Om sikkerhetsinnholdet i macOS Mojave 10.14.6, sikkerhetsoppdatering 2019-004 High Sierra og sikkerhetsoppdatering 2019-004 Sierra

I dette dokumentet beskrives sikkerhetsinnholdet i macOS Mojave 10.14.6, sikkerhetsoppdatering 2019-004 High Sierra og sikkerhetsoppdatering 2019-004 Sierra.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

macOS Mojave 10.14.6, sikkerhetsoppdatering 2019-004 High Sierra og sikkerhetsoppdatering 2019-004 Sierra

Utgitt 22. juli 2019

AppleGraphicsControl

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2019-8693: Arash Tohidi fra Solita

autofs

Tilgjengelig for: macOS Sierra 10.12.6, macOS Mojave 10.14.5 og macOS High Sierra 10.13.6

Virkning: Utpakking av en zip-fil som inneholder en symbolsk kobling til et sluttpunkt på et NFS-monteringspunkt som kontrolleres av en angriper, kan omgå Gatekeeper

Beskrivelse: Dette ble løst med tilleggskontroller fra Gatekeeper på filer som aktiveres gjennom delte nettverksressurser.

CVE-2019-8656: Filippo Cavallarin

Bluetooth

Tilgjengelig for: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2018-19860

Bluetooth

Tilgjengelig for: macOS Sierra 10.12.6, macOS Mojave 10.14.5 og macOS High Sierra 10.13.6

Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å forstyrre Bluetooth-trafikk (Key Negotiation of Bluetooth – KNOB)

Beskrivelse: Det var et problem med validering av inndata i Bluetooth. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2019-9506: Daniele Antonioli fra SUTD, Singapore, Dr. Nils Ole Tippenhauer fra CISPA, Tyskland og professor Kasper Rasmussen fra University of Oxford, England

Oppføring lagt til 13. august 2019

Carbon Core

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2019-8661: Natalie Silvanovich fra Google Project Zero

Core Data

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8646: Natalie Silvanovich fra Google Project Zero

Core Data

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2019-8660: Samuel Groß og Natalie Silvanovich fra Google Project Zero

CUPS

Tilgjengelig for: macOS Sierra 10.12.6, macOS Mojave 10.14.5 og macOS High Sierra 10.13.6

Virkning: En angriper i en privilegert nettverksposisjon kan utføre vilkårlig kode

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2019-8675: Stephan Zeisberg (github.com/stze) fra Security Research Labs (srlabs.de)

CVE-2019-8696: Stephan Zeisberg (github.com/stze) fra Security Research Labs (srlabs.de)

Oppføring lagt til 14. august 2019, oppdatert 17. september 2019

Diskadministrering

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8539: ccpwd i samarbeid med Trend Micros Zero Day Initiative

Oppføring lagt til 17. september 2019

Diskadministrering

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8697: ccpwd i samarbeid med Trend Micros Zero Day Initiative

FaceTime

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2019-8648: Tao Huang og Tielei Wang fra Team Pangu

Funnet i apper

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2019-8663: Natalie Silvanovich fra Google Project Zero

Foundation

Tilgjengelig for: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8641: Samuel Groß og Natalie Silvanovich fra Google Project Zero

Grapher

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8695: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative

Grafikkdrivere

Tilgjengelig for: macOS Mojave 10.14.5, macOS High Sierra 10.13.6

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2019-8691: Aleksandr Tarasikov (@astarasikov), Arash Tohidi fra Solita, Lilang Wu og Moony Li fra Trend Micros Mobile Security Research Team i samarbeid med Trend Micros Zero Day Initiative

CVE-2019-8692: Lilang Wu og Moony Li fra Trend Micro Mobile Security Research Team i samarbeid med Trend Micros Zero Day Initiative

Oppføring oppdatert 25. juli 2019

Heimdal

Tilgjengelig for: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Virkning: Det fantes et problem i Samba som kan gjøre det mulig for angripere å utføre uautoriserte handlinger ved å fange opp kommunikasjon mellom tjenester

Beskrivelse: Problemet ble løst med forbedrede kontroller for å forhindre uautoriserte handlinger.

CVE-2018-16860: Isaac Boukris og Andrew Bartlett fra Samba Team og Catalyst

IOAcceleratorFamily

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8694: Arash Tohidi fra Solita

libxslt

Tilgjengelig for: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Virkning: En ekstern angriper kan være i stand til å se sensitiv brukerinformasjon

Beskrivelse: En stabeloverflyt ble løst ved å forbedre valideringen av inndata.

CVE-2019-13118: funnet av OSS-Fuzz

Hurtigvisning

Tilgjengelig for: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Virkning: Angripere kan utløse bruk-etter-frigivelse i et program som deserialiserer en ikke-godkjent NSDictionary

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2019-8662: Natalie Silvanovich og Samuel Groß fra Google Project Zero

Safari

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8670: Tsubasa FUJII (@reinforchu)

Sikkerhet

Tilgjengelig for: macOS Sierra 10.12.6 og macOS High Sierra 10.13.6

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8697: ccpwd i samarbeid med Trend Micros Zero Day Initiative

Siri

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8646: Natalie Silvanovich fra Google Project Zero

Time Machine

Tilgjengelig for: macOS Mojave 10.14.5

Innvirkning: Krypteringsstatus for en Time Machine-sikkerhetskopi kan være feil

Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8667: Roland Kletzing fra cyber:con GmbH

UIFoundation

Tilgjengelig for: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 og macOS Mojave 10.14.5

Virkning: Parsing av et skadelig Office-dokument kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8657: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative

WebKit

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Det fantes et logisk problem i håndteringen av dokumentinnlastinger. Problemet ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8690: Sergei Glazunov fra Google Project Zero

WebKit

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Det fantes et logisk problem i håndteringen av synkrone sideinnlastinger. Problemet ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8649: Sergei Glazunov fra Google Project Zero

WebKit

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8658: akayn i samarbeid med Trend Micros Zero Day Initiative

WebKit

Tilgjengelig for: macOS Mojave 10.14.5

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8644: G. Geshev i samarbeid med Trend Micros Zero Day Initiative

CVE-2019-8666: Zongming Wang (王宗明) og Zhe Jin (金哲) fra Chengdu Security Response Center ved Qihoo 360 Technology Co. Ltd.

CVE-2019-8669: akayn i samarbeid med Trend Micros Zero Day Initiative

CVE-2019-8671: Apple

CVE-2019-8672: Samuel Groß fra Google Project Zero

CVE-2019-8673: Soyeon Park og Wen Xu fra SSLab ved Georgia Tech

CVE-2019-8676: Soyeon Park og Wen Xu fra SSLab ved Georgia Tech

CVE-2019-8677: Jihui Lu fra Tencent KeenLab

CVE-2019-8678: en anonym forsker, Anthony Lai (@darkfloyd1014) fra Knownsec, Ken Wong (@wwkenwong) fra VXRL, Jeonghoon Shin (@singi21a) fra Theori, Johnny Yu (@straight_blast) fra VX Browser Exploitation Group, Chris Chan (@dr4g0nfl4me) fra VX Browser Exploitation Group, Phil Mok (@shadyhamsters) fra VX Browser Exploitation Group, Alan Ho (@alan_h0) fra Knownsec og Byron Wai fra VX Browser Exploitation

CVE-2019-8679: Jihui Lu fra Tencent KeenLab

CVE-2019-8680: Jihui Lu fra Tencent KeenLab

CVE-2019-8681: G. Geshev i samarbeid med Trend Micros Zero Day Initiative

CVE-2019-8683: lokihardt fra Google Project Zero

CVE-2019-8684: lokihardt fra Google Project Zero

CVE-2019-8685: akayn, Dongzhuo Zhao i samarbeid med ADLab hos Venustech, Ken Wong (@wwkenwong) fra VXRL, Anthony Lai (@darkfloyd1014) fra VXRL og Eric Lung (@Khlung1) fra VXRL

CVE-2019-8686: G. Geshev i samarbeid med Trend Micros Zero Day Initiative

CVE-2019-8687: Apple

CVE-2019-8688: Insu Yun fra SSLab ved Georgia Tech

CVE-2019-8689: lokihardt fra Google Project Zero

Ytterligere anerkjennelse

Klasserom

Vi vil gjerne takke Jeff Johnson fra underpassapp.com for hjelpen.

Game Center

Vi vil gjerne takke Min (Spark) Zheng og Xiaolong Bai fra Alibaba Inc. for hjelpen.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: