Om sikkerhetsinnholdet i macOS Catalina 10.15

I dette dokumentet beskrives sikkerhetsinnholdet i macOS Catalina 10.15.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

macOS Catalina 10.15

Utgitt 7. oktober 2019

AMD

Tilgjengelig for: MacBook (tidlig i 2015 og nyere), MacBook Air (midten av 2012 og nyere), MacBook Pro (midten av 2012 og nyere), Mac mini (sent i 2012 og nyere), iMac (sent i 2012 og nyere), iMac Pro (alle modeller) og Mac Pro (sent i 2013 og nyere)

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2019-8748: Lilang Wu og Moony Li fra TrendMicro Mobile Security Research Team

apache_mod_php

Virkning: Flere problemer i PHP

Beskrivelse: Flere problemer ble løst ved å oppdatere til PHP versjon 7.3.8.

CVE-2019-11041

CVE-2019-11042

Audio

Virkning: Behandlingen av en skadelig lydfil kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8706: Yu Zhou fra Ant-financial Light-Year Security Lab

Oppføring lagt til 29. oktober 2019

Audio

Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8850: Anonym i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 4. desember 2019

Books

Virkning: Parsing av en skadelig iBooks-fil kan føre til vedvarende tjenestenekt

Beskrivelse: Et problem med tømming av ressurser ble løst gjennom forbedret validering av inndata.

CVE-2019-8774: Gertjan Franken fra imec-DistriNet ved KU Leuven

Oppføring lagt til 29. oktober 2019

CFNetwork

Virkning: Behandling av skadelig nettinnhold kan føre til et skriptangrep mellom nettsteder

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2019-8753: Łukasz Pilorz fra Standard Chartered GBS Poland

Oppføring lagt til 29. oktober 2019

CoreAudio

Virkning: Behandling av en skadelig film kan føre til avdekking av prosessminnet

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2019-8705: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative

CoreAudio

Virkning: Avspilling av en skadelig lydfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

CVE-2019-8592: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative

Oppføring lagt til 6. november 2019

CoreCrypto

Virkning: Behandling av store mengder inndata kan føre til tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering av inndata.

CVE-2019-8741: Nicky Mouha fra NIST

Oppføring lagt til 29. oktober 2019

CoreMedia

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8825: Funnet av GWP-ASan i Google Chrome

Oppføring lagt til 29. oktober 2019

Crash Reporter

Virkning: Innstillingen «Del Mac-analyse» blir kanskje ikke deaktivert når brukeren velger bort alternativet for deling av analyse

Beskrivelse: Det fantes en kappløpsituasjon under lesing og skriving av brukerpreferanser. Dette ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8757: William Cerniuk fra Core Development, LLC

CUPS

Virkning: En angriper med nettverksrettigheter kan være i stand til å lekke sensitiv brukerinformasjon

Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.

CVE-2019-8736: Pawel Gocyla fra ING Tech Poland (ingtechpoland.com)

Oppføring lagt til 29. oktober 2019

CUPS

Virkning: Behandling av en skadelig streng kan føre til heap-feil

Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.

CVE-2019-8767: Stephen Zeisberg

Oppføring lagt til 29. oktober 2019

CUPS

Virkning: En angriper i en privilegert posisjon kan utføre tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.

CVE-2019-8737: Pawel Gocyla fra ING Tech Poland (ingtechpoland.com)

Oppføring lagt til 29. oktober 2019

dyld

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2019-8776: Jann Horn fra Google Project Zero

Oppføring lagt til 3. februar 2020

File Quarantine

Virkning: Et skadelig program kan være i stand til å utvide rettigheter

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2019-8509: CodeColorist fra Ant-Financial Light-Year Labs

Oppføring lagt til 29. oktober 2019

Foundation

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8746: natashenka og Samuel Groß fra Google Project Zero

Oppføring lagt til 29. oktober 2019

Graphics

Virkning: Behandling av en skadelig skyggelegger kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2018-12152 Piotr Bania fra Cisco Talos

CVE-2018-12153 Piotr Bania fra Cisco Talos

CVE-2018-12154 Piotr Bania fra Cisco Talos

Oppføring lagt til 29. oktober 2019

IOGraphics

Virkning: En lokal bruker kan være i stand til å forårsake uventet systemavslutning eller lesing av kjerneminnet

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2019-8759: another fra 360 Nirvan Team

Oppføring lagt til 29. oktober 2019

Intel Graphics Driver

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2019-8758: Lilang Wu og Moony Li fra Trend Micro

IOGraphics

Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2019-8755: Lilang Wu og Moony Li fra Trend Micro

Kernel

Virkning: Et program kan være i stand til å få utvidede rettigheter

Beskrivelse: Problemet ble løst gjennom forbedrede rettighetstildeling.

CVE-2019-8703: En anonym forsker

Oppføring lagt til 16. mars 2021

Kernel

Virkning: En lokal app kan være i stand til å lese en vedvarende kontoidentifikator

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.

CVE-2019-8809: Apple

Oppføring lagt til 29. oktober 2019

Kernel

Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet

Beskrivelse: Det var et problem med ødelagt minne i håndteringen av IPv6-pakker. Problemet ble løst gjennom forbedret minnehåndtering.

CVE-2019-8744: Zhuo Liang fra Qihoo 360 Vulcan Team

Oppføring lagt til 29. oktober 2019

Kernel

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2019-8717: Jann Horn fra Google Project Zero

Kernel

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

Oppføring oppdatert 29. oktober 2019

libxml2

Virkning: Flere problemer i libxml2

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2019-8749: funnet av OSS-Fuzz

CVE-2019-8756: funnet av OSS-Fuzz

Oppføring lagt til 29. oktober 2019

libxslt

Virkning: Flere problemer i libxslt

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2019-8750: funnet av OSS-Fuzz

Oppføring lagt til 29. oktober 2019

mDNSResponder

Virkning: En angriper i fysisk nærhet kan passivt se enhetsnavn i AWDL-kommunikasjoner

Beskrivelse: Dette problemet ble løst ved å erstatte enhetsnavn med en tilfeldig identifikator.

CVE-2019-8799: David Kreitschmann og Milan Stute fra Technische Universität Darmstadts Secure Mobile Networking Lab

Oppføring lagt til 29. oktober 2019

Menus

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8826: Funnet av GWP-ASan i Google Chrome

Oppføring lagt til 29. oktober 2019

Notes

Virkning: En lokal bruker kan være i stand til å se en brukers låste notater

Beskrivelse: Innholdet i låste notater var noen ganger synlig i søkeresultater. Problemet ble løst gjennom forbedret dataopprydding.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) fra Virginia Polytechnic Institute and State University

PDFKit

Virkning: En angriper kan være i stand til å eksfiltrere innholdet i krypterte PDF-filer

Beskrivelse: Det var et problem med håndteringen av koblinger i krypterte PDF-filer. Problemet ble løst ved å legge til et spørsmål om bekreftelse.

CVE-2019-8772: Jens Müller ved Ruhr-universitetet i Bochum, Fabian Ising ved FH Münster University of Applied Sciences, Vladislav Mladenov ved Ruhr-universitetet i Bochum, Christian Mainka ved Ruhr-universitetet i Bochum, Sebastian Schinzel ved FH Münster University of Applied Sciences og Jörg Schwenk ved Ruhr-universitetet i Bochum

PluginKit

Virkning: En lokal bruker kan sjekke om vilkårlige filer finnes

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2019-8708: en anonym forsker

Oppføring lagt til 29. oktober 2019

PluginKit

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2019-8715: en anonym forsker

Oppføring lagt til 29. oktober 2019

Sandbox

Virkning: Et skadelig program kan få tilgang til begrensede filer

Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.

CVE-2019-8855: Apple

Oppføring lagt til 18. desember 2019

SharedFileList

Virkning: Et skadelig program kan få tilgang til nylige dokumenter

Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.

CVE-2019-8770: Stanislav Zinukhov fra Parallels International GmbH

sips

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) og pjf fra IceSword Lab ved Qihoo 360

UIFoundation

Virkning: Behandling av en skadelig tekstfil kan føre til at brukerinformasjon avsløres

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2019-8761: Renee Trisberg fra SpectX

Oppføringen ble oppdatert 10. august 2020, oppdatert 21. juli 2021

UIFoundation

Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.

CVE-2019-8745: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative

UIFoundation

Virkning: Et program kan utføre vilkårlig kode med systemrettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.

CVE-2019-8831: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative

Oppføring lagt til 18. november 2019

WebKit

Virkning: Besøk på et skadelig nettsted kan føre til at nettlesingsloggen avsløres

Beskrivelse: Det var et problem med opptegningen av nettsideelementer. Problemet ble løst med forbedret logikk.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Virkning: En bruker kan kanskje ikke slette oppføringer i nettleserhistorikken

Beskrivelse: «Tøm logg og nettstedsdata» tømte ikke loggen. Problemet ble løst gjennom forbedret datasletting.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Wi-Fi

Virkning: En enhet kan bli sporet passivt ved bruk av MAC-adressen for Wi-Fi

Beskrivelse: Et problem med personvern ble løst gjennom fjerning av MAC-kringkastingsadressen.

CVE-2019-8854: FuriousMacTeam fra United States Naval Academy og Mitre Cooperation samt Ta-Lun Yen fra UCCU Hacker

Oppføring lagt til 4. desember 2019, oppdatert 18. desember 2019

Ytterligere anerkjennelser

AppleRTC

Vi vil gjerne takke Vitaly Cheptsov for hjelpen.

Oppføring lagt til 29. oktober 2019

Audio

Vi vil gjerne takke riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative for hjelpen.

Oppføring lagt til 29. oktober 2019

boringssl

Vi vil gjerne takke Nimrod Aviram fra Universitetet i Tel Aviv, Robert Merget fra Ruhr-universitetet i Bochum, Juraj Somorovsky fra Ruhr-universitetet i Bochum og Thijs Alkemade (@xnyhps) fra Computest for hjelpen.

Oppføring lagt til 8. oktober 2019, oppdatert 29. oktober 2019

curl

Vi vil gjerne takke Joseph Barisa fra skoledistriktet i Philadelphia for hjelpen.

Oppføring lagt til 3. februar 2020, oppdatert 11. februar 2020

Finder

Vi vil gjerne takke Csaba Fitzl (@theevilbit) for hjelpen.

Gatekeeper

Vi vil gjerne takke Csaba Fitzl (@theevilbit) for hjelpen.

Identity Service

Vi vil gjerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjelpen.

Oppføring lagt til 29. oktober 2019

Kernel

Vi vil gjerne takke Brandon Azad fra Google Project Zero og Vlad Tsyrklevich for hjelpen.

Oppføring oppdatert 28. juli 2020

Local Authentication

Vi vil gjerne takke Ryan Lopopolo for hjelpen.

Oppføring lagt til 3. februar 2020

mDNSResponder

Vi vil gjerne takke Gregor Lang fra e.solutions GmbH for hjelpen.

Oppføring lagt til 29. oktober 2019

python

Vi vil gjerne takke en anonym forsker for hjelpen.

Oppføring lagt til 29. oktober 2019

Safari Data Importing

Vi vil gjerne takke Kent Zoya for hjelpen.

Security

Vi vil gjerne takke Pepijn Dutour Geerling (pepijn.io) og en anonym forsker for hjelpen.

Oppføring lagt til 18. november 2019

Simple Certificate Enrollment Protocol (SCEP)

Vi vil gjerne takke en anonym forsker for hjelpen.

Siri

Vi vil gjerne takke Yuval Ron, Amichai Shulman og Eli Biham fra det israelske Technion-universitetet for hjelpen.

Oppføring lagt til 4. desember 2019, oppdatert 18. desember 2019

Telephony

Vi vil gjerne takke Phil Stokes fra SentinelOne for hjelpen.

VPN

Vi vil gjerne takke Royce Gawron fra Second Son Consulting, Inc. for hjelpen.

Oppføring lagt til 29. oktober 2019

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: 06. november 2023