2020-0193: Apple macOS: Mehrere Schwachstellen ermöglichen u. a. die komplette Systemübernahme

Historie:

Version 1 (2020-01-29 15:54)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Apple

Beschreibung:

Zwei Schwachstellen in von Mojave 10.14.6 und Catalina 10.15.2 benutzten Komponenten ermöglichen einem entfernten, nicht authentisierten Angreifer mittels einer bösartig manipulierten, lokal installierten Anwendung die Ausführung beliebigen Programmcodes mit Systemprivilegien und damit in der Folge die vollständige Kompromittierung des betroffenen Systems. Mehrere weitere Schwachstellen in verschiedenen Komponenten von macOS High Sierra 10.13.6, Mojave 10.14.6 und Catalina 10.15.2 ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, das Durchführen verschiedener Denial-of-Service (Dos)-Angriffe, das Eskalieren von Privilegien, das Ausspähen von Informationen, die Manipulation von Dateien und das Umgehen von Sicherheitsvorkehrungen. Eine weitere Schwachstelle in der Komponente 'sudo' ermöglicht einem lokalen, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes.

Apple veröffentlicht zur Behebung der Schwachstellen die Sicherheitsupdates 2020-001 Mojave und 2020-001 High Sierra sowie die Catalina Version 10.15.3.

Schwachstellen:

CVE-2019-11043

Schwachstelle in PHP ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-18634

Schwachstelle in sudo ermöglicht Erlangen von Administratorrechten

CVE-2020-3826 CVE-2020-3870 CVE-2020-3878

Schwachstellen in ImageIO ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-3827

Schwachstelle in Image Processing ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-3829

Schwachstelle in libxpc ermöglicht Privilegieneskalation

CVE-2020-3830

Schwachstelle in PackageKit ermöglicht die Manipulation von Dateien

CVE-2020-3835

Schwachstelle in Crash Reporter ermöglicht Manipulation von Dateien

CVE-2020-3836

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2020-3837

Schwachstelle in IOAcceleratorFamily ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-3838

Schwachstelle in wifivelocityd ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-3839

Schwachstelle in Wi-Fi ermöglicht Ausspähen von Informationen

CVE-2020-3840

Schwachstelle in IPSec ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-3842 CVE-2020-3871

Schwachstellen in Kernel ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-3843

Schwachstelle in Wi-Fi ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-3845

Schwachstelle in Intel Graphics Driver ermöglicht komplette Systemübernahme

CVE-2020-3846

Schwachstelle in libxml2 ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-3847

Schwachstelle in Core Bluetooth ermöglicht Denial-of-Service-Angriff

CVE-2020-3848 CVE-2020-3849 CVE-2020-3850

Schwachstellen in Core Bluetooth ermöglichen u. a. Denial-of-Service-Angriff

CVE-2020-3853

Schwachstelle in Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-3854

Schwachstelle in Security ermöglicht komplette Systemübernahme

CVE-2020-3855

Schwachstelle in System ermöglicht Manipulation von Dateien

CVE-2020-3856

Schwachstelle in libxpc ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-3857

Schwachstelle in Audio ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-3866

Schwachstelle in autofs ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-3872

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2020-3875

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2020-3877

Schwachstelle in AnnotationKit ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.