Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
macOS Mojave 10.14.4, Beveiligingsupdate 2019-002 High Sierra, Beveiligingsupdate 2019-002 Sierra
Releasedatum: 25 maart 2019
802.1X
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan netwerkverkeer onderscheppen
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-6203: Dominic White van SensePost (@singe)
Toegevoegd op 15 april 2019
Accounts
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd vcf-bestand kan leiden tot een denial of service
Beschrijving: een probleem met denial of service is verholpen door een verbeterde validatie.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
Toegevoegd op 3 april 2019
APFS
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een logicaprobleem dat geheugenbeschadiging tot gevolg had. Dit is verholpen door verbeterd statusbeheer.
CVE-2019-8534: Mac in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 15 april 2019
AppleGraphicsControl
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2019-8555: Zhiyi Zhang van het 360 ESG Codesafe Team, Zhuo Liang en shrek_wzw van het Qihoo 360 Nirvan Team
Bom
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan Gatekeeper-controles omzeilen
Beschrijving: dit probleem is verholpen door een verbeterde verwerking van metagegevens van bestanden.
CVE-2019-6239: Ian Moorhouse en Michael Trimm
CFString
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigde tekenreeks kan leiden tot een denial of service
Beschrijving: een validatieprobleem is verholpen door verbeterde logica.
CVE-2019-8516: SWIPS Team van Frifee Inc.
configd
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Contacten
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8511: een anonieme onderzoeker
CoreCrypto
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een bufferoverloop is verholpen door verbeterde controle van grenzen.
CVE-2019-8542: een anonieme onderzoeker
DiskArbitration
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een gecodeerd volume kan worden gedeactiveerd en opnieuw worden geactiveerd door een andere gebruiker zonder het wachtwoord wordt gevraagd.
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-8522: Colin Meginnis (@falc420)
FaceTime
Beschikbaar voor: macOS Mojave 10.14.3
Impact: de video van een gebruiker wordt niet onderbroken in een FaceTime-gesprek als de FaceTime-app wordt afgesloten terwijl de oproep overgaat
Beschrijving: er was een probleem met het onderbreken van FaceTime-video. Het probleem is opgelost door verbeterde logica toe te passen.
CVE-2019-8550: Lauren Guzniczak van Keystone Academy
Feedbackassistent
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2019-8565: CodeColorist van Ant-Financial LightYear Labs
Feedbackassistent
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een schadelijk programma kan willekeurige bestanden overschrijven
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2019-8521: CodeColorist van Ant-Financial LightYear Labs
file
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot de onthulling van gebruikersgegevens
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.
CVE-2019-8906: Francisco Alonso
Bijgewerkt op 15 april 2019
Grafische besturingsbestanden
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.
CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) en Junzhi Lu van Trend Micro Research in samenwerking met het Zero Day Initiative van Trend Micro
iAP
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een bufferoverloop is verholpen door verbeterde controle van grenzen.
CVE-2019-8542: een anonieme onderzoeker
IOGraphics
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een Mac wordt mogelijk niet vergrendeld wanneer deze wordt losgekoppeld van een externe monitor
Beschrijving: een probleem met vergrendelingsverwerking is verholpen door een verbeterde vergrendelingsverwerking.
CVE-2019-8533: een anonieme onderzoeker, James Eagan van Télécom ParisTech, R. Scott Kemp of MIT en Romke van Dijk van Z-CERT
IOHIDFamily
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2019-8545: Adam Donenfeld (@doadam) van het Zimperium zLabs Team
IOKit
Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8504: een anonieme onderzoeker, een anonieme onderzoeker
IOKit SCSI
Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2019-8529: Juwei Lin (@panicaII) van Trend Micro Research in samenwerking met het Zero Day Initiative van Trend Micro
Bijgewerkt op 15 april 2019
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2019-8527: Ned Williamson van Google en derrek (@derrekr6)
Kernel
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) van het Qihoo 360 Vulcan Team
Toegevoegd op 3 april 2019
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impact: het activeren van een kwaadwillig vervaardigde NFS-netwerkshare kan leiden tot het uitvoeren van willekeurige code met systeembevoegdheden
Beschrijving: een bufferoverloop is verholpen door verbeterde controle van grenzen.
CVE-2019-8508: Dr. Silvio Cesare van InfoSect
Kernel
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-8514: Samuel Groß van Google Project Zero
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8540: Weibo Wang (@ma1fan) van het Qihoo 360 Nirvan Team
Kernel
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-7293: Ned Williamson van Google
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2019-6207: Weibo Wang van het Qihoo 360 Nirvan Team (@ma1fan)
CVE-2019-8510: Stefan Esser van Antid0te UG
Berichten
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2019-8546: ChiYuan Chang
Modern CCL
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met invoervalidatie is verholpen door een verbeterde geheugenverwerking.
CVE-2019-8579: een anonieme onderzoeker
Toegevoegd op 15 april 2019
Notities
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale gebruiker kan mogelijk de vergrendelde notities van een gebruiker zien
Beschrijving: een toegangsprobleem is opgelost door verbeterd geheugenbeheer.
CVE-2019-8537: Greg Walker (gregwalker.us)
PackageKit
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2019-8561: Jaron Bradley van Crowdstrike
Perl
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: meerdere problemen in Perl
Beschrijving: meerdere problemen in Perl zijn verholpen in deze update.
CVE-2018-12015: Jakub Wilk
CVE-2018-18311: Jayakrishna Menon
CVE-2018-18313: Eiichi Tsukata
Energiebeheer
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er bestonden meerdere problemen met invoervalidatie in door MIG gegenereerde code. Deze problemen zijn opgelost via verbeterde validatie.
CVE-2019-8549: Mohamed Ghannam (@_simo36) van SSD Secure Disclosure (ssd-disclosure.com)
QuartzCore
Beschikbaar voor: macOS Mojave 10.14.3
Impact: de verwerking van kwaadaardige gegevens kan leiden tot het onverwacht beëindigen van het programma
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.
CVE-2019-8507: Kai Lu van FortiGuard Labs van Fortinet
Beveiliging
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2019-8526: Linus Henze (pinauten.de)
Beveiliging
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadwillig vervaardigd programma kan beperkt geheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.
CVE-2019-8520: Antonio Groza, National Cyber Security Centre (NCSC) in het VK
Siri
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan een Dicteren-verzoek starten zonder autorisatie van de gebruiker
Beschrijving: er was een API-probleem in het gebruik van de dicteerfunctie. Dit probleem is verholpen door een verbeterde validatie.
CVE-2019-8502: Luke Deshotels van North Carolina State University, Jordan Beichler van North Carolina State University, William Enck van North Carolina State University, Costin Carabaș van University POLITEHNICA in Boekarest en Răzvan Deaconescu van University POLITEHNICA in Boekarest
Time Machine
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een lokale gebruiker kan willekeurige shell-commando’s uitvoeren
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2019-8513: CodeColorist van Ant-Financial LightYear Labs
TrueTypeScaler
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.
CVE-2019-8517: riusksk van VulWar Corp in samenwerking met het Zero Day Initiative van Trend Micro
Wifi
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de status van een besturingsbestand wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2019-8564: Hugues Anguelkov tijdens een stage bij Quarkslab
Toegevoegd op 15 april 2019
xar
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd pakket kan leiden tot het uitvoeren van willekeurige code
Beschrijving: Er was een validatieprobleem bij de verwerking van symlinks. Dit probleem is verholpen door een verbeterde validatie van tekst.
CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)
Toegevoegd op 15 april 2019
XPC
Beschikbaar voor: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impact: een schadelijk programma kan willekeurige bestanden overschrijven
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2019-8530: CodeColorist van Ant-Financial LightYear Labs
Aanvullende erkenning
Accounts
We willen graag Milan Stute van het Secure Mobile Networking Lab van de Technische Universität Darmstadt bedanken voor zijn hulp.
Boeken
Met dank aan Yiğit Can YILMAZ (@yilmazcanyigit) voor de hulp.
Kernel
Met dank aan Brandon Azad van Google Project Zero voor zijn hulp.
We willen graag Craig Young van Tripwire VERT en Hanno Böck bedanken voor hun hulp.
Time Machine
We willen graag CodeColorist van Ant-Financial LightYear Labs bedanken voor de hulp.