Om sikkerhetsinnholdet i macOS Mojave 10.14.6, sikkerhetsoppdatering 2019-004 High Sierra og sikkerhetsoppdatering 2019-004 Sierra

I dette dokumentet beskrives sikkerhetsinnholdet i macOS Mojave 10.14.6, sikkerhetsoppdatering 2019-004 High Sierra og sikkerhetsoppdatering 2019-004 Sierra.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

macOS Mojave 10.14.6, sikkerhetsoppdatering 2019-004 High Sierra og sikkerhetsoppdatering 2019-004 Sierra

Utgitt 22. juli 2019

AppleGraphicsControl

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2019-8693: Arash Tohidi fra Solita

autofs

Tilgjengelig for: macOS Sierra 10.12.6, macOS High Sierra 10.14.5 og macOS Mojave 10.13.6

Virkning: Utpakking av en zip-fil som inneholder en symbolsk kobling til et sluttpunkt på et NFS-monteringspunkt som kontrolleres av en angriper, kan omgå Gatekeeper

Beskrivelse: Dette ble løst med tilleggskontroller fra Gatekeeper på filer som monteres gjennom delte nettverksressurser.

CVE-2019-8656: Filippo Cavallarin

Bluetooth

Tilgjengelig for: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2018-19860

Carbon Core

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2019-8661: Natalie Silvanovich fra Google Project Zero

Core Data

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8646: Natalie Silvanovich fra Google Project Zero

Core Data

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2019-8660: Samuel Groß og Natalie Silvanovich fra Google Project Zero

Diskadministrering

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8697: ccpwd i samarbeid med Trend Micro Zero Day Initiative

FaceTime

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2019-8648: Tao Huang og Tielei Wang fra Team Pangu

Funnet i apper

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2019-8663: Natalie Silvanovich fra Google Project Zero

Foundation

Tilgjengelig for: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8641: Samuel Groß og Natalie Silvanovich fra Google Project Zero

Grapher

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8695: riusksk fra VulWar Corp i samarbeid med Trend Micro Zero Day Initiative

Grafikkdrivere

Tilgjengelig for: macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2019-8691: Aleksandr Tarasikov (@astarasikov), Arash Tohidi fra Solita, Lilang Wu og Moony Li fra Trend Micro

CVE-2019-8692: Lilang Wu og Moony Li fra Trend Micro

Heimdal

Tilgjengelig for: macOS Sierra 10.12.6 og macOS High Sierra 10.13.6, macOS Mojave 10.14.5

Virkning: Det fantes et problem i Samba som kan gjøre det mulig for angripere å utføre uautoriserte handlinger ved å fange opp kommunikasjon mellom tjenester

Beskrivelse: Problemet ble løst med forbedrede kontroller for å forhindre uautoriserte handlinger.

CVE-2018-16860: Isaac Boukris og Andrew Bartlett fra Samba Team og Catalyst

IOAcceleratorFamily

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8694: Arash Tohidi fra Solita

libxslt

Tilgjengelig for: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Virkning: En ekstern angriper kan være i stand til å se sensitiv brukerinformasjon

Beskrivelse: En stabeloverflyt ble rettet ved å forbedre valideringen av inndata.

CVE-2019-13118: funnet av OSS-Fuzz

Hurtigvisning

Tilgjengelig for: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Virkning: Angripere kan utløse bruk-etter-frigivelse i en applikasjon som deserialiserer en ikke-godkjent NSDictionary

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2019-8662: Natalie Silvanovich og Samuel Groß fra Google Project Zero

Safari

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8670: Tsubasa FUJII (@reinforchu)

Sikkerhet

Tilgjengelig for: macOS Sierra 10.12.6 og macOS High Sierra 10.13.6

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8697: ccpwd i samarbeid med Trend Micro Zero Day Initiative

Siri

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8646: Natalie Silvanovich fra Google Project Zero

Time Machine

Tilgjengelig for: macOS Mojave 10.14.5

Innvirkning: Krypteringsstatus for en Time Machine-sikkerhetskopi kan være feil

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8667: Roland Kletzing fra cyber:con GmbH

UIFoundation

Tilgjengelig for: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Virkning: Parsing av et skadelig Office-dokument kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8657: riusksk fra VulWar Corp i samarbeid med Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Det fantes et logisk problem i håndteringen av dokumentinnlastinger. Problemet ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8690: Sergei Glazunov fra Google Project Zero

WebKit

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Det fantes et logisk problem i håndteringen av synkrone sideinnlastinger. Problemet ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8649: Sergei Glazunov fra Google Project Zero

WebKit

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8658: akayn i samarbeid med Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8644: G. Geshev i samarbeid med Trend Micro Zero Day Initiative

CVE-2019-8666: Zongming Wang (王宗明) og Zhe Jin (金哲) fra Chengdu Security Response Center ved Qihoo 360 Technology Co. Ltd.

CVE-2019-8669: akayn i samarbeid med Trend Micro Zero Day Initiative

CVE-2019-8671: Apple

CVE-2019-8672: Samuel Groß fra Google Project Zero

CVE-2019-8673: Soyeon Park og Wen Xu fra SSLab ved Georgia Tech

CVE-2019-8676: Soyeon Park og Wen Xu fra SSLab ved Georgia Tech

CVE-2019-8677: Jihui Lu fra Tencent KeenLab

CVE-2019-8678: en anonym forsker, Anthony Lai (@darkfloyd1014) fra Knownsec, Ken Wong (@wwkenwong) fra VXRL, Jeonghoon Shin (@singi21a) fra Theori, Johnny Yu (@straight_blast) fra VX Browser Exploitation Group, Chris Chan (@dr4g0nfl4me) fra VX Browser Exploitation Group, Phil Mok (@shadyhamsters) fra VX Browser Exploitation Group, Alan Ho (@alan_h0) fra Knownsec, Byron Wai fra VX Browser Exploitation

CVE-2019-8679: Jihui Lu fra Tencent KeenLab

CVE-2019-8680: Jihui Lu fra Tencent KeenLab

CVE-2019-8681: G. Geshev i samarbeid med Trend Micro Zero Day Initiative

CVE-2019-8683: lokihardt fra Google Project Zero

CVE-2019-8684: lokihardt fra Google Project Zero

CVE-2019-8685: akayn, Dongzhuo Zhao i samarbeid med ADLab ved Venustech, Ken Wong (@wwkenwong) fra VXRL, Anthony Lai (@darkfloyd1014) fra VXRL og Eric Lung (@Khlung1) fra VXRL

CVE-2019-8686: G. Geshev i samarbeid med Trend Micro Zero Day Initiative

CVE-2019-8687: Apple

CVE-2019-8688: Insu Yun fra SSLab ved Georgia Tech

CVE-2019-8689: lokihardt fra Google Project Zero

Ytterligere anerkjennelse

Klasserom

Vi vil gjerne takke Jeff Johnson fra underpassapp.com for hjelpen.

Game Center

Vi vil gjerne takke Min (Spark) Zheng og Xiaolong Bai fra Alibaba Inc. for hjelpen.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: