Om säkerhetsinnehållet i macOS Catalina 10.15

Det här dokumentet beskriver säkerhetsinnehållet i macOS Catalina 10.15.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Catalina 10.15

Släpptes 7 oktober 2019

AMD

Tillgänglig för: MacBook (tidigt 2015 och senare), MacBook Air (mitten av 2012 och senare), MacBook Pro (mitten av 2012 och senare), Mac mini (sent 2012 och senare), iMac (sent 2012 och senare), iMac Pro (alla modeller), Mac Pro (sent 2013 och senare)

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8748: Lilang Wu och Moony Li på TrendMicro Mobile Security Research Team

apache_mod_php

Effekt: Flera problem i PHP

Beskrivning: Flera problem åtgärdades genom att uppdatera till PHP-version 7.3.8.

CVE-2019-11041

CVE-2019-11042

CoreAudio

Effekt: Bearbetning av en film med skadligt innehåll kan leda till att processminnet avslöjas

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.

CVE-2019-8705: riusksk på VulWar Corp i samarbete med Trend Micros Zero Day Initiative

Crash Reporter

Effekt: Inställningen Dela Mac-analys kanske inte inaktiveras när användaren avmarkerar delning av analyser

Beskrivning: Ett race condition-problem uppstod vid läsning och skrivning av användarinställningar. Det åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8757: William Cerniuk på Core Development, LLC

Intel Graphics-drivrutin

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8758: Lilang Wu och Moony Li på Trend Micro

IOGraphics

Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2019-8755: Lilang Wu och Moony Li på Trend Micro

Kernel

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8717: Jann Horn på Google Project Zero

Kernel

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8781: Linus Henze (pinauten.de)

Anteckningar

Effekt: En lokal användare kan eventuellt visa en användares låsta anteckningar

Beskrivning: Innehållet i låsta anteckningar syntes ibland i sökresultat. Problemet åtgärdades genom förbättrad rensning av data.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) på Virginia Polytechnic Institute and State University

PDFKit

Effekt: En angripare kan komma åt innehåll i krypterade pdf-filer

Beskrivning: Ett problem förekom i hanteringen av länkar i krypterade pdf-filer. Problemet åtgärdades genom tillägg av en bekräftelsedialog.

CVE-2019-8772: Jens Müller på Ruhr University Bochum, Fabian Ising på FH Münster University of Applied Sciences, Vladislav Mladenov på Ruhr University Bochum, Christian Mainka på Ruhr University Bochum, Sebastian Schinzel på FH Münster University of Applied Sciences och Jörg Schwenk på Ruhr University Bochum

SharedFileList

Effekt: Ett skadligt program kan få tillgång till de senaste dokumenten

Beskrivning: Problemet åtgärdades genom förbättrad hantering av behörighetslogik.

CVE-2019-8770: Stanislav Zinukhov på Parallels International GmbH

sips

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) och pjf i IceSword Lab på Qihoo 360

UIFoundation

Effekt: Bearbetning av en skadlig textfil kan leda till opålitlig kodkörning

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2019-8745: riusksk of VulWar Corp i samarbete med Trend Micros Zero Day Initiative

WebKit

Effekt: Besök på en webbplats med skadligt innehåll kan avslöja surfhistorik

Beskrivning: Ett problem fanns med visning av element på webbsidor. Problemet åtgärdades genom förbättrad logik.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Effekt: En användare kan kanske inte ta bort webbläsarhistorikobjekt

Beskrivning: Historiken rensades inte med Rensa historik och webbplatsdata. Problemet åtgärdades genom förbättrad databorttagning.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Ytterligare tack

Finder

Vi vill tacka Csaba Fitzl (@theevilbit) för hjälpen.

Gatekeeper

Vi vill tacka Csaba Fitzl (@theevilbit) för hjälpen.

Dataimport i Safari

Vi vill tacka Kent Zoya för hjälpen.

Simple certificate enrollment protocol (SCEP)

Vi vill tacka en anonym forskare för hjälpen.

Telefoni

Vi vill tacka Phil Stokes från SentinelOne för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: oktober 11, 2019