Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
macOS Mojave 10.14.4, Beveiligingsupdate 2019-002 High Sierra, Beveiligingsupdate 2019-002 Sierra
Releasedatum: 25 maart 2019
802.1X
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkverkeer onderscheppen
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-6203: Dominic White van SensePost (@singe)
Toegevoegd op 15 april 2019
802.1X
Beschikbaar voor: macOS High Sierra 10.13.6
Impact: een niet-vertrouwd certificaat van een radius-server kan worden vertrouwd
Beschrijving: er bestond een validatieprobleem in Trust Anchor Management. Dit probleem is verholpen door een verbeterde validatie.
CVE-2019-8531: een anonieme onderzoeker, QA-team van SecureW2
Toegevoegd op 15 mei 2019
Accounts
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd vcf-bestand kan leiden tot een denial of service
Beschrijving: een probleem met denial of service is verholpen door een verbeterde validatie.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
Toegevoegd op 3 april 2019
APFS
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een logicaprobleem dat geheugenbeschadiging tot gevolg had. Dit is verholpen door verbeterd statusbeheer.
CVE-2019-8534: Mac in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 15 april 2019
AppleGraphicsControl
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2019-8555: Zhiyi Zhang van het 360 ESG Codesafe Team, Zhuo Liang en shrek_wzw van het Qihoo 360 Nirvan Team
Bom
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan Gatekeeper-controles omzeilen
Beschrijving: dit probleem is verholpen door een verbeterde verwerking van metagegevens van bestanden.
CVE-2019-6239: Ian Moorhouse en Michael Trimm
CFString
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigde tekenreeks kan leiden tot een denial of service
Beschrijving: een validatieprobleem is verholpen door verbeterde logica.
CVE-2019-8516: SWIPS Team van Frifee Inc.
configd
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Contacten
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8511: een anonieme onderzoeker
CoreCrypto
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2019-8542: een anonieme onderzoeker
DiskArbitration
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een gecodeerd volume kan worden gedeactiveerd en opnieuw worden geactiveerd door een andere gebruiker zonder te vragen om het wachtwoord
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-8522: Colin Meginnis (@falc420)
FaceTime
Beschikbaar voor: macOS Mojave 10.14.3
Impact: de video van een gebruiker wordt niet onderbroken in een FaceTime-gesprek als de FaceTime-app wordt afgesloten terwijl de oproep overgaat
Beschrijving: er was een probleem met het onderbreken van FaceTime-video. Het probleem is verholpen door verbeterde logica toe te passen.
CVE-2019-8550: Lauren Guzniczak van Keystone Academy
FaceTime
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale aanvaller kan contacten bekijken vanaf het toegangsscherm
Beschrijving: door een probleem met het toegangsscherm waren contacten op een vergrendeld apparaat toegankelijk. Dit probleem is opgelost door een verbeterd statusbeheer.
CVE-2019-8777: Abdullah H. AlJaber (@aljaber) van AJ.SA
Toegevoegd op 8 oktober 2019
Feedbackassistent
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2019-8565: CodeColorist van Ant-Financial LightYear Labs
Feedbackassistent
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan willekeurige bestanden overschrijven
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2019-8521: CodeColorist van Ant-Financial LightYear Labs
file
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot de onthulling van gebruikersgegevens
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2019-8906: Francisco Alonso
Bijgewerkt op 15 april 2019
Grafische besturingsbestanden
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) en Junzhi Lu van Trend Micro Research in samenwerking met het Zero Day Initiative van Trend Micro, Lilang Wu en Moony Li van Trend Micro
Bijgewerkt op 1 augustus 2019
iAP
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2019-8542: een anonieme onderzoeker
IOGraphics
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een Mac wordt mogelijk niet vergrendeld wanneer deze wordt losgekoppeld van een externe monitor
Beschrijving: een probleem met vergrendelingsverwerking is verholpen door een verbeterde vergrendelingsverwerking.
CVE-2019-8533: een anonieme onderzoeker, James Eagan van Télécom ParisTech, R. Scott Kemp of MIT en Romke van Dijk van Z-CERT
IOHIDFamily
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2019-8545: Adam Donenfeld (@doadam) van het Zimperium zLabs Team
IOKit
Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8504: een anonieme onderzoeker
IOKit SCSI
Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2019-8529: Juwei Lin (@panicaII) van Trend Micro Research in samenwerking met het Zero Day Initiative van Trend Micro
Bijgewerkt op 15 april 2019
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4448: Brandon Azad
Toegevoegd op 17 september 2019
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een externe aanvaller kan mogelijk netwerkverkeersgegevens wijzigen
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van IPv6-pakketten. Dit probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2019-5608: Apple
Toegevoegd op 6 augustus 2019
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2019-8527: Ned Williamson van Google en derrek (@derrekr6)
Kernel
Beschikbaar voor: macOS Mojave 10.14.3, macOS High Sierra 10.13.6
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) van het Qihoo 360 Vulcan Team
Toegevoegd op 3 april 2019, bijgewerkt op 1 augustus 2019
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impact: het activeren van een kwaadwillig vervaardigde NFS-netwerkshare kan leiden tot het uitvoeren van willekeurige code met systeembevoegdheden
Beschrijving: een bufferoverloop is verholpen door verbeterde bereikcontrole.
CVE-2019-8508: Dr. Silvio Cesare van InfoSect
Kernel
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-8514: Samuel Groß van Google Project Zero
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8540: Weibo Wang (@ma1fan) van het Qihoo 360 Nirvan Team
Kernel
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-7293: Ned Williamson van Google
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2019-6207: Weibo Wang van het Qihoo 360 Nirvan Team (@ma1fan)
CVE-2019-8510: Stefan Esser van Antid0te UG
Kernel
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een externe aanvaller kan geheugen vrijgeven
Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2019-8547: derrek (@derrekr6)
Toegevoegd op 1 augustus 2019
Kernel
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2019-8525: Zhuo Liang en shrek_wzw van het Qihoo 360 Nirvan Team
Toegevoegd op 1 augustus 2019
libmalloc
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impact: een kwaadaardig programma kan mogelijk beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.
CVE-2018-4433: Vitaly Cheptsov
Toegevoegd op 1 augustus 2019, bijgewerkt op 17 september 2019
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd e-mailbericht kan leiden tot S/MIME-handtekening-spoofing
Beschrijving: er was een probleem bij de verwerking S/MIME-certificaten. Dit probleem is verholpen door een verbeterde validatie van S/MIME-certificaten.
CVE-2019-8642: Maya Sigal en Volker Roth van de Freie Universität Berlin
Toegevoegd op 1 augustus 2019
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de inhoud van met S/MIME gecodeerde e-mails onderscheppen
Beschrijving: er was een probleem bij de verwerking van gecodeerde e-mail. Dit probleem is verholpen door een verbeterde isolatie van MIME in Mail.
CVE-2019-8645: Maya Sigal en Volker Roth van de Freie Universität Berlin
Toegevoegd op 1 augustus 2019
Berichten
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2019-8546: ChiYuan Chang
Modern CCL
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met invoervalidatie is verholpen door een verbeterde geheugenverwerking.
CVE-2019-8579: een anonieme onderzoeker
Toegevoegd op 15 april 2019
Notities
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale gebruiker kan mogelijk de vergrendelde notities van een gebruiker zien
Beschrijving: een toegangsprobleem is opgelost door verbeterd geheugenbeheer.
CVE-2019-8537: Greg Walker (gregwalker.us)
PackageKit
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2019-8561: Jaron Bradley van Crowdstrike
Perl
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: meerdere problemen in Perl
Beschrijving: meerdere problemen in Perl zijn verholpen in deze update.
CVE-2018-12015: Jakub Wilk
CVE-2018-18311: Jayakrishna Menon
CVE-2018-18313: Eiichi Tsukata
Energiebeheer
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er bestonden meerdere problemen met invoervalidatie in door MIG gegenereerde code. Deze problemen zijn verholpen via verbeterde validatie.
CVE-2019-8549: Mohamed Ghannam (@_simo36) van SSD Secure Disclosure (ssd-disclosure.com)
QuartzCore
Beschikbaar voor: macOS Mojave 10.14.3
Impact: de verwerking van kwaadaardige gegevens kan leiden tot het onverwacht beëindigen van het programma
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.
CVE-2019-8507: Kai Lu van FortiGuard Labs van Fortinet
Sandbox
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2019-8618: Brandon Azad
Toegevoegd op 1 augustus 2019
Beveiliging
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2019-8526: Linus Henze (pinauten.de)
Beveiliging
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan beperkt geheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2019-8520: Antonio Groza, National Cyber Security Centre (NCSC) in het VK
Beveiliging
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een niet-vertrouwd certificaat van een radius-server kan worden vertrouwd
Beschrijving: er bestond een validatieprobleem in Trust Anchor Management. Dit probleem is verholpen door een verbeterde validatie.
CVE-2019-8531: een anonieme onderzoeker, QA-team van SecureW2
Beveiliging
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een niet-vertrouwd certificaat van een radius-server kan worden vertrouwd
Beschrijving: er bestond een validatieprobleem in Trust Anchor Management. Dit probleem is verholpen door een verbeterde validatie.
CVE-2019-8531: een anonieme onderzoeker, QA-team van SecureW2
Toegevoegd op 15 mei 2019
Siri
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan een dicteeraanvraag starten zonder autorisatie van de gebruiker
Beschrijving: er was een API-probleem bij de verwerking van dicteeraanvragen. Dit probleem is verholpen door een verbeterde validatie.
CVE-2019-8502: Luke Deshotels van North Carolina State University, Jordan Beichler van North Carolina State University, William Enck van North Carolina State University, Costin Carabaș van University POLITEHNICA in Boekarest en Răzvan Deaconescu van University POLITEHNICA in Boekarest
Time Machine
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een lokale gebruiker kan willekeurige shell-commando's uitvoeren
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2019-8513: CodeColorist van Ant-Financial LightYear Labs
Ondersteuning voor Touch Bar
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8569: Viktor Oreshkin (@stek29)
Toegevoegd op 1 augustus 2019
TrueTypeScaler
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2019-8517: riusksk van VulWar Corp in samenwerking met het Zero Day Initiative van Trend Micro
Wifi
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de status van een besturingsbestand wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2019-8564: Hugues Anguelkov tijdens een stage bij Quarkslab
Toegevoegd op 15 april 2019
Wifi
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de status van een besturingsbestand wijzigen
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-8612: Milan Stute van het Secure Mobile Networking Lab van Technische Universität Darmstadt
Toegevoegd op 1 augustus 2019
Wifi
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een apparaat kan passief worden opgespoord via het wifi-MAC-adres
Beschrijving: een probleem met de privacy van de gebruiker is verholpen door het verwijderen van het broadcast-MAC-adres.
CVE-2019-8567: David Kreitschmann en Milan Stute van Secure Mobile Networking Lab bij de Technische Universität Darmstadt
Toegevoegd op 1 augustus 2019
xar
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd pakket kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een validatieprobleem bij de verwerking van symlinks. Dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)
Toegevoegd op 15 april 2019
XPC
Beschikbaar voor: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan willekeurige bestanden overschrijven
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2019-8530: CodeColorist van Ant-Financial LightYear Labs
Aanvullende erkenning
Accounts
Met dank aan Milan Stute van het Secure Mobile Networking Lab van de Technische Universität Darmstadt voor zijn hulp.
Boeken
Met dank aan Yiğit Can YILMAZ (@yilmazcanyigit) voor zijn hulp.
Kernel
Met dank aan Brandon Azad, Brandon Azad van Google Project Zero, Daniel Roethlisberger van Swisscom CSIRT, Raz Mashat (@RazMashat) van Ilan Ramon High School voor hun hulp.
Bijgewerkt op 17 september 2019
Met dank aan Craig Young van Tripwire VERT en Hanno Böck voor hun hulp.
Time Machine
Met dank aan CodeColorist van Ant-Financial LightYear Labs voor de hulp.