Om säkerhetsinnehållet i macOS Catalina 10.15

I det här dokumentet beskrivs säkerhetsinnehållet i macOS Catalina 10.15.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Catalina 10.15

Släpptes 7 oktober 2019

AMD

Tillgängligt för: MacBook (tidigt 2015 och senare), MacBook Air (mitten av 2012 och senare), MacBook Pro (mitten av 2012 och senare), Mac mini (sent 2012 och senare), iMac (sent 2012 och senare), iMac Pro (alla modeller), Mac Pro (sent 2013 och senare)

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8748: Lilang Wu och Moony Li på TrendMicro Mobile Security Research Team

apache_mod_php

Effekt: Flera problem i PHP

Beskrivning: Flera problem åtgärdades genom att uppdatera till PHP-version 7.3.8.

CVE-2019-11041

CVE-2019-11042

Audio

Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8706: Yu Zhou på Ant-financial Light-Year Security Lab

Lades till 29 oktober 2019

Audio

Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till att begränsat minne avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2019-8850: Anonym i samarbete med Trend Micro Zero Day Initiative

Lades till 4 december 2019

Books

Effekt: Tolkning av en iBooks-fil med skadligt innehåll kan leda till ett konstant dos-angrepp

Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.

CVE-2019-8774: Gertjan Franken imec-DistriNet på KU Leuven

Lades till 29 oktober 2019

CFNetwork

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en attack med skriptkörning över flera sajter

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2019-8753: Łukasz Pilorz på Standard Chartered GBS Poland

Lades till 29 oktober 2019

CoreAudio

Effekt: Bearbetning av en film med skadligt innehåll kan leda till att processminnet avslöjas

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.

CVE-2019-8705: riusksk på VulWar Corp i samarbete med Trend Micros Zero Day Initiative

CoreAudio

Effekt: Uppspelning av en skadlig ljudfil kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2019-8592: riusksk på VulWar Corp i samarbete med Trend Micros Zero Day Initiative

Lades till 6 november 2019

CoreCrypto

Effekt: Bearbetning av större mängd indata kan leda till ett DoS-angrepp

Beskrivning: Ett problem med överbelastningsangrepp (DoS) åtgärdades genom förbättrad indatavalidering.

CVE-2019-8741: Nicky Mouha på NIST

Lades till 29 oktober 2019

CoreMedia

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8825: Hittades av GWP-ASan i Google Chrome

Lades till 29 oktober 2019

Crash Reporter

Effekt: Inställningen Dela Mac-analys kanske inte inaktiveras när användaren avmarkerar delning av analyser

Beskrivning: Ett konkurrenstillstånd uppstod vid läsning och skrivning av användarinställningar. Det åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8757: William Cerniuk på Core Development, LLC

CUPS

Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation

Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.

CVE-2019-8736: Pawel Gocyla på ING Tech Poland (ingtechpoland.com)

Lades till 29 oktober 2019

CUPS

Effekt: Bearbetning av en skadlig sträng kan leda till heap-fel

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2019-8767: Stephen Zeisberg

Lades till 29 oktober 2019

CUPS

Effekt: En angripare i en privilegierad position kan orsaka ett dos-angrepp

Beskrivning: Ett problem med dos-angrepp åtgärdades genom förbättrad validering.

CVE-2019-8737: Pawel Gocyla på ING Tech Poland (ingtechpoland.com)

Lades till 29 oktober 2019

dyld

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8776: Jann Horn på Google Project Zero

Lades till 3 februari 2020

File Quarantine

Effekt: Ett skadligt program kan öka behörigheter

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2019-8509: CodeColorist på Ant-Financial LightYear Labs

Lades till 29 oktober 2019

Foundation

Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2019-8746: natashenka och Samuel Groß på Google Project Zero

Lades till 29 oktober 2019

Graphics

Effekt: Bearbetning av skadlig shader kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2018-12152: Piotr Bania på Cisco Talos

CVE-2018-12153: Piotr Bania på Cisco Talos

CVE-2018-12154: Piotr Bania på Cisco Talos

Lades till 29 oktober 2019

IOGraphics

Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2019-8759: ytterligare en av 360 Nirvan Team

Lades till 29 oktober 2019

Intel Graphics Driver

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8758: Lilang Wu och Moony Li på Trend Micro

IOGraphics

Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2019-8755: Lilang Wu och Moony Li på Trend Micro

Kernel

Effekt: Ett program kan få högre behörighet

Beskrivning: Problemet åtgärdades med förbättrade behörigheter.

CVE-2019-8703: En anonym forskare

Lades till 16 mars 2021

Kernel

Effekt: Ett lokalt program kan kanske läsa en konstant kontoidentifierare

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

CVE-2019-8809: Apple

Lades till 29 oktober 2019

Kernel

Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

Beskrivning: Ett minnesfel förekom i hantering av IPv6-paket. Problemet åtgärdades genom förbättrad minneshantering.

CVE-2019-8744: Zhuo Liang på Qihoo 360 Vulcan Team

Lades till 29 oktober 2019

Kernel

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8717: Jann Horn på Google Project Zero

Kernel

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

Uppdaterades 29 oktober 2019

libxml2

Effekt: Flera problem i libxml2

Beskrivning: Flera minnesfel åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2019-8749: hittad av OSS-Fuzz

CVE-2019-8756: hittad av OSS-Fuzz

Lades till 29 oktober 2019

libxslt

Effekt: Flera problem i libxslt

Beskrivning: Flera minnesfel åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2019-8750: hittades av OSS-Fuzz

Lades till 29 oktober 2019

mDNSResponder

Effekt: En angripare som befinner sig fysiskt i närheten kan eventuellt passivt observera enhetsnamn i AWDL-kommunikation

Beskrivning: Detta problem åtgärdades genom att enhetsnamnen ersattes med en slumpmässig identifierare.

CVE-2019-8799: David Kreitschmann och Milan Stute of Secure Mobile Networking Lab vid Technische Universität Darmstadt

Lades till 29 oktober 2019

Menus

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8826: Hittades av GWP-ASan i Google Chrome

Lades till 29 oktober 2019

Notes

Effekt: En lokal användare kan eventuellt visa en användares låsta anteckningar

Beskrivning: Innehållet i låsta anteckningar syntes ibland i sökresultat. Problemet har åtgärdats genom förbättrad datarensning.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) på Virginia Polytechnic Institute and State University

PDFKit

Effekt: En angripare kan komma åt innehåll i krypterade pdf-filer

Beskrivning: Ett problem förekom i hanteringen av länkar i krypterade pdf-filer. Problemet åtgärdades genom tillägg av en bekräftelsedialog.

CVE-2019-8772: Jens Müller på Ruhr University Bochum, Fabian Ising på FH Münster University of Applied Sciences, Vladislav Mladenov på Ruhr University Bochum, Christian Mainka på Ruhr University Bochum, Sebastian Schinzel på FH Münster University of Applied Sciences och Jörg Schwenk på Ruhr University Bochum

PluginKit

Effekt: En lokal användare kan kontrollera om det förekommer opålitliga filer

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2019-8708: en anonym forskare

Lades till 29 oktober 2019

PluginKit

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8715: en anonym forskare

Lades till 29 oktober 2019

Sandbox

Effekt: Ett skadligt program kan få tillgång till begränsade filer

Beskrivning: Ett åtkomstproblem åtgärdades genom ytterligare sandlådebegränsningar.

CVE-2019-8855: Apple

Lades till 18 december 2019

SharedFileList

Effekt: Ett skadligt program kan få tillgång till de senaste dokumenten

Beskrivning: Problemet har åtgärdats genom förbättrad behörighetslogik.

CVE-2019-8770: Stanislav Zinukhov på Parallels International GmbH

sips

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) och pjf på IceSword Lab på Qihoo 360

UIFoundation

Effekt: Tolkning av en textfil med skadligt innehåll kan leda till att användarinformation avslöjas

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2019-8761: Renee Trisberg på SpectX

Uppdaterades 10 augusti 2020 och 21 juli 2021

UIFoundation

Effekt: Bearbetning av en skadlig textfil kan leda till opålitlig kodkörning

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2019-8745: riusksk på VulWar Corp i samarbete med Trend Micros Zero Day Initiative

UIFoundation

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8831: riusksk på VulWar Corp i samarbete med Trend Micros Zero Day Initiative

Lades till 18 november 2019

WebKit

Effekt: Besök på en webbplats med skadligt innehåll kan avslöja surfhistorik

Beskrivning: Ett problem förekom vid hämtning av webbplatselement. Problemet åtgärdades med förbättrad logik.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Effekt: En användare kan kanske inte ta bort webbläsarhistorikobjekt

Beskrivning: Historiken rensades inte med Rensa historik och webbplatsdata. Problemet har åtgärdats genom förbättrad databorttagning.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Wi-Fi

Effekt: En enhet kan passivt spåras med hjälp av dess wifi-MAC-adress

Beskrivning: Ett problem med användarintegritet åtgärdades genom att ta bort MAC-adressen som sändes.

CVE-2019-8854: FuriousMacTeam på United States Naval Academy och Mitre Cooperation, Ta-Lun Yen på UCCU Hacker

Lades till 4 december 2019 och uppdaterades 18 december 2019

Ytterligare tack

AppleRTC

Vi vill tacka Vitaly Cheptsov för hjälpen.

Lades till 29 oktober 2019

Audio

Vi vill tacka riusksk på VulWar Corp tillsammans med Trend Micros Zero Day Initiative för deras hjälp.

Lades till 29 oktober 2019

boringssl

Vi vill tacka Nimrod Aviram vid Tel Aviv University, Robert Merget vid Ruhr University Bochum, Juraj Somorovsky vid Ruhr University Bochum, Thijs Alkemade (@xnyhps) på Computest för hjälpen.

Lades till 8 oktober 2019, uppdaterades 29 oktober 2019

curl

Vi vill tacka Joseph Barisa på The School District of Philadelphia för all hjälp.

Lades till 3 februari 2020, uppdaterades 11 februari 2020

Finder

Vi vill tacka Csaba Fitzl (@theevilbit) för hjälpen.

Gatekeeper

Vi vill tacka Csaba Fitzl (@theevilbit) för hjälpen.

Identity Service

Vi vill tacka Yiğit Can YILMAZ (@yilmazcanyigit) för hjälpen.

Lades till 29 oktober 2019

Kernel

Vi vill tacka Brandon Azad på Google Project Zero och Vlad Tsyrklevich för hjälpen.

Uppdaterades 28 juli 2020

Local Authentication

Vi vill tacka Ryan Lopopolo för hjälpen.

Lades till 3 februari 2020

mDNSResponder

Vi vill tacka Gregor Lang på e.solutions GmbH för hjälpen.

Lades till 29 oktober 2019

python

Vi vill tacka en anonym forskare för hjälpen.

Lades till 29 oktober 2019

Safari Data Importing

Vi vill tacka Kent Zoya för hjälpen.

Security

Vi vill tacka Pepijn Dutour Geerling (pepijn.io) och en anonym forskare för hjälpen.

Lades till 18 november 2019

Simple certificate enrollment protocol (SCEP)

Vi vill tacka en anonym forskare för hjälpen.

Siri

Vi vill tacka Yuval Ron, Amichai Shulman och Eli Biham på Technion of Israel Institute of Technology för hjälpen.

Lades till 4 december 2019 och uppdaterades 18 december 2019

Telephony

Vi vill tacka Phil Stokes från SentinelOne för hjälpen.

VPN

Vi vill tacka Royce Gawron på Second Son Consulting, Inc. för hjälpen.

Lades till 29 oktober 2019

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: 06 november 2023