Om sikkerhetsinnholdet i macOS Catalina 10.15

Dette dokumentet beskriver sikkerhetsinnholdet i macOS Catalina 10.15.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

macOS Catalina 10.15

Utgitt 7. oktober 2019

AMD

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8748: Lilang Wu og Moony Li fra TrendMicro Mobile Security Research Team

apache_mod_php

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Flere problemer i PHP

Beskrivelse: Flere problemer ble løst ved å oppdatere til PHP versjon 7.3.8.

CVE-2019-11041

CVE-2019-11042

CoreAudio

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Behandling av en skadelig filmfil kan føre til at prosessminne avsløres

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2019-8705: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative

Crash Reporter

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Innstillingen «Del Mac-diagnostikk» blir kanskje ikke deaktivert når brukeren fjerner merkingen for bryteren for deling av diagnostikk

Beskrivelse: Det fantes en kappløpsituasjon under lesing og skriving av brukerpreferanser. Dette ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8757: William Cerniuk fra Core Development, LLC

Intel Graphics-driver

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8758: Lilang Wu og Moony Li fra Trend Micro

IOGraphics

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2019-8755: Lilang Wu og Moony Li fra Trend Micro

Kjerne

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8717: Jann Horn fra Google Project Zero

Kjerne

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8781: Linus Henze (pinauten.de)

Merknader

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: En lokal bruker kan være i stand til å se en brukers låste notater

Beskrivelse: Innholdet i låste notater var noen ganger synlig i søkeresultater. Problemet ble løst gjennom forbedret dataopprydning.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) fra Virginia Polytechnic Institute and State University

PDFKit

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: En angriper kan være i stand til å eksfiltrere innholdet i krypterte PDF-filer

Beskrivelse: Det var et problem med håndteringen av linker i krypterte PDF-filer. Problemet ble løst ved å legge til et spørsmål om bekreftelse.

CVE-2019-8772: Jens Müller ved Ruhr University Bochum, Fabian Ising ved FH Münster University of Applied Sciences, Vladislav Mladenov ved Ruhr University Bochum, Christian Mainka ved Ruhr University Bochum, Sebastian Schinzel ved FH Münster University of Applied Sciences og Jörg Schwenk ved Ruhr University Bochum

SharedFileList

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et skadelig program kan klare å få tilgang til nylige dokumenter

Problemet ble løst gjennom forbedret tillatelseslogikk.

CVE-2019-8770: Stanislav Zinukhov fra Parallels International GmbH

sips

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) og pjf fra IceSword Lab of Qihoo 360

UIFoundation

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2019-8745: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative

WebKit

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Besøk på et skadelig nettsted kan føre til at nettleserloggen avsløres

Beskrivelse: Det var et problem med opptegningen av nettsideelementer. Problemet ble løst gjennom forbedret logikk.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: En bruker kan kanskje ikke slette oppføringer i nettlesingsloggen

Beskrivelse: «Tøm logg og nettstedsdata» tømte ikke loggen. Problemet ble løst gjennom forbedret datasletting.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Ytterligere anerkjennelse

Finder

Vi vil gjerne takke Csaba Fitzl (@theevilbit) for hjelpen.

Gatekeeper

Vi vil gjerne takke Csaba Fitzl (@theevilbit) for hjelpen.

Importering av Safari-data

Vi vil gjerne takke Kent Zoya for hjelpen.

Simple Certificate Enrollment Protocol (SCEP)

Vi vil gjerne takke en anonym forsker for hjelpen.

Telefoni

Vi vil gjerne takke Phil Stokes fra SentinelOne for hjelpen.

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: