Informationen zum Sicherheitsinhalt von macOS Catalina 10.15.4, Sicherheitsupdate 2020-002 Mojave und Sicherheitsupdate 2020-002 High Sierra

In diesem Dokument wird der Sicherheitsinhalt von macOS Catalina 10.15.4, Sicherheitsupdate 2020-002 Mojave und Sicherheitsupdate 2020-002 High Sierra beschrieben.

Informationen zu Apple-Sicherheitsupdates

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, besprochen und bestätigt, wenn eine vollständige Untersuchung stattgefunden hat und alle erforderlichen Patches oder Programmversionen verfügbar sind. Die neuesten Programmversionen findest du auf der Seite Apple-Sicherheitsupdates.

Nach Möglichkeit werden in Sicherheitsdokumenten von Apple zur Bezugnahme auf Schwachstellen CVE-IDs verwendet.

Weitere Informationen zur Sicherheit findest du auf der Seite zur Apple-Produktsicherheit.

macOS Catalina 10.15.4, Sicherheitsupdate 2020-002 Mojave, Sicherheitsupdate 2020-002 High Sierra

Accounts

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein in der Sandbox ausgeführter Prozess kann möglicherweise Sandbox-Einschränkungen umgehen.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2020-9772: Allison Husain von der UC Berkeley

Apple HSSPI-Support

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Auswirkung: Ein Programm kann beliebigen Code mit Systemrechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3903: Proteas vom Qihoo 360 Nirvan Team

AppleGraphicsControl

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.

CVE-2020-3904: Proteas vom Qihoo 360 Nirvan Team

AppleMobileFileIntegrity

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein Programm kann willkürliche Berechtigungen nutzen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.

CVE-2020-3883: Linus Henze (pinauten.de)

Bluetooth

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein Angreifer in einer privilegierten Netzwerkposition kann den Bluetooth-Verkehr abfangen.

Beschreibung: Bei der Verwendung eines PRNG mit niedriger Entropie bestand ein Problem. Dieses Problem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-6616: Jörn Tillmanns (@matedealer) und Jiska Classen (@naehrdine) von Secure Mobile Networking Lab

Bluetooth

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Auswirkung: Das Layout des Kernelspeichers kann möglicherweise von einem Schadprogramm ermittelt werden.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2020-9853: Yu Wang von Didi Research America

Bluetooth

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Auswirkung: Ein lokaler Benutzer kann möglicherweise einen unerwarteten Systemabbruch verursachen oder Kernelspeicher lesen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-3907: Yu Wang von Didi Research America

CVE-2020-3908: Yu Wang von Didi Research America

CVE-2020-3912: Yu Wang von Didi Research America

CVE-2020-9779: Yu Wang von Didi Research America

Bluetooth

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-3892: Yu Wang von Didi Research America

CVE-2020-3893: Yu Wang von Didi Research America

CVE-2020-3905: Yu Wang von Didi Research America

Bluetooth

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2019-8853: Jianjun Dai von Qihoo 360 Alpha Lab

Anrufverlauf

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein Schadprogramm kann auf den Anrufverlauf eines Benutzers zugreifen.

Beschreibung: Dieses Problem wurde mit einer neuen Berechtigung behoben.

CVE-2020-9776: Benjamin Randazzo (@____benjamin)

CoreBluetooth

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein entfernter Angreifer kann vertrauliche Benutzerdaten offenlegen.

Beschreibung: Ein Problem, aufgrund dessen Daten außerhalb des zugewiesenen Bereichs gelesen werden konnten, wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-9828: Jianjun Dai von Qihoo 360 Alpha Lab

CoreFoundation

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein Schadprogramm kann unter Umständen Rechte erhöhen.

Beschreibung: Es bestand ein Problem mit Berechtigungen. Dieses Problem wurde durch eine verbesserte Berechtigungsüberprüfung behoben.

CVE-2020-3913: Timo Christ von Avira Operations GmbH & Co. KG

CoreText

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Textnachricht kann zu einem Denial-of-Service des Programms führen.

Beschreibung: Ein Überprüfungsproblem wurde durch eine verbesserte Eingabebereinigung behoben.

CVE-2020-9829: Aaron Perris (@aaronp613), ein anonymer Forscher, ein anonymer Forscher, Carlos S. Tech, Sam Menzies von Sam's Lounge, Sufiyan Gouri von der Lovely Professional University, Indien, Suleman Hasan Rathor von Arabic-Classroom.com

CUPS

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Speicherfehler wurde durch eine verbesserte Überprüfung behoben.

CVE-2020-3898: Stephan Zeisberg (github.com/stze) von Security Research Labs (srlabs.de)

FaceTime

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein lokaler Benutzer kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-3881: Yuval Ron, Amichai Shulman und Eli Biham von Technion – Israel Institute of Technology

Intel-Grafiktreiber

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3886: Proteas

Intel-Grafiktreiber

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein Schadprogramm kann eingeschränkten Speicher offenlegen.

Beschreibung: Ein Problem mit der Offenlegung von Informationen wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2019-14615: Wenjian HE von der Hong Kong University of Science and Technology, Wei Zhang von der Hong Kong University of Science and Technology, Sharad Sinha vom Indian Institute of Technology Goa und Sanjeev Das von der University of North Carolina

IOHIDFamily

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3919: Alex Plaskett von F-Secure Consulting

IOThunderboltFamily

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Eine Anwendung kann möglicherweise erhöhte Benutzerrechte erlangen.

Beschreibung: Ein Use-After-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3851: Xiaolong Bai und Min (Spark) Zheng von Alibaba Inc. und Luyi Xing von der Indiana University Bloomington

iTunes

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein Schadprogramm kann möglicherweise beliebige Dateien überschreiben.

Beschreibung: Dieses Problem wurde durch Entfernen des angreifbaren Codes behoben.

CVE-2020-3896: Christoph Falta

Kernel

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Auswirkung: Ein Programm kann eingeschränkten Speicher lesen.

Beschreibung: Ein Problem mit der Speicherinitialisierung wurde durch eine verbesserte Speicherverwaltung behoben.

CVE-2020-3914: pattern-f (@pattern_F_) von WaCai

Kernel

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein Schadprogramm kann willkürlichen Code mit Kernel-Rechten ausführen.

Beschreibung: Mehrere Speicherfehler wurden durch eine verbesserte Statusverwaltung behoben.

CVE-2020-9785: Proteas vom Qihoo 360 Nirvan Team

libxml2

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Auswirkung: Mehrere Probleme in libxml2

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Abgrenzungsüberprüfung behoben.

CVE-2020-3909: LGTM.com

CVE-2020-3911: gefunden von OSS-Fuzz

libxml2

Verfügbar für: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Auswirkung: Mehrere Probleme in libxml2

Beschreibung: Ein Problem mit einem Pufferüberlauf wurde durch eine verbesserte Größenüberprüfung behoben.

CVE-2020-3910: LGTM.com

Mail

Verfügbar für: macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Auswirkung: Ein entfernter Angreifer kann die Ausführung von willkürlichem JavaScript-Code verursachen.

Beschreibung: Ein Eingabeproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2020-3884: Apple

Drucken

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Auswirkung: Ein Schadprogramm kann möglicherweise beliebige Dateien überschreiben.

Beschreibung: Ein Pfadbehandlungsproblem wurde durch eine verbesserte Überprüfung behoben.

CVE-2020-3915: Ein anonymer Forscher in Zusammenarbeit mit iDefense Labs (https://vcp.idefense.com/), HyungSeok Han (DaramG) @Theori in Zusammenarbeit mit der Zero Day Initiative von Trend Micro

Safari

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Die privaten Surfaktivitäten eines Benutzers können unerwarteterweise in "Bildschirmzeit" gespeichert werden.

Beschreibung: Die Verarbeitung von Tabs, die Bild-in-Bild-Videos anzeigen, war fehlerhaft. Das Problem wurde durch verbesserte Statusverarbeitung behoben.

CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com) und Sambor Wawro von der STO64-Schule in Krakau, Polen

Sandbox

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein Benutzer kann Zugriff auf geschützte Teile des Dateisystems erhalten.

Beschreibung: Dieses Problem wurde mit einer neuen Berechtigung behoben.

CVE-2020-9771: Csaba Fitzl (@theevilbit) von Offensive Security

Sandbox

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein lokaler Benutzer kann möglicherweise auf vertrauliche Benutzerdaten zugreifen.

Beschreibung: Ein Zugriffsproblem wurde durch zusätzliche Sandbox-Einschränkungen behoben.

CVE-2020-3918: Ein anonymer Forscher, Augusto Alvarez von Outcourse Limited

sudo

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein Angreifer kann als ein nicht existierender Benutzer Befehle ausführen.

Beschreibung: Dieses Problem wurde durch die Aktualisierung von sudo auf Version 1.8.31 behoben.

CVE-2019-19232

sysdiagnose

Verfügbar für: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Auswirkung: Ein Programm kann möglicherweise eine Systemdiagnose auslösen.

Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben

CVE-2020-9786: Dayton Pidhirney (@_watbulb) von Seekintoo (@seekintoo)

TCC

Verfügbar für: macOS Mojave 10.14.6, macOS Catalina 10.15.3

Auswirkung: Die Code-Signaturerzwingung kann von einer in böser Absicht erstellten Anwendung umgangen werden.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2020-3906: Patrick Wardle von Jamf

Time Machine

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Ein lokaler Benutzer kann willkürliche Dateien lesen.

Beschreibung: Ein Logikproblem wurde durch eine verbesserte Statusverwaltung behoben.

CVE-2020-3889: Lasse Trolle Borup von Danish Cyber Defence

Vim

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Mehrere Probleme in Vim

Beschreibung: Mehrere Probleme wurden durch das Update auf Version 8.1.1850 behoben.

CVE-2020-9769: Steve Hahn von LinkedIn

WebKit

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Einige Websites wurden möglicherweise nicht in den Safari-Einstellungen angezeigt.

Beschreibung: Ein Logikproblem wurde durch verbesserte Einschränkungen behoben.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

WebKit

Verfügbar für: macOS Catalina 10.15.3

Auswirkung: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu einem Cross-Site-Scripting-Angriff führen

Beschreibung: Ein Problem mit der Eingabeüberprüfung wurde durch eine verbesserte Eingabeüberprüfung behoben.

CVE-2020-3902: Yiğit Can YILMAZ (@yilmazcanyigit)

Zusätzliche Danksagung

CoreText

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

FireWire-Audio

Wir möchten uns bei Xiaolong Bai und Min (Spark) Zheng von Alibaba Inc. und Luyi Xing von der Indiana University Bloomington für die Unterstützung bedanken.

FontParser

Wir möchten uns bei Matthew Denton von Google Chrome für die Unterstützung bedanken.

Installationsprogramm

Wir möchten uns bei Pris Sears von Virginia Tech, Tom Lynch vom UAL Creative Computing Institute und bei einem anonymen Forscher für die Unterstützung bedanken.

Install Framework Legacy

Wir möchten uns bei Pris Sears von Virginia Tech, Tom Lynch vom UAL Creative Computing Institute und bei einem anonymen Forscher für die Unterstützung bedanken.

LinkPresentation

Wir möchten uns bei Travis für die Unterstützung bedanken.

OpenSSH

Wir möchten uns bei einem anonymen Forscher für die Unterstützung bedanken.

rapportd

Wir möchten uns bei Alexander Heinrich (@Sn0wfreeze) von der Technischen Universität Darmstadt für die Unterstützung bedanken.

Sidecar

Wir möchten uns bei Rick Backley (@rback_sec) für die Unterstützung bedanken.

sudo

Wir möchten uns bei Giorgio Oppo (linkedin.com/in/giorgio-oppo/) für die Unterstützung bedanken.