Om säkerhetsinnehållet i macOS Catalina 10.15.2, säkerhetsuppdatering 2019-002 Mojave säkerhetsuppdatering 2019-007 High Sierra
I det här dokumentet beskrivs säkerhetsinnehållet i macOS Catalina 10.15.2, säkerhetsuppdatering 2019-002 Mojave och säkerhetsuppdatering 2019-007 High Sierra.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
macOS Catalina 10.15.2, säkerhetsuppdatering 2019-002 Mojave, säkerhetsuppdatering 2019-007 High Sierra
ATS
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15
Effekt: Ett skadligt program kan få tillgång till begränsade filer
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2019-8837: Csaba Fitzl (@theevilbit)
Bluetooth
Tillgängligt för: macOS Catalina 10.15
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2019-8853: Jianjun Dai på Qihoo 360 Alpha Lab
CallKit
Tillgängligt för: macOS Catalina 10.15
Effekt: På enheter med två aktiva abonnemang kan samtal som görs med Siri initieras med fel abonnemang
Beskrivning: Ett API-problem förekom i hanteringen av utgående samtal som gjordes med Siri. Problemet har åtgärdats genom förbättrad tillståndshantering.
CVE-2019-8856: Fabrice TERRANCLE på TERRANCLE SARL
CFNetwork Proxies
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15
Effekt: Ett program kan få högre behörighet
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2019-8848: Zhuo Liang på Qihoo 360 Vulcan Team
CFNetwork
Tillgängligt för: macOS Catalina 10.15
Effekt: En angripare med privilegierad nätverksposition kunde kringgå HSTS för ett begränsat antal specifika överordnade domäner som tidigare inte fanns i den förhämtade HSTS-listan
Beskrivning: Ett konfigurationsproblem åtgärdades med ytterligare begränsningar.
CVE-2019-8834: Rob Sayre (@sayrer)
CUPS
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15
Effekt: I vissa konfigurationer har en extern angripare eventuellt kunnat skicka opålitliga utskriftsjobb
Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2019-8842: Niky1235 på China Mobile
CUPS
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15
Effekt: En angripare i en privilegierad position kan orsaka ett dos-angrepp
Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2019-8839: Stephan Zeisberg på Security Research Labs
FaceTime
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15
Effekt: Behandling av skadlig video via FaceTime kan leda till körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2019-8830: natashenka på Google Project Zero
IOGraphics
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15
Effekt: En Mac kanske inte låstes omedelbart efter väckning
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2019-8851: Vladik Khononov på DoiT International
Kernel
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom borttagning av den sårbara koden.
CVE-2019-8833: Ian Beer på Google Project Zero
Kernel
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8828: Cim Stordal på Cognite
CVE-2019-8838: Dr. Silvio Cesare på InfoSect
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) på WaCai
libexpat
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15
Effekt: Tolkning av en skadligt XML-fil kan leda till att användarinformation avslöjas
Beskrivning: Problemet åtgärdades genom att uppdatera till expat version 2.2.8.
CVE-2019-15903: Joonun Jang
Anteckningar
Tillgängligt för: macOS Catalina 10.15
Effekt: En fjärrangripare kan skriva över befintliga filer
Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.
CVE-2020-9782: Allison Husain på UC Berkeley
OpenLDAP
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15
Effekt: Flera problem i OpenLDAP
Beskrivning: Flera problem åtgärdades genom att uppdatera till OpenLDAP version 2.4.28.
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
Säkerhet
Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 och macOS Catalina 10.15
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8832: Insu Yun på SSLab vid Georgia Tech
tcpdump
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15
Effekt: Flera problem i tcpdump
Beskrivning: Flera problem åtgärdades genom att uppdatera till tcpdump version 4.9.3 och libpcap version 1.9.1
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
Wifi
Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Effekt: En angripare inom Wi-Fi-räckhåll kan eventuellt visa en liten mängd nätverkstrafik
Beskrivning: Det fanns ett logikproblem i hanteringen av tillståndsövergångar. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2019-15126: Milos Cermak på ESET
Ytterligare tack
Konton
Vi vill tacka Allison Husain på UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling på Loughborough University för hjälpen.
Core Data
Vi vill tacka natashenka på Google Project Zero för hjälpen.
Finder
Vi vill tacka Csaba Fitzl (@theevilbit) för hjälpen.
Kernel
Vi vill tacka Daniel Roethlisberger på Swisscom CSIRT för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.