2020-1556: Apple macOS: Mehrere Schwachstellen ermöglichen u. a. die Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-07-16 18:19)

Neues Advisory

Version 2 (2020-07-29 18:44)

Apple aktualisiert den referenzierten Sicherheitshinweis, allerdings nur die englische Version, um über weitere 20 Schwachstellen zu informieren, die mit der neuen Version bzw. den verfügbaren Sicherheitsupdates behoben wurden. Mehrere dieser neu aufgeführten Schwachstellen betreffen auch macOS Mojave und macOS High Sierra und könnten dort z. B. mittels einer installierten Anwendung für das Ausführen beliebigen Programmcodes mit Kernelprivilegien ausgenutzt werden.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Apple

Beschreibung:

Mehrere Schwachstellen in macOS ermöglichen auch einem entfernten Angreifer zumeist mittels einer Benutzerinteraktion das Ausführen beliebigen Programmcodes, die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe und das Umgehen von Sicherheitsvorkehrungen. Ein lokaler Angreifer mit üblichen Benutzerrechten kann zwei weitere Schwachstellen ausnutzen und Informationen ausspähen.

Ein Großteil dieser Schwachstellen betrifft nur macOS Catalina, für das ein Sicherheitsupdate auf die Version 10.15.6 bereitsteht. Die Schwachstelle CVE-2019-20807 in Vim ist für macOS Catalina nicht relevant und wird für macOS Mojave 10.14.6 mit dem Sicherheitsupdate 2020-004 behoben. Das Sicherheitsupdate 2020-004 für macOS High Sierra 10.13.6 behebt zusätzlich zu der Vim-Schwachstelle eine Schwachstelle in CoreAudio CVE-2020-9866.

Schwachstellen:

CVE-2019-14899

Schwachstelle in Kernel ermöglicht Übernahme von VPN-Verbindungen

CVE-2019-19906

Schwachstelle in Cyrus SASL ermöglicht Denial-of-Service-Angriff

CVE-2019-20807

Schwachstelle in vim ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9799

Schwachstelle in Graphics Drivers ermöglicht Ausführen beliebigen Programmcodes mit Kernelprivilegien

CVE-2020-9854

Schwachstelle in Security ermöglicht Privilegieneskalation

CVE-2020-9863

Schwachstelle in Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9864

Schwachstelle in Security ermöglicht Ausführen beliebigen Programmcodes mit Kernelprivilegien

CVE-2020-9865

Schwachstelle in Crash Reporter ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-9866

Schwachstelle in CoreAudio ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9868

Schwachstelle in Security ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-9870

Schwachstelle in Clang ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-9871 CVE-2020-9872 CVE-2020-9936

Schwachstellen in ImageIO ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-9873 CVE-2020-9938

Schwachstellen in ImageIO ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-9876

Schwachstelle in ImageIO ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-9878 CVE-2020-9881 CVE-2020-9882

Schwachstellen in Model I/O ermöglichen u. a. Denial-of-Service-Angriff

CVE-2020-9880

Schwachstelle in Model I/O ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-9883

Schwachstelle in CoreGraphics ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9884 CVE-2020-9889

Schwachstellen in Audio ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-9885

Schwachstelle in Messages ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-9888 CVE-2020-9890 CVE-2020-9891

Schwachstellen in Audio ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-9892

Schwachstelle in Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9899

Schwachstelle in Wi-Fi ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9904

Schwachstelle in Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9906

Schwachstelle in Wi-Fi ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-9908

Schwachstelle in Intel Graphics Driver ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-9913

Schwachstelle in Heimdal ermöglicht Ausspähen von Informationen

CVE-2020-9918

Schwachstelle in Wi-Fi ermöglicht u. a. Denial-of-Service-Angriff

CVE-2020-9919

Schwachstelle in ImageIO ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9920

Schwachstelle in Mail ermöglicht Manipulation von Dateien

CVE-2020-9924

Schwachstelle im Kernel ermöglicht Denial-of-Service-Angriff

CVE-2020-9927

Schwachstelle in AMD ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-9934

Schwachstelle in CoreFoundation ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.