscher

Systemerweiterungen

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Es bestand ein Validierungsproblem bei der Bestätigung der Berechtigung. Dieses Problem wurde durch eine verbesserte Validierung der Prozessberechtigung behoben.

CVE-2019-8805: Scott Knight (@sdotknight) von VMware Carbon Black TAU

UIFoundation

Verfügbar für: macOS High Sierra 10.13.6 und macOS Mojave 10.14.6

Auswirkung: Die Analyse einer schadhaften Textdatei kann zur Preisgabe von Benutzerinformationen führen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2019-8761: Renee Trisberg von SpectX

Zusätzliche Danksagung

CFNetwork

Wir möchten uns bei Lily Chen von Google für die Unterstützung bedanken.

Kernel

Wir möchten uns bei Brandon Azad und Jann Horn von Google Project Zero für die Unterstützung bedanken.

libresolv

Wir möchten uns bei enh von Google für die Unterstützung bedanken.

Postfix

Wir möchten uns bei Chris Barker von Puppet für die Unterstützung bedanken.

Profile

Wir möchten uns bei Csaba Fitzl (@theevilbit) für die Unterstützung bedanken.

Python

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

VPN

Wir möchten uns bei Royce Gawron von Second Son Consulting, Inc. für die Unterstützung bedanken.

Informationen zu nicht von Apple gefertigten Produkten sowie nicht von Apple gesteuerte oder geprüfte unabhängige Websites werden ohne Empfehlung und Unterstützung zur Verfügung gestellt. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple übernimmt keine Garantie für die Richtigkeit und Zuverlässigkeit von Drittanbieter-Websites. Die Nutzung des Internets birgt Risiken. Kontaktieren Sie den Hersteller, um zusätzliche Informationen zu erhalten. Andere Produkt- und Firmennamen sind möglicherweise Marken ihrer jeweiligen Eigentümer.

Veröffentlichungsdatum: