Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
macOS Mojave 10.14.3, Ενημέρωση ασφαλείας 2019-001 High Sierra και Ενημέρωση ασφαλείας 2019-001 Sierra
Κυκλοφόρησε στις 22 Ιανουαρίου 2019
AppleKeyStore
Διατίθεται για: macOS Mojave 10.14.2
Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-6235: Brandon Azad
Bluetooth
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-6200: ένας ανώνυμος ερευνητής
Core Media
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2019-6202: Fluoroacetate σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2019-6221: Fluoroacetate σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CoreAnimation
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2019-6231: Zhuo Liang της ομάδας Qihoo 360 Nirvan
CoreAnimation
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-6230: Proteas, Shrek_wzw και Zhuo Liang της ομάδας Qihoo 360 Nirvan
FaceTime
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να ξεκινήσει μια κλήση FaceTime προκαλώντας την αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-6224: natashenka του Google Project Zero
Hypervisor
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise και Fred Jacobs του Virtual Machine Monitor Group της VMware, Inc.
Πρόγραμμα οδήγησης γραφικών Intel
Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4452: Liu Long της ομάδας Qihoo 360 Vulcan
IOKit
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-6214: Ian Beer του Google Project Zero
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-6225: Brandon Azad του Google Project Zero, Qixun Zhao της ομάδας Qihoo 360 Vulcan
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-6210: Ned Williamson της Google
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να προκαλέσει απρόσμενες αλλαγές στην κοινόχρηστη μνήμη διεργασιών
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο έλεγχο της κατάστασης κλειδώματος.
CVE-2019-6205: Ian Beer του Google Project Zero
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2019-6213: Ian Beer του Google Project Zero
Πυρήνας
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-6209: Brandon Azad του Google Project Zero
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να προκαλέσει απρόσμενες αλλαγές στην κοινόχρηστη μνήμη διεργασιών
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-6208: Jann Horn του Google Project Zero
libxpc
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-6218: Ian Beer του Google Project Zero
Επεξεργασία φυσικής γλώσσας
Διατίθεται για: macOS Mojave 10.14.2
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-6219: Authier Thomas
QuartzCore
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-6220: Yufeng Ruan του Chaitin Security Research Lab
SQLite
Διατίθεται για: macOS Mojave 10.14.2
Αποτέλεσμα: Ένα κακόβουλο ερώτημα SQL μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.
CVE-2018-20346: Tencent Blade Team
CVE-2018-20505: Tencent Blade Team
CVE-2018-20506: Tencent Blade Team
WebRTC
Διατίθεται για: macOS Mojave 10.14.2
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-6211: Georgi Geshev (@munmap), Fabi Beterke (@pwnfl4k3s) και Rob Miller (@trotmaster99) της MWR Labs (@mwrlabs) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Επιπλέον αναγνώριση
apache_mod_php
Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.
Πυρήνας
Θα θέλαμε να ευχαριστήσουμε τον Daniel Roethlisberger της Swisscom CSIRT για τη βοήθειά του.
LibreSSL
Θα θέλαμε να ευχαριστήσουμε τον Viktor Szakats για τη βοήθειά του.
mDNSResponder
Θα θέλαμε να ευχαριστήσουμε τους Fatemah Alharbi από το University of California, Riverside (UCR) και Taibah University (TU), Jie Chang από το LinkSure Network, Yuchen Zhou από το Northeastern University, Feng Qian από το University of Minnesota – Twin City, Zhiyun Qian από το University of California, Riverside (UCR) και Nael Abu-Ghazaleh από το University of California, Riverside (UCR) για τη βοήθειά τους.