2019-1511: Apple macOS: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung des Systems

Historie:

Version 1 (2019-07-23 15:06)

Neues Advisory

Version 2 (2019-08-14 17:48)

Apple hat seinen Sicherheitshinweis um die Schwachstelle CVE-2019-9506 im Bluetooth-Protokoll ergänzt, welche einem nicht authentisierten Angreifer in Bluetooth-Reichweite das Umgehen von Sicherheitsvorkehrungen ermöglicht.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Apple

Beschreibung:

Mehrere Schwachstellen in verschiedenen von macOS Mojave, High Sierra und Sierra genutzten Komponenten erlauben einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes. In einigen Fällen kann Programmcode mit erweiterten Privilegien ausgeführt werden, wodurch ein betroffenes System komplett kompromittiert werden kann. Weitere Schwachstellen ermöglichen dem Angreifer das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen, die Darstellung falscher Informationen sowie verschiedene Denial-of-Service (DoS)- und Cross-Site-Scripting (XSS)-Angriffe.

Der Hersteller gibt für zwei der genannten Schwachstellen verschiedene betroffene Produkte an: CVE-2019-8646 betrifft Siri und Core Data für macOS Mojave 10.14.5, CVE-2019-8697 betrifft laut Hersteller Disk Management für macOS Mojave 10.14.5 bzw. Security für macOS Sierra 10.12.6 und macOS High Sierra 10.13.6. Hierfür werden möglicherweise noch eigene Schwachstellenbezeichner vergeben.

Die meisten der genannten Schwachstellen können mit Hilfe speziell präparierter Anwendungen, Dateien oder Webseiten ausgenutzt werden. Dazu muss ein Benutzer der betroffenen Software zu einer Interaktion, beispielsweise zur Installation und Ausführung einer speziell präparierten Anwendung oder zum Besuch einer speziell präparierten Webseite, verleitet werden.

Apple schließt die Schwachstellen mit der neuen Version des Betriebssystems macOS Mojave 10.14.6 sowie den Security Updates 2019-004 für High Sierra 10.13.6 und Sierra 10.12.6.

Schwachstellen:

CVE-2018-16860

Schwachstelle in Heimdal / Samba ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-19860

Schwachstelle in Broadcom-Komponente ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-13118

Schwachstelle in libxslt ermöglicht Ausspähen von Informationen

CVE-2019-8641

Schwachstelle in Foundation ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-8644 CVE-2019-8666 CVE-2019-8669 CVE-2019-8671 CVE-2019-8672 CVE-2019-8673 CVE-2019-8676 CVE-2019-8677 CVE-2019-8678

Schwachstellen in WebKit ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-8646

Schwachstelle in Core Data und Siri ermöglicht Ausspähen von Informationen

CVE-2019-8648

Schwachstelle in FaceTime ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-8649

Schwachstelle in WebKit ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-8656

Schwachstelle in autofs ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-8657

Schwachstelle in UIFoundation ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-8658

Schwachstelle in WebKit ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-8660

Schwachstelle in Core Data ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-8661

Schwachstelle in Carbon Core ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-8662

Schwachstelle in Quick Look ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-8663

Schwachstelle in Found in Apps ermöglicht u. a. Ausspähen von Informationen

CVE-2019-8667

Schwachstelle in Time Machine ermöglicht u. a. Darstellung falscher Informationen

CVE-2019-8670

Schwachstelle in Safari ermöglicht Darstellung falscher Informationen

CVE-2019-8679 CVE-2019-8680 CVE-2019-8681 CVE-2019-8683 CVE-2019-8684 CVE-2019-8685 CVE-2019-8686 CVE-2019-8687 CVE-2019-8688

Schwachstellen in WebKit ermöglichen Ausführung beliebigen Programmcodes

CVE-2019-8689

Schwachstelle in WebKit ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-8690

Schwachstelle in WebKit ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-8691 CVE-2019-8692

Schwachstellen in Graphics Drivers ermöglichen Ausspähen von Informationen

CVE-2019-8693

Schwachstelle in AppleGraphicsControl ermöglicht Ausspähen von Informationen

CVE-2019-8694

Schwachstelle in IOAcceleratorFamily ermöglicht komplette Systemübernahme

CVE-2019-8695

Schwachstelle in Grapher ermöglicht komplette Systemübernahme

CVE-2019-8697

Schwachstelle in Security und Disk Management ermöglicht komplette Systemübernahme

CVE-2019-9506

Schwachstelle in Bluetooth-Protokoll ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.