Om säkerhetsinnehållet i macOS Mojave 10.14.5, säkerhetsuppdatering 2019-003 High Sierra, säkerhetsuppdatering 2019-003 Sierra
Det här dokumentet beskriver säkerhetsinnehållet i macOS Mojave 10.14.5, säkerhetsuppdatering 2019-003 High Sierra, säkerhetsuppdatering 2019-003 Sierra.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
macOS Mojave 10.14.5, säkerhetsuppdatering 2019-003 High Sierra, säkerhetsuppdatering 2019-003 Sierra
Ramverk för hjälpmedel
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2019-8603: Phoenhex och qwerty (@_niklasb, @qwertyoruiopz, @bkth_) i samarbete med Trend Micros Zero Day Initiative
AMD
Tillgängligt för: macOS Mojave 10.14.4
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8635: Lilang Wu och Moony Li på TrendMicro Mobile Security Research Team i samarbete med Trend Micros Zero Day Initiative
Brandvägg för program
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2019-8590: National Cyber Security Centre (NCSC) i Storbritannien
Arkiv-verktyg
Tillgängligt för: macOS Mojave 10.14.4
Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2019-8640: Ash Fox på Fitbit Product Security
Bluetooth
Tillgängligt för: macOS Mojave 10.14.4
Effekt: På grund av en felkonfiguration i parkopplingsprotokollen för Bluetooth i BLE-versionen (Bluetooth Low Energy) av FIDO-säkerhetsnycklar kan det vara möjligt för en angripare som befinner sig nära att snappa upp Bluetooth-trafik vid parkoppling
Beskrivning: Problemet åtgärdades genom att inaktivera tillbehör med osäkra Bluetooth-anslutningar. Kunder som använder BLE-versionen (Bluetooth Low Energy) av Titan Security Key från Google ska läsa Androids junibulletiner och Googles råd och vidta lämpliga åtgärder.
CVE-2019-2102: Matt Beaver och Erik Peterson på Microsoft Corp.
CoreAudio
Tillgängligt för: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6
Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad felhantering.
CVE-2019-8592: riusksk på VulWar Corp i samarbete med Trend Micros Zero Day Initiative
CoreAudio
Tillgängligt för: macOS Mojave 10.14.4
Effekt: Bearbetning av en filmfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2019-8585: riusksk på VulWar Corp i samarbete med Trend Micros Zero Day Initiative
CoreText
Tillgängligt för: macOS Mojave 10.14.4
Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2019-8582: riusksk på VulWar Corp tillsammans med Trend Micros Zero Day Initiative
DesktopServices
Tillgängligt för: macOS Mojave 10.14.4
Effekt: Ett skadligt program kan komma förbi Gatekeeper-kontroller
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2019-8589: Andreas Clementi, Stefan Haselwanter och Peter Stelzhammer på AV-Comparatives
Skivavbilder
Tillgängligt för: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2019-8560: Nikita Pupyshev på Bauman Moscow State Technological University
EFI
Tillgängligt för: macOS Mojave 10.14.4
Effekt: En användare kan oväntat loggas in på en annan användares konto
Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.
CVE-2019-8634: Jenny Sprenger och Maik Hoepfel
Intel Graphics-drivrutin
Tillgängligt för: macOS Mojave 10.14.4
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8616: Lilang Wu och Moony Li på Trend Micro Mobile Security Research Team i samarbete med Trend Micros Zero Day Initiative
Intel Graphics-drivrutin
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2019-8629: Arash Tohidi på Solita Oy
IOAcceleratorFamily
Tillgängligt för: macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2018-4456: Tyler Bohan på Cisco Talos
IOKit
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Effekt: En lokal användare kan läsa in osignerade kerneltillägg
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2019-8606: Phoenhex och qwerty (@_niklasb, @qwertyoruiopz, @bkth_) i samarbete med Trend Micros Zero Day Initiative
Kernel
Tillgängligt för macOS Mojave 10.14.4 och macOS High Sierra 10.13.6
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2019-8633: Zhuo Liang på Qihoo 360 Vulcan Team
Kernel
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2019-8525: Zhuo Liang och shrek_wzw på Qihoo 360 Nirvan Team
Kernel
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: En fjärrangripare kan läcka minne
Beskrivning: Det förekom ett problem med läsning utanför gränserna som ledde till att kernelminne avslöjades. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2019-8547: derrek (@derrekr6)
Kernel
Tillgängligt för: macOS Mojave 10.14.4
Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2019-8576: Brandon Azad på Google Project Zero och Junho Jang och Hanul Choi på LINE Security Team
Kernel
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Effekt: Ett program kan leda till oväntad systemavstängning eller skrivning till kernelminne
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-2019-8591: Ned Williamson i samarbete med Google Project Zero
Meddelanden
Tillgängligt för: macOS Mojave 10.14.4
Effekt: En fjärrangripare kan orsaka att åtkomst till tjänsten nekas
Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.
CVE-2019-6224: natashenka på Google Project Zero
Meddelanden
Tillgängligt för: macOS Mojave 10.14.4
Effekt: Användare som tagits bort från en iMessage-konversation kan fortfarande ändra status
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2019-8631: Jamie Bishop på Dynastic
Microcode
Tillgängligt för: macOS Mojave 10.14.4
Effekt: Inläsningsportar, fyllnadsbuffertar och lagringsbuffertar i system med mikroprocessorer som använder spekulativ körning kan tillåta att en angripare med lokal användartillgång aktiverar avslöjande av information via en sidokanal
Beskrivning: Flera problem med avslöjande av information hanterades delvis genom att mikrokoden uppdaterades och att OS-schemaläggaren ändrades så att systemet isoleras från webbinnehållet som körs i webbläsaren. För en fullständig hantering av dessa problem finns det ytterligare valfria begränsningar som inaktiverar hypertrådning och aktiverar mikrokodbaserade begränsningar för alla processer som standard. Mer information om begränsningarna finns i https://support.apple.com/sv-se/HT210107.
CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu och Rodrigo Branco från Intel; Lei Shi – Qihoo 360 CERT; Marina Minkin; Daniel Genkin från University of Michigan; och Yuval Yarom från University of Adelaide
CVE-2018-12127: Brandon Falk från Microsoft Windows Platform Security Team; samt Ke Sun, Henrique Kawakami, Kekai Hu och Rodrigo Branco från Intel
CVE-2018-12130: Giorgi Maisuradze från Microsoft Research; Ke Sun, Henrique Kawakami, Kekai Hu och Rodrigo Branco från Intel; Moritz Lipp, Michael Schwarz och Daniel Gruss från Graz University of Technology; Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos och Cristiano Giuffrida från VUSec-gruppen på VU Amsterdam; Volodymyr Pikhur; samt Dan Horea Lutas från BitDefender
CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu och Rodrigo Branco från Intel; samt Moritz Lipp, Michael Schwarz och Daniel Gruss från Graz University of Technology
Säkerhet
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8604: Fluoroacetate i samarbete med Trend Micros Zero Day Initiative
SQLite
Tillgängligt för: macOS Mojave 10.14.4
Effekt: Ett program kan få högre behörighet
Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8577: Omer Gull på Checkpoint Research
SQLite
Tillgängligt för: macOS Mojave 10.14.4
Effekt: En skadligt utformad SQL-fråga kan ge upphov till körning av godtycklig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2019-8600: Omer Gull på Checkpoint Research
SQLite
Tillgängligt för: macOS Mojave 10.14.4
Effekt: Ett skadligt program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.
CVE-2019-8598: Omer Gull på Checkpoint Research
SQLite
Tillgängligt för: macOS Mojave 10.14.4
Effekt: Ett skadligt program kan öka behörigheter
Beskrivning: Ett minnesfel åtgärdades genom borttagning av den sårbara koden.
CVE-2019-8602: Omer Gull på Checkpoint Research
StreamingZip
Tillgängligt för: macOS Mojave 10.14.4
Effekt: En lokal användare kan ändra skyddade delar av filsystemet
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
sysdiagnose
Tillgängligt för: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Problemet har åtgärdats genom förbättrad behörighetslogik.
CVE-2019-8574: Dayton Pidhirney (@_watbulb) på Seekintoo (@seekintoo)
Touch Bar-stöd
Tillgängligt för: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8569: Viktor Oreshkin (@stek29)
WebKit
Tillgängligt för: macOS Mojave 10.14.4
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2019-6237: G. Geshev i samarbete med Trend Micro Zero Day Initiative, Liu Long på Qihoo 360 Vulcan Team
CVE-2019-8571: 01 i samarbete med Trend Micros Zero Day Initiative
CVE-2019-8583: sakura på Tencent Xuanwu Lab, jessica (@babyjess1ca_) på Tencent Keen Lab och dwfault som arbetar på ADLab på Venustech
CVE-2019-8584: G. Geshev på MWR Labs i samarbete med Trend Micro Zero Day Initiative
CVE-2019-8586: en anonym forskare
CVE-2019-8587: G. Geshev i samarbete med Trend Micro Zero Day Initiative
CVE-2019-8594: Suyoung Lee och Sooel Son på KAIST Web Security & Privacy Lab och HyungSeok Han och Sang Kil Cha på KAIST SoftSec Lab
CVE-2019-8595: G. Geshev från MWR Labs i samarbete med Trend Micro Zero Day Initiative
CVE-2019-8596: Wen Xu på SSLab vid Georgia Tech
CVE-2019-8597: 01 i samarbete med Trend Micro Zero Day Initiative
CVE-2019-8601: Fluoroacetate i samarbete med Trend Micros Zero Day Initiative
CVE-2019-8608: G. Geshev i samarbete med Trend Micro Zero Day Initiative
CVE-2019-8609: Wen Xu på SSLab vid Georgia Tech
CVE-2019-8610: Anonym i samarbete med Trend Micro Zero Day Initiative
CVE-2019-8611: Samuel Groß på Google Project Zero
CVE-2019-8615: G. Geshev från MWR Labs i samarbete med Trend Micros Zero Day Initiative
CVE-2019-8619: Wen Xu på SSLab vid Georgia Tech och Hanqing Zhao på Chaitin Security Research Lab
CVE-2019-8622: Samuel Groß på Google Project Zero
CVE-2019-8623: Samuel Groß på Google Project Zero
CVE-2019-8628: Wen Xu på SSLab vid Georgia Tech och Hanqing Zhao på Chaitin Security Research Lab
WebKit
Tillgängligt för: macOS Mojave 10.14.4
Effekt: Bearbetning av skadligt webbinnehåll kan leda till att processminnet visas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2019-8607: Junho Jang och Hanul Choi på LINE Security Team
Wifi
Tillgängligt för: macOS Mojave 10.14.4
Effekt: En angripare med en privilegierad nätverksposition kan ändra drivrutinstillstånd
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2019-8612: Milan Stute på Secure Mobile Networking Lab på Technische Universität Darmstadt
Ytterligare tack
CoreAudio
Vi vill tacka riusksk på VulWar Corp tillsammans med Trend Micros Zero Day Initiative för deras hjälp.
CoreFoundation
Vi vill tacka m4bln, Xiangqian Zhang, Huiming Liu of Tencent's Xuanwu Lab, Vozzie och Rami för hjälpen.
Kernel
Vi vill tacka Denis Kopyrin för hjälpen.
PackageKit
Vi vill tacka Csaba Fitzl (@theevilbit) för hjälpen.
Safari
Vi vill tacka Michael Ball på Gradescope vid Turnitin för hjälpen.
Systeminställningar
Vi vill tacka en anonym forskare för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.