Over de beveiligingsinhoud van macOS Catalina 10.15.4, Beveiligingsupdate 2020-002 Mojave, Beveiligingsupdate 2020-002 High Sierra

In dit document wordt de beveiligingsinhoud beschreven van macOS Catalina 10.15.4, Beveiligingsupdate 2020-002 Mojave en Beveiligingsupdate 2020-002 High Sierra.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

macOS Catalina 10.15.4, Beveiligingsupdate 2020-002 Mojave, Beveiligingsupdate 2020-002 High Sierra

Releasedatum: 24 maart 2020

Apple HSSPI Support

Beschikbaar voor: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2020-3903: Proteas van het Qihoo 360 Nirvan Team

Bijgewerkt op 1 mei 2020

AppleGraphicsControl

Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterd statusbeheer.

CVE-2020-3904: Proteas van het Qihoo 360 Nirvan Team

AppleMobileFileIntegrity

Beschikbaar voor: macOS Catalina 10.15.3

Impact: een app kan mogelijk arbitraire bevoegdheden gebruiken

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2020-3883: Linus Henze (pinauten.de)

Bluetooth

Beschikbaar voor: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-3907: Yu Wang van Didi Research America

CVE-2020-3908: Yu Wang van Didi Research America

CVE-2020-3912: Yu Wang van Didi Research America

Bluetooth

Beschikbaar voor: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2020-3892: Yu Wang van Didi Research America

CVE-2020-3893: Yu Wang van Didi Research America

CVE-2020-3905: Yu Wang van Didi Research America

Bluetooth

Beschikbaar voor: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2019-8853: Jianjun Dai van het Qihoo 360 Alpha Lab

Gespreksgeschiedenis

Beschikbaar voor: macOS Catalina 10.15.3

Impact: een schadelijk programma kan toegang krijgen tot de gespreksgeschiedenis van een gebruiker

Beschrijving: dit probleem is verholpen door middel van een nieuwe bevoegdheid.

CVE-2020-9776: Benjamin Randazzo (@____benjamin)

CoreBluetooth

Beschikbaar voor: macOS Catalina 10.15.3

Impact: een externe aanvaller kan gevoelige gebruikersgegevens bekendmaken

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2020-9828: Jianjun Dai van Qihoo 360 Alpha Lab

Toegevoegd op 13 mei 2020

CoreFoundation

Beschikbaar voor: macOS Catalina 10.15.3

Impact: een kwaadaardig programma kan de bevoegdheden verhogen

Beschrijving: er was een probleem met bevoegdheden. Dit probleem is verholpen door een verbeterde validatie van bevoegdheden.

CVE-2020-3913: Timo Christ van Avira Operations GmbH & Co. KG

CUPS

Beschikbaar voor: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2020-3898: Stephan Zeisberg (github.com/stze) van Security Research Labs (srlabs.de)

Toegevoegd op 8 april 2020

FaceTime

Beschikbaar voor: macOS Catalina 10.15.3

Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2020-3881: Yuval Ron, Amichai Shulman en Eli Biham van Technion - Israel Institute of Technology

Symbolen

Beschikbaar voor: macOS Catalina 10.15.3

Impact: een kwaadaardige app kan mogelijk identificeren welke andere apps een gebruiker heeft geïnstalleerd

Beschrijving: het probleem is verholpen door een verbeterde verwerking van symboolcaches.

CVE-2020-9773: Chilik Tamir van Zimperium zLabs

Intel Graphics Driver

Beschikbaar voor: macOS Catalina 10.15.3

Impact: een schadelijk programma kan beperkt geheugen vrijgeven

Beschrijving: een probleem met vrijgave van gegevens is opgelost door verbeterd statusbeheer.

CVE-2019-14615: Wenjian HE van Hong Kong University of Science and Technology, Wei Zhang van Hong Kong University of Science and Technology, Sharad Sinha van Indian Institute of Technology Goa en Sanjeev Das van University of North Carolina

IOHIDFamily

Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2020-3919: een anonieme onderzoeker

IOThunderboltFamily

Beschikbaar voor: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2020-3851: Xiaolong Bai en Min (Spark) Zheng van Alibaba Inc. en Luyi Xing van Indiana University Bloomington

Kernel

Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.

CVE-2020-3914: pattern-f (@pattern_F_) van WaCai

Kernel

Beschikbaar voor: macOS Catalina 10.15.3

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterd statusbeheer.

CVE-2020-9785: Proteas van het Qihoo 360 Nirvan Team

libxml2

Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Impact: meerdere problemen in libxml2

Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.

CVE-2020-3909: LGTM.com

CVE-2020-3911: gevonden door OSS-Fuzz

libxml2

Beschikbaar voor: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Impact: meerdere problemen in libxml2

Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.

CVE-2020-3910: LGTM.com

Mail

Beschikbaar voor: macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Impact: een externe aanvaller kan het uitvoeren van willekeurige JavaScript-code veroorzaken

Beschrijving: een probleem met invoegen is opgelost door een verbeterde validatie.

CVE-2020-3884: Apple

Afdrukken

Beschikbaar voor: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Impact: een kwaadaardig programma kan willekeurige bestanden overschrijven

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2020-3915: een anonieme onderzoeker in samenwerking met iDefense Labs (https://vcp.idefense.com/), HyungSeok Han (DaramG) @Theori in samenwerking met het Zero Day Initiative van TrendMicro

Toegevoegd op 1 mei 2020

Safari

Beschikbaar voor: macOS Catalina 10.15.3

Impact: de privébrowseractiviteit van een gebruiker kan onverwachts worden bewaard in Schermtijd

Beschrijving: er was een probleem bij de verwerking van tabbladen die een video 'beeld in beeld' weergeven. Het probleem is verholpen door een verbeterde werking van de status.

CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com) en Sambor Wawro van STO64 School, Krakau, Polen

Toegevoegd op 13 mei 2020

Sandbox

Beschikbaar voor: macOS Catalina 10.15.3

Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken

Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.

CVE-2020-3918: Augusto Alvarez van Outcourse Limited

Toegevoegd op 8 april 2020

sudo

Beschikbaar voor: macOS Catalina 10.15.3

Impact: een aanvaller kan opdrachten uitvoeren als een niet-bestaande gebruiker

Beschrijving: dit probleem is verholpen door een update van sudo naar versie 1.8.31.

CVE-2019-19232

sysdiagnose

Beschikbaar voor: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impact: een applicatie kan mogelijk een sysdiagnose veroorzaken

Beschrijving: dit probleem is verholpen door middel van verbeterde controles

CVE-2020-9786: Dayton Pidhirney (@_watbulb) van Seekintoo (@seekintoo)

Toegevoegd op 4 april 2020

TCC

Beschikbaar voor: macOS Mojave 10.14.6, macOS Catalina 10.15.3

Impact: een kwaadwillig vervaardigd programma kan het afdwingen van codeondertekening omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2020-3906: Patrick Wardle van Jamf

Time Machine

Beschikbaar voor: macOS Catalina 10.15.3

Impact: een lokale gebruiker kan willekeurige bestanden lezen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2020-3889: Lasse Trolle Borup van Danish Cyber Defence

Vim

Beschikbaar voor: macOS Catalina 10.15.3

Impact: meerdere problemen in Vim

Beschrijving: meerdere problemen zijn verholpen door bij te werken naar versie 8.1.1850.

CVE-2020-9769: Steve Hahn van LinkedIn

WebKit

Beschikbaar voor: macOS Catalina 10.15.3

Impact: sommige websites werden mogelijk niet weergegeven in Safari-voorkeuren

Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

Toegevoegd op 8 april 2020

Aanvullende erkenning

CoreText

Met dank aan een anonieme onderzoeker voor de hulp.

FireWire Audio

Met dank aan Xiaolong Bai en Min (Spark) Zheng van Alibaba Inc. en Luyi Xing van Indiana University Bloomington voor de hulp.

FontParser

Met dank aan Matthew Denton van Google Chrome voor de hulp.

Install Framework Legacy

Met dank aan Pris Sears van Virginia Tech, Tom Lynch van UAL Creative Computing Institute en een anonieme onderzoeker voor de hulp.

LinkPresentation

Met dank aan Travis voor de hulp.

OpenSSH

Met dank aan een anonieme onderzoeker voor de hulp.

rapportd

Met dank aan Alexander Heinrich (@Sn0wfreeze) van Technische Universität Darmstadt voor de hulp.

Sidecar

Met dank aan Rick Backley (@rback_sec) voor de hulp.

sudo

Met dank aan Giorgio Oppo (linkedin.com/in/giorgio-oppo/) bedanken voor de hulp.

Toegevoegd op 4 april 2020

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: