نبذة عن محتوى أمان macOS Catalina 10.15.1 وتحديث الأمان Security Update 2019-001 وتحديث الأمان Security Update 2019-006

يستعرض هذا المستند محتوى الأمان في macOS Catalina 10.15.1 وتحديث الأمان Security Update 2019-001 وتحديث الأمان Security Update 2019-006.

حول تحديثات أمان Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتم إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID إن أمكن ذلك.

للحصول على مزيد من المعلومات حول الأمان، يمكنك الاطلاع على صفحة أمان منتجات Apple.

macOS Catalina 10.15.1، تحديث الأمان Security Update 2019-001، تحديث الأمان Security Update 2019-006

تاريخ الإصدار: 29 أكتوبر 2019

الحسابات

متوفر لما يلي: macOS Catalina 10.15

التأثير: قد يتمكن مهاجم عن بُعد من تسريب محتوى الذاكرة

الوصف: تمت معالجة القراءة غير المسموح بها عن طريق التحقق المحسّن من صحة الإدخال.

CVE-2019-8787:‏ Steffen Klee من Secure Mobile Networking Lab في Technische Universität Darmstadt

App Store

متوفر لما يلي: macOS Catalina 10.15

التأثير: قد يتمكن مخترق محلي من تسجيل الدخول إلى حساب مستخدم تم تسجيل الدخول إليه من قبل بدون بيانات اعتماد صالحة.

الوصف: تمت معالجة مشكلة تتعلق بالمصادقة من خلال الإدارة المُحسّنة للحالة.

CVE-2019-8803:‏ Kiyeon An،‏ ‎차민규 (CHA Minkyu)‎

AppleGraphicsControl

متوفر لما يلي: macOS Catalina 10.15

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2019-8817:‏ Arash Tohidi

AppleGraphicsControl

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2019-8716:‏ Zhiyi Zhang من فريق Codesafe Team of Legendsec التابع لـ Qi'anxin Group،‏ Zhiyi Zhang من فريق Qihoo 360 Vulcan Team

النطاقات المرتبطة

متوفر لما يلي: macOS Catalina 10.15

التأثير: قد تؤدي معالجة عناوين URL غير الصحيحة إلى تصفية البيانات

الوصف: وجدت مشكلة أثناء تحليل عناوين URL. وقد تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2019-8788:‏ Juha Lindstedt من باكستان، Mirko Tanania،‏ Rauli Rikama من Zero Keyboard Ltd

الصوت

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: قد تؤدي معالجة ملف صوتي متطفل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال الإدارة المحسّنة للحالة.

CVE-2019-8706:‏ Yu Zhou من Ant-financial Light-Year Security Lab

الصوت

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Catalina 10.15

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2019-8785:‏ Ian Beer من Google Project Zero

CVE-2019-8797:‏ 08Tc3wBB بالاشتراك مع SSD Secure Disclosure

الكتب

متوفر لما يلي: macOS Catalina 10.15

التأثير: قد يؤدي تحليل ملف iBooks متطفّل إلى الكشف عن معلومات مستخدم

الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة الارتباطات الرمزية. تمت معالجة هذه المشكلة من خلال التحقق المُحسّن من روابط النظام.

CVE-2019-8789:‏ Gertjan Franken من imec-DistriNet،‏ KU Leuven

جهات الاتصال

متوفر لما يلي: macOS Catalina 10.15

التأثير: قد تؤدي معالجة جهة اتصال ضارة إلى انتحال واجهة المستخدم

الوصف: تمت معالجة مشكلة تتعلق بواجهة مستخدم غير متناسقة من خلال الإدارة المحسّنة للحالة.

CVE-2017-7152:‏ Oliver Paukstadt من ‎Thinking Objects GmbH (to.com)‎

CoreAudio

متوفر لما يلي: macOS Mojave 10.14.6،‏ macOS High Sierra 10.13.6

التأثير: قد يؤدي تشغيل ملف صوتي ضار إلى تنفيذ تعليمات برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2019-8592:‏ riusksk من VulWar Corp بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

تاريخ إضافة الإدخال: 6 نوفمبر 2019

CUPS

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من تسريب معلومات مستخدم حساسة

الوصف: تمت معالجة مشكلة متعلقة بالتحقق من صحة الإدخال من خلال التحقق المحسّن من صحة الإدخال.

CVE-2019-8736:‏ Pawel Gocyla من ‎ING Tech Poland (ingtechpoland.com)‎

CUPS

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: تؤدي معالجة سلسلة متطفلة إلى تلف كومة ذاكرة تخزين البيانات

الوصف: تمت معالجة مشكلة استهلاك الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2019-8767:‏ Stephen Zeisberg

CUPS

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من إجراء هجوم رفض الخدمة

الوصف: تمت معالجة مشكلة متعلقة برفض الخدمة من خلال التحقق من الصحة المحسّن.

CVE-2019-8737:‏ Pawel Gocyla من ‎ING Tech Poland (ingtechpoland.com)‎

عزل الملف

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: قد يتمكن أحد التطبيقات الضارة من رفع الامتيازات

الوصف: تمت معالجة هذه المشكلة من خلال إزالة التعليمة البرمجية المعرّضة للهجوم.

CVE-2019-8509:‏ CodeColorist من Ant-Financial LightYear Labs

أحداث نظام الملفات

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Catalina 10.15

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2019-8798:‏ ABC Research s.r.o.‎ بالاشتراك مع مبادرة Zero Day Initiative من Trend Micro

الرسومات

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: قد تؤدي معالجة أداة تحكم بوحدات بكسل ضارة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2018-12152:‏ Piotr Bania من Cisco Talos

CVE-2018-12153:‏ Piotr Bania من Cisco Talos

CVE-2018-12154:‏ Piotr Bania من Cisco Talos

برنامج تشغيل الرسومات

متوفر لما يلي: macOS Catalina 10.15

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2019-8784:‏ Vasiliy Vasilyev وIlya Finogeev من Webinar, LLC

برنامج تشغيل رسومات Intel

متوفر لما يلي: macOS Catalina 10.15

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2019-8807:‏ Yu Wang من Didi Research America

IOGraphics

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: قد يتسبب مستخدم محلي في إحداث إنهاء غير متوقع للنظام أو قراءة ذاكرة kernel

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2019-8759:‏ شخص آخر من فريق 360 Nirvan Team

iTunes

متوفر لما يلي: macOS Catalina 10.15

التأثير: قد يؤدي تشغيل مثبّت iTunes في دليل غير موثوق به إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وجدت مشكلة في تحميل مكتبة ديناميكية أثناء إعداد iTunes. تم التصدّي لهذه المشكلة من خلال البحث المحسّن عن المسار.

CVE-2019-8801:‏ Hou JingYi‏ (@hjy79425575) منQihoo 360 CERT

Kernel

متوفر لما يلي: macOS Catalina 10.15

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة مقيدة

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة من خلال الإبراء المحسّن للإدخال.

CVE-2019-8794:‏ 08Tc3wBB بالاشتراك مع SSD Secure Disclosure

Kernel

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6،‏ macOS Catalina 10.15

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2019-8786: باحث غير معلوم الهوية

Kernel

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: قد يتمكن أحد التطبيقات الضارة من تحديد تخطيط ذاكرة kernel

الوصف: حدثت مشكلة تلف ذاكرة في معالجة حزم IPv6. تم التصدي لهذه المشكلة باستخدام الإدارة المحسّنة للذاكرة.

CVE-2019-8744:‏ Zhuo Liang من فريق Qihoo 360 Vulcan Team

Kernel

متوفر لما يلي: macOS Catalina 10.15

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة ثغرة أمنية لتلف الذاكرة من خلال القفل المحسَّن.

CVE-2019-8829:‏ Jann Horn من Google Project Zero

تاريخ إضافة الإدخال: 6 نوفمبر 2019

libxml2

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: عدة مشكلات في libxml2

الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2019-8749:‏ وُجدت بواسطة OSS-Fuzz

CVE-2019-8756:‏ وُجدت بواسطة OSS-Fuzz

libxslt

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: وجدت عدة مشاكل في libxslt

الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2019-8750:‏ وُجدت بواسطة OSS-Fuzz

manpages

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Catalina 10.15

التأثير: قد يتمكن أحد التطبيقات الضارة من التمتع بامتيازات الجذر

الوصف: تمت معالجة مشكلة تتعلق بالتحقق من الصحة باستخدام منطق محسّن.

CVE-2019-8802:‏ ‎Csaba Fitzl (@theevilbit)‎

PluginKit

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: قد يتمكّن مستخدم محلي من التحقق بحثًا عن وجود ملفات عشوائية

الوصف: تمت معالجة مشكلة منطقية من خلال القيود المحسّنة.

CVE-2019-8708: باحث غير معلوم الهوية

PluginKit

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2019-8715: باحث غير معلوم الهوية

ملحقات النظام

متوفر لما يلي: macOS Catalina 10.15

التأثير: قد يتمكن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات النظام

الوصف: وُجدت مشكلة تتعلق بالتحقق من التخويل. تمت معالجة هذه المشكلة عبر التحقق المحسّن من تخويل العملية.

CVE-2019-8805:‏ ‎Scott Knight (@sdotknight)‎ من VMware Carbon Black TAU

UIFoundation

متوفر لما يلي: macOS High Sierra 10.13.6،‏ macOS Mojave 10.14.6

التأثير: قد يؤدي تحليل ملف نصي متطفّل إلى الكشف عن معلومات مستخدم

الوصف: تمت معالجة هذه المشكلة عبر عمليات التحقق المحسّنة.

CVE-2019-8761:‏ Renee Trisberg من SpectX

تقدير آخر

CFNetwork

يسعدنا أن نتوجّه بخالص الشكر إلى Lily Chen من Google على تقديم المساعدة لنا.

Kernel

يسعدنا أن نتوجّه بخالص الشكر إلى Brandon Azad من Google Project Zero وDaniel Roethlisberger من Swisscom CSIRT وJann Horn من Google Project Zero على تقديم المساعدة لنا.

تاريخ تحديث الإدخال: 6 نوفمبر 2019

libresolv

يسعدنا أن نتوجّه بخالص الشكر إلى enh من Google على تقديم المساعدة لنا.

Postfix

يسعدنا أن نتوجّه بخالص الشكر إلى Chris Barker من Puppet على تقديم المساعدة لنا.

python

يسعدنا أن نتوجّه بخالص الشكر إلى باحث غير معلوم الهوية نظير مساعدته لنا.

VPN

يسعدنا أن نتوجّه بخالص الشكر إلى Royce Gawron من Second Son Consulting, Inc.‎ على تقديم المساعدة لنا.

يتمّ تقديم المعلومات حول المنتجات التي لم تُصنّعها شركة Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم شركة Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. المخاطر ملازمة لاستخدام الإنترنت. للحصول على مزيد من المعلومات، يُمكنك الاتصال بالبائع. قد تكون أسماء الشركات والمنتجات الأخرى علامات تجارية لمالكيها المعنيين.

تاريخ النشر: