Informationen zum Sicherheitsinhalt von macOS Catalina 10.15.2, Sicherheitsupdate 2019-002 Mojave, Sicherheitsupdate 2019-007 High Sierra

In diesem Dokument wird der Sicherheitsinhalt von macOS Catalina 10.15.2, Sicherheitsupdate 2019-002 Mojave und Sicherheitsupdate 2019-007 High Sierra beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

macOS Catalina 10.15.2, Sicherheitsupdate 2019-002 Mojave, Sicherheitsupdate 2019-007 High Sierra

Veröffentlicht am Dienstag, 10. Dezember 2019

ATS

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Ein Schadprogramm kann möglicherweise auf beschränkte Dateien zugreifen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Eintrag am 18. Dezember 2019 aktualisiert

Bluetooth

Verfügbar für: macOS Catalina 10.15

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2019-8853: Jianjun Dai von Qihoo 360 Alpha Lab

CallKit

Verfügbar für: macOS Catalina 10.15

Auswirkung: Mithilfe von Siri getätigte Anrufe können bei Geräten mit zwei aktiven Mobilfunktarifen über den falschen Mobilfunktarif eingeleitet werden.

Beschreibung: Bei der Verarbeitung von ausgehenden Telefonanrufen, die mithilfe von Siri getätigt wurden, lag ein API-Problem vor. Dieses Problem wurde durch eine verbesserte Statusverarbeitung behoben.

CVE-2019-8856: Fabrice TERRANCLE von TERRANCLE SARL

CFNetwork-Proxys

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2019-8848: Zhuo Liang vom Qihoo 360 Vulcan Team

Eintrag am 18. Dezember 2019 aktualisiert

CUPS

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: In bestimmten Konfigurationen kann ein entfernter Angreifer willkürliche Druckbefehle übermitteln.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8842: Niky1235 von China Mobile

Eintrag am 18. Dezember 2019 aktualisiert

CUPS

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Ein Angreifer in einer privilegierten Position kann einen Denial-of-Service-Angriff verursachen.

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2019-8839: Stephan Zeisberg von Security Research Labs

Eintrag am 18. Dezember 2019 aktualisiert

FaceTime

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Das Verarbeiten eines in bösartiger Absicht erstellten Videos mit FaceTime kann dazu führen, dass Code willkürlich ausgeführt wird.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2019-8830: Natalie Silvanovich von Google Project Zero

Eintrag am 18. Dezember 2019 aktualisiert

Kernel

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Ein Programm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2019-8833: Ian Beer von Google Project Zero

Eintrag am 18. Dezember 2019 aktualisiert

Kernel

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 und macOS Catalina 10.15

Auswirkung: Ein Programm kann möglicherweise willkürlichen Code mit Kernel-Rechten ausführen

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8828: Cim Stordal von Cognite

CVE-2019-8838: Dr. Silvio Cesare von InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) von WaCai

libexpat

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Auswirkung: Die Analyse einer schadhaften XML-Datei könnte zur Preisgabe von Benutzerinformationen führen

Beschreibung: Dieses Problem wurde durch die Aktualisierung von Expat auf Version 2.2.8 behoben.

CVE-2019-15903: Joonun Jang

Eintrag am 18. Dezember 2019 aktualisiert

OpenLDAP

Verfügbar für: macOS Catalina 10.15

Auswirkung: Mehrere Probleme in OpenLDAP

Beschreibung: Mehrere Probleme wurden durch das Update von OpenLDAP auf Version 2.4.28 behoben.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Sicherheit

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 und macOS Catalina 10.15

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2019-8832: Insu Yun vom SSLab der Georgia Tech

tcpdump

Verfügbar für: macOS Catalina 10.15

Auswirkung: Mehrere Probleme in tcpdump

Beschreibung: Mehrere Probleme wurden durch das Update von tcpdump auf Version 4.9.3 und von libpcap auf Version 1.9.1 behoben.

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

CVE-2019-15166

CVE-2019-15167

Zusätzliche Danksagung

Accounts

Wir möchten uns bei Kishan Bagaria (KishanBagaria.com) und Tom Snelling von der Loughborough University für die Unterstützung bedanken.

Core Data

Wir möchten uns bei Natalie Silvanovich von Google Project Zero für die Unterstützung bedanken.

Finder

Wir möchten uns bei Csaba Fitzl (@theevilbit) für die Unterstützung bedanken.

Eintrag am 18. Dezember 2019 hinzugefügt

Kernel

Wir möchten uns bei Daniel Roethlisberger von Swisscom CSIRT für seine Unterstützung bedanken.

Eintrag am 18. Dezember 2019 hinzugefügt

Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.

Veröffentlichungsdatum: