Over de beveiligingsinhoud van macOS Mojave 10.14.4, Beveiligingsupdate 2019-002 High Sierra, Beveiligingsupdate 2019-002 Sierra

In dit document vindt u informatie over de beveiligingsinhoud van macOS Mojave 10.14.4, Beveiligingsupdate 2019-002 High Sierra, Beveiligingsupdate 2019-002 Sierra.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Mojave 10.14.4, Beveiligingsupdate 2019-002 High Sierra, Beveiligingsupdate 2019-002 Sierra

Releasedatum: 25 maart 2019

802.1X

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan netwerkverkeer onderscheppen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2019-6203: Dominic White van SensePost (@singe)

Toegevoegd op 15 april 2019

Accounts

Beschikbaar voor: macOS Mojave 10.14.3

Impact: het verwerken van een kwaadwillig vervaardigd vcf-bestand kan leiden tot een denial of service

Beschrijving: een probleem met denial of service is verholpen door een verbeterde validatie.

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

Toegevoegd op 3 april 2019

APFS

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: er was een logicaprobleem dat geheugenbeschadiging tot gevolg had. Dit is verholpen door verbeterd statusbeheer.

CVE-2019-8534: Mac in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 15 april 2019

AppleGraphicsControl

Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.

CVE-2019-8555: Zhiyi Zhang van het 360 ESG Codesafe Team, Zhuo Liang en shrek_wzw van het Qihoo 360 Nirvan Team

Bom

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een kwaadaardig programma kan Gatekeeper-controles omzeilen

Beschrijving: dit probleem is verholpen door een verbeterde verwerking van metagegevens van bestanden.

CVE-2019-6239: Ian Moorhouse en Michael Trimm

CFString

Beschikbaar voor: macOS Mojave 10.14.3

Impact: het verwerken van een kwaadwillig vervaardigde tekenreeks kan leiden tot een denial of service

Beschrijving: een validatieprobleem is verholpen door verbeterde logica.

CVE-2019-8516: SWIPS Team van Frifee Inc.

configd

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een kwaadaardig programma kan de bevoegdheden verhogen

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

Contacten

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een kwaadaardig programma kan de bevoegdheden verhogen

Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.

CVE-2019-8511: een anonieme onderzoeker

CoreCrypto

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een kwaadaardig programma kan de bevoegdheden verhogen

Beschrijving: een bufferoverloop is verholpen door verbeterde controle van grenzen.

CVE-2019-8542: een anonieme onderzoeker

DiskArbitration

Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: een gecodeerd volume kan worden gedeactiveerd en opnieuw worden geactiveerd door een andere gebruiker zonder het wachtwoord wordt gevraagd.

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2019-8522: Colin Meginnis (@falc420)

FaceTime

Beschikbaar voor: macOS Mojave 10.14.3

Impact: de video van een gebruiker wordt niet onderbroken in een FaceTime-gesprek als de FaceTime-app wordt afgesloten terwijl de oproep overgaat

Beschrijving: er was een probleem met het onderbreken van FaceTime-video. Het probleem is opgelost door verbeterde logica toe te passen.

CVE-2019-8550: Lauren Guzniczak van Keystone Academy

Feedbackassistent

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen

Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.

CVE-2019-8565: CodeColorist van Ant-Financial LightYear Labs

Feedbackassistent

Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: een schadelijk programma kan willekeurige bestanden overschrijven

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2019-8521: CodeColorist van Ant-Financial LightYear Labs

file

Beschikbaar voor: macOS Mojave 10.14.3

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot de onthulling van gebruikersgegevens

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.

CVE-2019-8906: Francisco Alonso

Bijgewerkt op 15 april 2019

Grafische besturingsbestanden

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.

CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) en Junzhi Lu van Trend Micro Research in samenwerking met het Zero Day Initiative van Trend Micro

iAP

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een kwaadaardig programma kan de bevoegdheden verhogen

Beschrijving: een bufferoverloop is verholpen door verbeterde controle van grenzen.

CVE-2019-8542: een anonieme onderzoeker

IOGraphics

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een Mac wordt mogelijk niet vergrendeld wanneer deze wordt losgekoppeld van een externe monitor

Beschrijving: een probleem met vergrendelingsverwerking is verholpen door een verbeterde vergrendelingsverwerking.

CVE-2019-8533: een anonieme onderzoeker, James Eagan van Télécom ParisTech, R. Scott Kemp of MIT en Romke van Dijk van Z-CERT

IOHIDFamily

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2019-8545: Adam Donenfeld (@doadam) van het Zimperium zLabs Team

IOKit

Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: een lokale gebruiker kan het kernelgeheugen lezen

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2019-8504: een anonieme onderzoeker, een anonieme onderzoeker

IOKit SCSI

Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.

CVE-2019-8529: Juwei Lin (@panicaII) van Trend Micro Research in samenwerking met het Zero Day Initiative van Trend Micro

Bijgewerkt op 15 april 2019

Kernel

Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken

Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.

CVE-2019-8527: Ned Williamson van Google en derrek (@derrekr6)

Kernel

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) van het Qihoo 360 Vulcan Team

Toegevoegd op 3 april 2019

Kernel

Beschikbaar voor: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Impact: het activeren van een kwaadwillig vervaardigde NFS-netwerkshare kan leiden tot het uitvoeren van willekeurige code met systeembevoegdheden

Beschrijving: een bufferoverloop is verholpen door verbeterde controle van grenzen.

CVE-2019-8508: Dr. Silvio Cesare van InfoSect

Kernel

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2019-8514: Samuel Groß van Google Project Zero

Kernel

Beschikbaar voor: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2019-8540: Weibo Wang (@ma1fan) van het Qihoo 360 Nirvan Team

Kernel

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een lokale gebruiker kan het kernelgeheugen lezen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2019-7293: Ned Williamson van Google

Kernel

Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen

Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2019-6207: Weibo Wang van het Qihoo 360 Nirvan Team (@ma1fan)

CVE-2019-8510: Stefan Esser van Antid0te UG

Berichten

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken

Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.

CVE-2019-8546: ChiYuan Chang

Modern CCL

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een probleem met invoervalidatie is verholpen door een verbeterde geheugenverwerking.

CVE-2019-8579: een anonieme onderzoeker

Toegevoegd op 15 april 2019

Notities

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een lokale gebruiker kan mogelijk de vergrendelde notities van een gebruiker zien

Beschrijving: een toegangsprobleem is opgelost door verbeterd geheugenbeheer.

CVE-2019-8537: Greg Walker (gregwalker.us)

PackageKit

Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: een kwaadaardig programma kan de bevoegdheden verhogen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2019-8561: Jaron Bradley van Crowdstrike

Perl

Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: meerdere problemen in Perl

Beschrijving: meerdere problemen in Perl zijn verholpen in deze update.

CVE-2018-12015: Jakub Wilk

CVE-2018-18311: Jayakrishna Menon

CVE-2018-18313: Eiichi Tsukata

Energiebeheer

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: er bestonden meerdere problemen met invoervalidatie in door MIG gegenereerde code. Deze problemen zijn opgelost via verbeterde validatie.

CVE-2019-8549: Mohamed Ghannam (@_simo36) van SSD Secure Disclosure (ssd-disclosure.com)

QuartzCore

Beschikbaar voor: macOS Mojave 10.14.3

Impact: de verwerking van kwaadaardige gegevens kan leiden tot het onverwacht beëindigen van het programma

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.

CVE-2019-8507: Kai Lu van FortiGuard Labs van Fortinet

Beveiliging

Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2019-8526: Linus Henze (pinauten.de)

Beveiliging

Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: een kwaadwillig vervaardigd programma kan beperkt geheugen lezen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.

CVE-2019-8520: Antonio Groza, National Cyber Security Centre (NCSC) in het VK

Siri

Beschikbaar voor: macOS Mojave 10.14.3

Impact: een kwaadaardig programma kan een Dicteren-verzoek starten zonder autorisatie van de gebruiker

Beschrijving: er was een API-probleem in het gebruik van de dicteerfunctie. Dit probleem is verholpen door een verbeterde validatie.

CVE-2019-8502: Luke Deshotels van North Carolina State University, Jordan Beichler van North Carolina State University, William Enck van North Carolina State University, Costin Carabaș van University POLITEHNICA in Boekarest en Răzvan Deaconescu van University POLITEHNICA in Boekarest

Time Machine

Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: een lokale gebruiker kan willekeurige shell-commando’s uitvoeren

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2019-8513: CodeColorist van Ant-Financial LightYear Labs

TrueTypeScaler

Beschikbaar voor: macOS Mojave 10.14.3

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde controle van de grenzen.

CVE-2019-8517: riusksk van VulWar Corp in samenwerking met het Zero Day Initiative van Trend Micro

Wifi

Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de status van een besturingsbestand wijzigen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2019-8564: Hugues Anguelkov tijdens een stage bij Quarkslab

Toegevoegd op 15 april 2019

xar

Beschikbaar voor: macOS Mojave 10.14.3

Impact: het verwerken van een kwaadwillig vervaardigd pakket kan leiden tot het uitvoeren van willekeurige code

Beschrijving: Er was een validatieprobleem bij de verwerking van symlinks. Dit probleem is verholpen door een verbeterde validatie van tekst.

CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)

Toegevoegd op 15 april 2019

XPC

Beschikbaar voor: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Impact: een schadelijk programma kan willekeurige bestanden overschrijven

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2019-8530: CodeColorist van Ant-Financial LightYear Labs

Aanvullende erkenning

Accounts

We willen graag Milan Stute van het Secure Mobile Networking Lab van de Technische Universität Darmstadt bedanken voor zijn hulp.

Boeken

Met dank aan Yiğit Can YILMAZ (@yilmazcanyigit) voor de hulp.

Kernel

Met dank aan Brandon Azad van Google Project Zero voor zijn hulp.

Mail

We willen graag Craig Young van Tripwire VERT en Hanno Böck bedanken voor hun hulp.

Time Machine

We willen graag CodeColorist van Ant-Financial LightYear Labs bedanken voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: