Om sikkerhetsinnholdet i macOS Catalina 10.15

I dette dokumentet beskrives sikkerhetsinnholdet i macOS Catalina 10.15.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

macOS Catalina 10.15

Utgitt 7. oktober 2019

AMD

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8748: Lilang Wu og Moony Li fra TrendMicro Mobile Security Research Team

apache_mod_php

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Flere problemer i PHP

Beskrivelse: Flere problemer ble løst ved å oppdatere til PHP versjon 7.3.8.

CVE-2019-11041

CVE-2019-11042

Lyd

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Behandling av en skadelig lydfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8706: Yu Zhou fra Ant-financial Light-Year Security Lab

Oppføring lagt til 29. oktober 2019

Bøker

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Parsing av en skadelig iBooks-fil kan føre til vedvarende tjenestenekt

Beskrivelse: Et problem med tømming av ressurser ble løst gjennom forbedret validering av inndata.

CVE-2019-8774: Gertjan Franken fra imec-DistriNet, KU Leuven

Oppføring lagt til 29. oktober 2019

CFNetwork

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Behandling av skadelig nettinnhold kan føre til et angrep med skripting mellom nettsteder

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2019-8753: Łukasz Pilorz fra Standard Chartered GBS Poland

Oppføring lagt til 29. oktober 2019

CoreAudio

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Behandling av en skadelig filmfil kan føre til at prosessminne avsløres

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2019-8705: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative

CoreAudio

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Avspilling av en skadelig lydfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2019-8592: riusksk fra VulWar Corp i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 6. november 2019

CoreCrypto

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Behandling av store mengder inndata kan føre til tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering av inndata.

CVE-2019-8741: Nicky Mouha fra NIST

Oppføring lagt til 29. oktober 2019

CoreMedia

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8825: Funnet av GWP-ASan i Google Chrome

Oppføring lagt til 29. oktober 2019

Crash Reporter

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Innstillingen «Del Mac-diagnostikk» blir kanskje ikke deaktivert når brukeren fjerner merkingen for bryteren for deling av diagnostikk

Beskrivelse: Det fantes en kappløpsituasjon under lesing og skriving av brukerpreferanser. Dette ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8757: William Cerniuk fra Core Development, LLC

CUPS

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: En angriper med nettverksrettigheter kan være i stand til å lekke sensitiv brukerinformasjon

Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.

CVE-2019-8736: Pawel Gocyla fra ING Tech Poland (ingtechpoland.com)

Oppføring lagt til 29. oktober 2019

CUPS

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Behandling av en skadelig streng kan føre til heap-feil

Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.

CVE-2019-8767: Stephen Zeisberg

Oppføring lagt til 29. oktober 2019

CUPS

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: En angriper i en privilegert posisjon kan utføre tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.

CVE-2019-8737: Pawel Gocyla fra ING Tech Poland (ingtechpoland.com)

Oppføring lagt til 29. oktober 2019

Filkarantene

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et skadelig program kan være i stand til å utvide rettigheter

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2019-8509: CodeColorist fra Ant-Financial LightYear Labs

Oppføring lagt til 29. oktober 2019

Foundation

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8746: Natalie Silvanovich og Samuel Groß fra Google Project Zero

Oppføring lagt til 29. oktober 2019

Grafikk

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Behanling av en skadelig skyggelegger kan føre til uventet avslutning av et program eller at vilkårlig kode kjøres

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2018-12152 Piotr Bania fra Cisco Talos

CVE-2018-12153 Piotr Bania fra Cisco Talos

CVE-2018-12154 Piotr Bania fra Cisco Talos

Oppføring lagt til 29. oktober 2019

IOGraphics

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et lokal bruker kan være i stand til å forårsake uventet systemavslutning eller lesing av kjerneminne

Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grensekontroll.

CVE-2019-8759: another fra 360 Nirvan Team

Oppføring lagt til 29. oktober 2019

Intel Graphics-driver

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8758: Lilang Wu og Moony Li fra Trend Micro

IOGraphics

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2019-8755: Lilang Wu og Moony Li fra Trend Micro

Kjerne

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: En lokal app kan være i stand til å lese en vedvarende kontoidentifikator

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.

CVE-2019-8809: Apple

Oppføring lagt til 29. oktober 2019

Kjerne

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

Beskrivelse: Det var et problem med ødelagt minne i håndteringen av IPv6-pakker. Problemet ble løst gjennom forbedret minnehåndtering.

CVE-2019-8744: Zhuo Liang fra Qihoo 360 Vulcan Team

Oppføring lagt til 29. oktober 2019

Kjerne

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8717: Jann Horn fra Google Project Zero

Kjerne

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

Oppføring oppdatert 29. oktober 2019

libxml2

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Flere problemer i libxml2

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2019-8749: funnet av OSS-Fuzz

CVE-2019-8756: funnet av OSS-Fuzz

Oppføring lagt til 29. oktober 2019

libxslt

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Flere problemer i libxslt

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2019-8750: funnet av OSS-Fuzz

Oppføring lagt til 29. oktober 2019

mDNSResponder

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: En angriper i fysisk nærhet kan passivt se enhetsnavn i AWDL-kommunikasjoner

Beskrivelse: Dette problemet ble løst ved å erstatte enhetsnavn med en tilfeldig identifikator.

CVE-2019-8799: David Kreitschmann og Milan Stute fra Technische Universität Darmstadts Secure Mobile Networking Lab

Oppføring lagt til 29. oktober 2019

Menyer

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8826: Funnet av GWP-ASan i Google Chrome

Oppføring lagt til 29. oktober 2019

Merknader

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: En lokal bruker kan være i stand til å se en brukers låste notater

Beskrivelse: Innholdet i låste notater var noen ganger synlig i søkeresultater. Problemet ble løst gjennom forbedret dataopprydding.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) fra Virginia Polytechnic Institute and State University

PDFKit

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: En angriper kan være i stand til å eksfiltrere innholdet i krypterte PDF-filer

Beskrivelse: Det var et problem med håndteringen av linker i krypterte PDF-filer. Problemet ble løst ved å legge til et spørsmål om bekreftelse.

CVE-2019-8772: Jens Müller ved Ruhr University Bochum, Fabian Ising ved FH Münster University of Applied Sciences, Vladislav Mladenov ved Ruhr University Bochum, Christian Mainka ved Ruhr University Bochum, Sebastian Schinzel ved FH Münster University of Applied Sciences og Jörg Schwenk ved Ruhr University Bochum

PluginKit

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: En lokal bruker kan sjekke om vilkårlige filer finnes

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2019-8708: en anonym forsker

Oppføring lagt til 29. oktober 2019

PluginKit

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8715: en anonym forsker

Oppføring lagt til 29. oktober 2019

SharedFileList

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et skadelig program kan klare å få tilgang til nylige dokumenter

Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.

CVE-2019-8770: Stanislav Zinukhov fra Parallels International GmbH

sips

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) og pjf fra IceSword Lab ved Qihoo 360

UIFoundation

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Parsing av en skadelig tekstfil kan føre til at brukerinformasjon avsløres

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2019-8761: Renee Trisberg fra SpectX

Oppføring lagt til 29. oktober 2019

UIFoundation

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2019-8745: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative

UIFoundation

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8831: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative

Oppføring lagt til 18. november 2019

WebKit

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Besøk på et skadelig nettsted kan føre til at nettlesingsloggen avsløres

Beskrivelse: Det var et problem med opptegningen av nettsideelementer. Problemet ble løst med forbedret logikk.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: En bruker kan kanskje ikke slette oppføringer i nettlesingsloggen

Beskrivelse: «Tøm logg og nettstedsdata» tømte ikke loggen. Problemet ble løst gjennom forbedret datasletting.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Ytterligere anerkjennelse

AppleRTC

Vi vil gjerne takke Vitaly Cheptsov for hjelpen.

Oppføring lagt til 29. oktober 2019

Lyd

Vi vil gjerne takke riusksk fra VulWar Corp i samarbeid med Trend Micro Zero Day Initiative for hjelpen.

Oppføring lagt til 29. oktober 2019

boringssl

Vi vil gjerne takke Nimrod Aviram fra Tel Aviv University, Robert Merget fra Ruhr University Bochum, Juraj Somorovsky fra Ruhr University Bochum og Thijs Alkemade (@xnyhps) fra Computest for hjelpen.

Oppføring lagt til 8. oktober 2019, oppdatert 29. oktober 2019

Finder

Vi vil gjerne takke Csaba Fitzl (@theevilbit) for hjelpen.

Gatekeeper

Vi vil gjerne takke Csaba Fitzl (@theevilbit) for hjelpen.

Identitetstjeneste

Vi vil gjerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjelpen.

Oppføring lagt til 29. oktober 2019

Kjerne

Vi vil gjerne takke Brandon Azad fra Google Project Zero for hjelpen.

Oppføring lagt til 29. oktober 2019

mDNSResponder

Vi vil gjerne takke Gregor Lang fra e.solutions GmbH for hjelpen.

Oppføring lagt til 29. oktober 2019

python

Vi vil gjerne takke en anonym forsker for hjelpen.

Oppføring lagt til 29. oktober 2019

Importering av Safari-data

Vi vil gjerne takke Kent Zoya for hjelpen.

Sikkerhet

Vi vil gjerne takke Pepijn Dutour Geerling (pepijn.io) og en anonym forsker for hjelpen.

Oppføring lagt til 18. november 2019

Simple Certificate Enrollment Protocol (SCEP)

Vi vil gjerne takke en anonym forsker for hjelpen.

Telefoni

Vi vil gjerne takke Phil Stokes fra SentinelOne for hjelpen.

VPN

Vi vil gjerne takke Royce Gawron fra Second Son Consulting, Inc. for hjelpen.

Oppføring lagt til 29. oktober 2019

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: