2020-1115: Apple macOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-05-27 21:56)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Apple

Beschreibung:

Mehrere Schwachstellen in macOS High Sierra 10.13.6, Mojave 10.14.6 und Catalina 10.15.4 ermöglichen einem zumeist lokalen Angreifer mit üblichen Benutzerrechten mittels speziell präparierter und lokal installierter Anwendungen das Ausführen beliebigen Programmcodes, teilweise mit Kernelprivilegien und damit in der Folge die vollständige Kompromittierung des betroffenen Systems, das Eskalieren von Privilegien, das Umgehen von Sicherheitsvorkehrungen, das Durchführen von Denial-of-Service (DoS)-Angriffen und das Ausspähen von Informationen. Die Angriffe erfordern zum Teil die Interaktion eines Benutzers und können Einfluss auf weitere Komponenten betroffener Systeme haben.

Eine weitere Schwachstelle in macOS Catalina 10.15.4 ermöglicht einem lokalen Angreifer mit Hilfe einer speziell präparierten Datei die Ausführung beliebigen JavaScript-Programmcodes. Zusätzlich kann ein Angreifer mit physischem Zugriff auf ein System mit macOS Catalina 10.15.4 zwei Schwachstellen mit Hilfe speziell präparierter USB-Geräte ausnutzen, um Denial-of-Service (DoS)-Zustände zu erzeugen.

Eine Schwachstelle in macOS Mojave 10.14.6 ermöglicht einem entfernten Angreifer mit Hilfe einer speziell präparierten Webseite das Ausspähen von Informationen aus dem Safari-Browser.

Apple veröffentlicht zur Behebung der Schwachstellen die Sicherheitsupdates 2020-003 Mojave und 2020-003 High Sierra sowie die Version 10.15.5 von macOS Catalina.

Schwachstellen:

CVE-2019-14868

Schwachstelle in KornShell (ksh) ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-20044

Schwachstelle in Zsh ermöglicht Privilegieneskalation

CVE-2020-3878

Schwachstelle in ImageIO ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-3882

Schwachstelle in Calendar ermöglicht Ausspähen von Informationen

CVE-2020-9771

Schwachstelle in Sandbox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-9772

Schwachstelle in Accounts ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-9788

Schwachstelle in Security ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9789 CVE-2020-9790

Schwachstellen in ImageIO ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-9791 CVE-2020-9815

Schwachstellen in Audio ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-9792

Schwachstelle in USB Audio ermöglicht Denial-of-Service-Angriff

CVE-2020-9793

Schwachstelle in Python ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9794

Schwachstelle in SQLite ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-9795

Schwachstelle in Kernel ermöglicht komplette Systemübernahme

CVE-2020-9797

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2020-9804

Schwachstelle in AppleUSBNetworking ermöglicht Denial-of-Service-Angriff

CVE-2020-9808

Schwachstelle in Kernel ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-9809

Schwachstelle in Kernel ermöglicht Ausspähen von Informationen

CVE-2020-9811 CVE-2020-9812

Schwachstellen in Kernel ermöglichen Ausspähen von Informationen

CVE-2020-9813 CVE-2020-9814

Schwachstellen in Kernel ermöglichen vollständige Systemübernahme

CVE-2020-9816

Schwachstelle in FontParser ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-9817

Schwachstelle in PackageKit ermöglicht Erlangen von Administratorrechten

CVE-2020-9821

Schwachstelle in Kernel ermöglicht komplette Systemübernahme

CVE-2020-9822

Schwachstelle in Intel Graphics Driver ermöglicht komplette Systemübernahme

CVE-2020-9824

Schwachstelle in SIP ermöglicht Privilegieneskalation

CVE-2020-9825

Schwachstelle in Sandbox ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-9826

Schwachstelle in AirDrop ermöglicht Denial-of-Service-Angriff

CVE-2020-9827

Schwachstelle in Accounts ermöglicht Denial-of-Service-Angriff

CVE-2020-9828

Schwachstelle in CoreBluetooth ermöglicht Ausspähen von Informationen

CVE-2020-9830

Schwachstelle in Wi-Fi ermöglicht komplette Systemübernahme

CVE-2020-9831

Schwachstelle in Bluetooth ermöglicht Ausspähen von Informationen

CVE-2020-9832

Schwachstelle in Wi-Fi ermöglicht Ausspähen von Informationen

CVE-2020-9833

Schwachstelle in Wi-Fi ermöglicht Ausspähen von Informationen

CVE-2020-9834

Schwachstelle in Wi-Fi ermöglicht komplette Systemübernahme

CVE-2020-9837

Schwachstelle in IPSec ermöglicht Ausspähen von Informationen

CVE-2020-9839

Schwachstelle in System Preferences ermöglicht Privilegieneskalation

CVE-2020-9841

Schwachstelle in WindowServer ermöglicht komplette Systemübernahme

CVE-2020-9842

Schwachstelle in AppleMobileFileIntegrity ermöglicht u. a. Privilegieneskalation

CVE-2020-9844

Schwachstelle in Wi-Fi ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-9847

Schwachstelle in DiskArbitration ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-9851

Schwachstelle in PackageKit ermöglicht Manipulation von Dateien

CVE-2020-9852

Schwachstelle in Kernel ermöglicht komplette Systemübernahme

CVE-2020-9855

Schwachstelle in Find My ermöglicht Privilegieneskalation

CVE-2020-9856

Schwachstelle in CVMS ermöglicht Privilegieneskalation

CVE-2020-9857

Schwachstelle in NSURL ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.