Over de beveiligingsinhoud van macOS Mojave 10.14.4, Beveiligingsupdate 2019-002 High Sierra, Beveiligingsupdate 2019-002 Sierra
In dit document vindt u informatie over de beveiligingsinhoud van macOS Mojave 10.14.4, Beveiligingsupdate 2019-002 High Sierra, Beveiligingsupdate 2019-002 Sierra.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
macOS Mojave 10.14.4, Beveiligingsupdate 2019-002 High Sierra, Beveiligingsupdate 2019-002 Sierra
802.1X
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkverkeer onderscheppen
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-6203: Dominic White van SensePost (@singe)
802.1X
Beschikbaar voor: macOS High Sierra 10.13.6
Impact: een niet-vertrouwd certificaat van een radius-server kan worden vertrouwd
Beschrijving: er bestond een validatieprobleem in Trust Anchor Management. Dit probleem is verholpen door een verbeterde validatie.
CVE-2019-8531: een anonieme onderzoeker, QA-team van SecureW2
Accounts
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd vcf-bestand kan leiden tot een denial of service
Beschrijving: een probleem met denial of service is verholpen door een verbeterde validatie.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
APFS
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een logicaprobleem dat geheugenbeschadiging tot gevolg had. Dit is verholpen door verbeterd statusbeheer.
CVE-2019-8534: Mac in samenwerking met het Zero Day Initiative van Trend Micro
AppleGraphicsControl
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2019-8555: Zhiyi Zhang van het 360 ESG Codesafe Team, Zhuo Liang en shrek_wzw van het Qihoo 360 Nirvan Team
Bom
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan Gatekeeper-controles omzeilen
Beschrijving: dit probleem is verholpen door een verbeterde verwerking van metagegevens van bestanden.
CVE-2019-6239: Ian Moorhouse en Michael Trimm
CFString
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigde tekenreeks kan leiden tot een denial of service
Beschrijving: een validatieprobleem is verholpen door verbeterde logica.
CVE-2019-8516: SWIPS Team van Frifee Inc.
configd
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Contacten
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8511: een anonieme onderzoeker
CoreCrypto
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2019-8542: een anonieme onderzoeker
DiskArbitration
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een versleuteld volume kan worden gedeactiveerd en opnieuw worden geactiveerd door een andere gebruiker zonder te vragen om het wachtwoord
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-8522: Colin Meginnis (@falc420)
FaceTime
Beschikbaar voor: macOS Mojave 10.14.3
Impact: de video van een gebruiker wordt niet onderbroken in een FaceTime-gesprek als de FaceTime-app wordt afgesloten terwijl de oproep overgaat
Beschrijving: er was een probleem met het onderbreken van FaceTime-video. Het probleem is verholpen door verbeterde logica toe te passen.
CVE-2019-8550: Lauren Guzniczak van Keystone Academy
FaceTime
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale aanvaller kan contacten bekijken vanaf het toegangsscherm
Beschrijving: door een probleem met het toegangsscherm waren contacten op een vergrendeld apparaat toegankelijk. Dit probleem is opgelost door een verbeterd statusbeheer.
CVE-2019-8777: Abdullah H. AlJaber (@aljaber) van AJ.SA
Feedbackassistent
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2019-8565: CodeColorist van Ant-Financial LightYear Labs
Feedbackassistent
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan willekeurige bestanden overschrijven
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2019-8521: CodeColorist van Ant-Financial LightYear Labs
file
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot de onthulling van gebruikersgegevens
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2019-8906: Francisco Alonso
Grafische besturingsbestanden
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) en Junzhi Lu van Trend Micro Research in samenwerking met het Zero Day Initiative van Trend Micro, Lilang Wu en Moony Li van Trend Micro
iAP
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2019-8542: een anonieme onderzoeker
IOGraphics
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een Mac wordt mogelijk niet vergrendeld wanneer deze wordt losgekoppeld van een externe monitor
Beschrijving: een probleem met vergrendelingsverwerking is verholpen door een verbeterde vergrendelingsverwerking.
CVE-2019-8533: een anonieme onderzoeker, James Eagan van Télécom ParisTech, R. Scott Kemp of MIT en Romke van Dijk van Z-CERT
IOHIDFamily
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2019-8545: Adam Donenfeld (@doadam) van het Zimperium zLabs Team
IOKit
Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8504: een anonieme onderzoeker
IOKit SCSI
Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2019-8529: Juwei Lin (@panicaII) van Trend Micro Research in samenwerking met het Zero Day Initiative van Trend Micro
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2018-4448: Brandon Azad
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een externe aanvaller kan mogelijk netwerkverkeersgegevens wijzigen
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van IPv6-pakketten. Dit probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2019-5608: Apple
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2019-8527: Ned Williamson van Google en derrek (@derrekr6)
Kernel
Beschikbaar voor: macOS Mojave 10.14.3, macOS High Sierra 10.13.6
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) van het Qihoo 360 Vulcan Team
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impact: het activeren van een kwaadwillig vervaardigde NFS-netwerkshare kan leiden tot het uitvoeren van willekeurige code met systeembevoegdheden
Beschrijving: een bufferoverloop is verholpen door verbeterde bereikcontrole.
CVE-2019-8508: Dr. Silvio Cesare van InfoSect
Kernel
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-8514: Samuel Groß van Google Project Zero
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8540: Weibo Wang (@ma1fan) van het Qihoo 360 Nirvan Team
Kernel
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-7293: Ned Williamson van Google
Kernel
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2019-6207: Weibo Wang van het Qihoo 360 Nirvan Team (@ma1fan)
CVE-2019-8510: Stefan Esser van Antid0te UG
Kernel
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een externe aanvaller kan geheugen vrijgeven
Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2019-8547: derrek (@derrekr6)
Kernel
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2019-8525: Zhuo Liang en shrek_wzw van het Qihoo 360 Nirvan Team
libmalloc
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impact: een kwaadaardig programma kan mogelijk beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een configuratieprobleem is verholpen door extra beperkingen.
CVE-2018-4433: Vitaly Cheptsov
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd e-mailbericht kan leiden tot S/MIME-handtekening-spoofing
Beschrijving: er was een probleem bij de verwerking S/MIME-certificaten. Dit probleem is verholpen door een verbeterde validatie van S/MIME-certificaten.
CVE-2019-8642: Maya Sigal en Volker Roth van de Freie Universität Berlin
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de inhoud van met S/MIME versleutelde e-mails onderscheppen
Beschrijving: er was een probleem bij de verwerking van versleutelde e-mail. Dit probleem is verholpen door een verbeterde isolatie van MIME in Mail.
CVE-2019-8645: Maya Sigal en Volker Roth van de Freie Universität Berlin
Berichten
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2019-8546: ChiYuan Chang
Modern CCL
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met invoervalidatie is verholpen door een verbeterde geheugenverwerking.
CVE-2019-8579: een anonieme onderzoeker
Notities
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een lokale gebruiker kan mogelijk de vergrendelde notities van een gebruiker zien
Beschrijving: een toegangsprobleem is verholpen door verbeterd geheugenbeheer.
CVE-2019-8537: Greg Walker (gregwalker.us)
PackageKit
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2019-8561: Jaron Bradley van Crowdstrike
Perl
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: meerdere problemen in Perl
Beschrijving: meerdere problemen in Perl zijn verholpen in deze update.
CVE-2018-12015: Jakub Wilk
CVE-2018-18311: Jayakrishna Menon
CVE-2018-18313: Eiichi Tsukata
Energiebeheer
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er bestonden meerdere problemen met invoervalidatie in door MIG gegenereerde code. Deze problemen zijn verholpen via verbeterde validatie.
CVE-2019-8549: Mohamed Ghannam (@_simo36) van SSD Secure Disclosure (ssd-disclosure.com)
QuartzCore
Beschikbaar voor: macOS Mojave 10.14.3
Impact: de verwerking van kwaadaardige gegevens kan leiden tot het onverwacht beëindigen van het programma
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.
CVE-2019-8507: Kai Lu van FortiGuard Labs van Fortinet
Sandbox
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2019-8618: Brandon Azad
Beveiliging
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2019-8526: Linus Henze (pinauten.de)
Beveiliging
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan beperkt geheugen lezen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2019-8520: Antonio Groza, National Cyber Security Centre (NCSC) in het VK
Beveiliging
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een niet-vertrouwd certificaat van een radius-server kan worden vertrouwd
Beschrijving: er bestond een validatieprobleem in Trust Anchor Management. Dit probleem is verholpen door een verbeterde validatie.
CVE-2019-8531: een anonieme onderzoeker, QA-team van SecureW2
Beveiliging
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een niet-vertrouwd certificaat van een radius-server kan worden vertrouwd
Beschrijving: er bestond een validatieprobleem in Trust Anchor Management. Dit probleem is verholpen door een verbeterde validatie.
CVE-2019-8531: een anonieme onderzoeker, QA-team van SecureW2
Siri
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan een dicteeraanvraag starten zonder autorisatie van de gebruiker
Beschrijving: er was een API-probleem bij de verwerking van dicteeraanvragen. Dit probleem is verholpen door een verbeterde validatie.
CVE-2019-8502: Luke Deshotels van North Carolina State University, Jordan Beichler van North Carolina State University, William Enck van North Carolina State University, Costin Carabaș van University POLITEHNICA in Boekarest en Răzvan Deaconescu van University POLITEHNICA in Boekarest
Time Machine
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een lokale gebruiker kan willekeurige shell-commando's uitvoeren
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2019-8513: CodeColorist van Ant-Financial LightYear Labs
Ondersteuning voor Touch Bar
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8569: Viktor Oreshkin (@stek29)
TrueTypeScaler
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2019-8517: riusksk van VulWar Corp in samenwerking met het Zero Day Initiative van Trend Micro
Wifi
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de status van een besturingsbestand wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2019-8564: Hugues Anguelkov tijdens een stage bij Quarkslab
Wifi
Beschikbaar voor: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de status van een besturingsbestand wijzigen
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-8612: Milan Stute van het Secure Mobile Networking Lab van Technische Universität Darmstadt
Wifi
Beschikbaar voor: macOS Mojave 10.14.3
Impact: een apparaat kan passief worden opgespoord aan de hand van het wifi-MAC-adres
Beschrijving: een probleem met de privacy van de gebruiker is verholpen door het verwijderen van het broadcast-MAC-adres.
CVE-2019-8567: David Kreitschmann en Milan Stute van Secure Mobile Networking Lab bij de Technische Universität Darmstadt
xar
Beschikbaar voor: macOS Mojave 10.14.3
Impact: het verwerken van een kwaadwillig vervaardigd pakket kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een validatieprobleem bij de verwerking van symlinks. Dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)
XPC
Beschikbaar voor: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impact: een kwaadaardig programma kan willekeurige bestanden overschrijven
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2019-8530: CodeColorist van Ant-Financial LightYear Labs
Aanvullende erkenning
Accounts
Met dank aan Milan Stute van het Secure Mobile Networking Lab van de Technische Universität Darmstadt voor zijn hulp.
Boeken
Met dank aan Yiğit Can YILMAZ (@yilmazcanyigit) voor zijn hulp.
Kernel
Met dank aan Brandon Azad, Brandon Azad van Google Project Zero, Daniel Roethlisberger van Swisscom CSIRT, Raz Mashat (@RazMashat) van Ilan Ramon High School voor hun hulp.
Met dank aan Craig Young van Tripwire VERT en Hanno Böck voor hun hulp.
Time Machine
Met dank aan CodeColorist van Ant-Financial LightYear Labs voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.