Om säkerhetsinnehållet i macOS Catalina 10.15.2, säkerhetsuppdatering 2019-002 Mojave säkerhetsuppdatering 2019-007 High Sierra

I det här dokumentet beskrivs säkerhetsinnehållet i macOS Catalina 10.15.2, säkerhetsuppdatering 2019-002 Mojave och säkerhetsuppdatering 2019-007 High Sierra.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Catalina 10.15.2, säkerhetsuppdatering 2019-002 Mojave, säkerhetsuppdatering 2019-007 High Sierra

Släpptes 10 december 2019

ATS

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: Ett skadligt program kan få tillgång till begränsade filer

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Uppdaterades 18 december 2019

Bluetooth

Tillgängligt för: macOS Catalina 10.15

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2019-8853: Jianjun Dai på Qihoo 360 Alpha Lab

CallKit

Tillgängligt för: macOS Catalina 10.15

Effekt: På enheter med två aktiva abonnemang kan samtal som görs med Siri initieras med fel abonnemang

Beskrivning: Ett API-problem förekom i hanteringen av utgående samtal som gjordes med Siri. Problemet har åtgärdats genom förbättrad tillståndshantering.

CVE-2019-8856: Fabrice TERRANCLE på TERRANCLE SARL

CFNetwork Proxies

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: Ett program kan få högre behörighet

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2019-8848: Zhuo Liang på Qihoo 360 Vulcan Team

Uppdaterades 18 december 2019

CFNetwork

Tillgängligt för: macOS Catalina 10.15

Effekt: En angripare med privilegierad nätverksposition kunde kringgå HSTS för ett begränsat antal specifika överordnade domäner som tidigare inte fanns i den förhämtade HSTS-listan

Beskrivning: Ett konfigurationsproblem åtgärdades med ytterligare begränsningar.

CVE-2019-8834: Rob Sayre (@sayrer)

Lades till 3 februari 2020

CUPS

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: I vissa konfigurationer har en extern angripare eventuellt kunnat skicka opålitliga utskriftsjobb

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2019-8842: Niky1235 på China Mobile

Uppdaterades 18 december 2019

CUPS

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: En angripare i en privilegierad position kan orsaka ett dos-angrepp

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2019-8839: Stephan Zeisberg på Security Research Labs

Uppdaterades 18 december 2019

FaceTime

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: Behandling av skadlig video via FaceTime kan leda till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2019-8830: natashenka på Google Project Zero

Uppdaterades 18 december 2019

IOGraphics

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: En Mac kanske inte låstes omedelbart efter väckning

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8851: Vladik Khononov på DoiT International

Lades till 3 februari 2020

Kernel

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom borttagning av den sårbara koden.

CVE-2019-8833: Ian Beer på Google Project Zero

Uppdaterades 18 december 2019

Kernel

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8828: Cim Stordal på Cognite

CVE-2019-8838: Dr. Silvio Cesare på InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) på WaCai

libexpat

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: Tolkning av en skadligt XML-fil kan leda till att användarinformation avslöjas

Beskrivning: Problemet åtgärdades genom att uppdatera till expat version 2.2.8.

CVE-2019-15903: Joonun Jang

Uppdaterades 18 december 2019

Anteckningar

Tillgängligt för: macOS Catalina 10.15

Effekt: En fjärrangripare kan skriva över befintliga filer

Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.

CVE-2020-9782: Allison Husain på UC Berkeley

Lades till 4 april 2020

OpenLDAP

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: Flera problem i OpenLDAP

Beskrivning: Flera problem åtgärdades genom att uppdatera till OpenLDAP version 2.4.28.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Uppdaterades 3 februari 2020

Säkerhet

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8832: Insu Yun på SSLab vid Georgia Tech

tcpdump

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: Flera problem i tcpdump

Beskrivning: Flera problem åtgärdades genom att uppdatera till tcpdump version 4.9.3 och libpcap version 1.9.1

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15166

CVE-2019-15167

Uppdaterades 11 februari 2020

Wifi

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: En angripare inom Wi-Fi-räckhåll kan eventuellt visa en liten mängd nätverkstrafik

Beskrivning: Det fanns ett logikproblem i hanteringen av tillståndsövergångar. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2019-15126: Milos Cermak på ESET

Lades till 27 februari 2020

Ytterligare tack

Konton

Vi vill tacka Allison Husain på UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling på Loughborough University för hjälpen.

Uppdaterades 4 april 2020

Core Data

Vi vill tacka natashenka på Google Project Zero för hjälpen.

Finder

Vi vill tacka Csaba Fitzl (@theevilbit) för hjälpen.

Lades till 18 december 2019

Kernel

Vi vill tacka Daniel Roethlisberger på Swisscom CSIRT för hjälpen.

Lades till 18 december 2019

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: