Πληροφορίες για το περιεχόμενο ασφάλειας του macOS Mojave 10.14.5, της Ενημέρωσης ασφάλειας 2019-003 High Sierra και της Ενημέρωσης ασφάλειας 2019-003 Sierra

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Mojave 10.14.5, της Ενημέρωσης ασφάλειας 2019-003 High Sierra και της Ενημέρωσης ασφάλειας 2019-003 Sierra.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Mojave 10.14.5, Ενημέρωση ασφάλειας 2019-003 High Sierra, Ενημέρωση ασφάλειας 2019-003 Sierra

Κυκλοφόρησε στις 13 Μαΐου 2019

Πλαίσιο προσβασιμότητας

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2019-8603: Phoenhex και qwerty (@_niklasb, @qwertyoruiopz, @bkth_) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

AMD

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8635: Lilang Wu και Moony Li της TrendMicro Mobile Security Research Team σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Τείχος προστασίας εφαρμογής

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2019-8590: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

CoreAudio

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό σφάλματος.

CVE-2019-8592: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CoreAudio

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ταινίας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2019-8585: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

DesktopServices

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2019-8589: Andreas Clementi, Stefan Haselwanter και Peter Stelzhammer του οργανισμού AV-Comparatives

Είδωλα δίσκων

Διατίθεται για: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2019-8560: Nikita Pupyshev του Bauman Moscow State Technological University

Η καταχώριση ενημερώθηκε στις 14 Μαΐου 2019

EFI

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Ένας χρήστης ενδέχεται να έχει συνδεθεί απρόσμενα στον λογαριασμό άλλου χρήστη

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2019-8634: Jenny Sprenger και Maik Hoepfel

Πρόγραμμα οδήγησης γραφικών Intel

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8616: Lilang Wu και Moony Li της Trend Micro Mobile Security Research Team σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Πρόγραμμα οδήγησης γραφικών Intel

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8629: Arash Tohidi της Solita Oy

IOAcceleratorFamily

Διατίθεται για: macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4456: Tyler Bohan της Cisco Talos

IOKit

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να φορτώσει επεκτάσεις πυρήνα χωρίς υπογραφή

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επικύρωση symlinks.

CVE-2019-8606: Phoenhex και qwerty (@_niklasb, @qwertyoruiopz, @bkth_) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8525: Zhuo Liang και shrek_wzw της Qihoo 360 Nirvan Team

Η καταχώριση προστέθηκε στις 14 Μαΐου 2019

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8547: derrek (@derrekr6)

Η καταχώριση προστέθηκε στις 14 Μαΐου 2019

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2019-8605: Ned Williamson σε συνεργασία με το Google Project Zero

Πυρήνας

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2019-8576: Brandon Azad του Google Project Zero, Junho Jang και Hanul Choi της LINE Security Team

Πυρήνας

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Αποτέλεσμα: Μια εφαρμογή μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή σε μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8591: Ned Williamson σε συνεργασία με το Google Project Zero

Μικροκώδικας

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Η φόρτωση θυρών, το γέμισμα buffer και η αποθήκευση buffer σε συστήματα με μικροεπεξεργαστές που χρησιμοποιούν υποθετική εκτέλεση ενδέχεται να επιτρέψουν σε έναν εισβολέα με τοπική πρόσβαση χρήστη την πιθανή αποκάλυψη πληροφοριών μέσω πλευρικού καναλιού

Περιγραφή: Πολλά προβλήματα αποκάλυψης πληροφοριών αντιμετωπίστηκαν εν μέρει με ενημέρωση του μικροκώδικα και αλλαγή του προγραμματιστή OS για απομόνωση του συστήματος από περιεχόμενο ιστού που εκτελείται στο πρόγραμμα περιήγησης. Για την πλήρη αντιμετώπιση αυτών των προβλημάτων, υπάρχουν πρόσθετα μέτρα αντιμετώπισης για απενεργοποίηση της υπερνηματικής επεξεργασίας και ενεργοποίηση μέτρων αντιμετώπισης βάσει μικροκώδικα για όλες τις διεργασίες από προεπιλογή. Λεπτομέρειες για τα μέτρα αντιμετώπισης μπορείτε να βρείτε στη διεύθυνση https://support.apple.com/el-gr/HT210107.

CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu και Rodrigo Branco από την Intel, Lei Shi - Qihoo 360 CERT, Marina Minkin Daniel Genkin από το University of Michigan και Yuval Yarom από το University of Adelaide

CVE-2018-12127: Brandon Falk από τη Microsoft Windows Platform Security Team και Ke Sun, Henrique Kawakami, Kekai Hu και Rodrigo Branco από την Intel

CVE-2018-12130: Giorgi Maisuradze από τη Microsoft Research, Ke Sun, Henrique Kawakami, Kekai Hu και Rodrigo Branco από την Intel, Moritz Lipp, Michael Schwarz και Daniel Gruss από το Graz University of Technology, Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos και Cristiano Giuffrida από την ομάδα VUSec στο VU Amsterdam Volodymyr Pikhur και Dan Horea Lutas από την BitDefender

CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu και Rodrigo Branco από την Intel και Moritz Lipp, Michael Schwarz και Daniel Gruss από το Graz University of Technology

Η καταχώριση προστέθηκε στις 14 Μαΐου 2019

Ασφάλεια

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8604: Fluoroacetate σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

SQLite

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα επικύρωσης εισαγωγής αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8577: Omer Gull της Checkpoint Research

SQLite

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Ένα κακόβουλο ερώτημα SQL μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8600: Omer Gull της Checkpoint Research

SQLite

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8598: Omer Gull της Checkpoint Research

SQLite

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με αφαίρεση του ευάλωτου κώδικα.

CVE-2019-8602: Omer Gull της Checkpoint Research

StreamingZip

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επικύρωση symlinks.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

sysdiagnose

Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8574: Dayton Pidhirney (@_watbulb) της Seekintoo (@seekintoo)

Υποστήριξη Touch Bar

Διατίθεται για: macOS Sierra 10.12.6 και macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8569: Viktor Oreshkin (@stek29)

WebKit

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2019-6237: G. Geshev σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Liu Long της Qihoo 360 Vulcan Team

CVE-2019-8571: 01 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8583: sakura του Tencent Xuanwu Lab, jessica (@babyjess1ca_) του Tencent Keen Lab και dwfault σε συνεργασία με το ADLab της Venustech

CVE-2019-8584: G. Geshev της MWR Labs σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8586: ανώνυμος ερευνητής

CVE-2019-8587: G. Geshev σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8594: Suyoung Lee και Sooel Son του KAIST Web Security & Privacy Lab και HyungSeok Han και Sang Kil Cha του KAIST SoftSec Lab

CVE-2019-8595: G. Geshev της MWR Labs σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8596: Wen Xu του SSLab στο Georgia Tech

CVE-2019-8597: 01 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8601: Fluoroacetate σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8608: G. Geshev σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8609: Wen Xu του SSLab, Georgia Tech

CVE-2019-8610: Ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8611: Samuel Groß του Google Project Zero

CVE-2019-8615: G. Geshev της MWR Labs σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8619: Wen Xu του SSLab στο Georgia Tech και Hanqing Zhao του Chaitin Security Research Lab

CVE-2019-8622: Samuel Groß του Google Project Zero

CVE-2019-8623: Samuel Groß του Google Project Zero

CVE-2019-8628: Wen Xu του SSLab στο Georgia Tech και Hanqing Zhao του Chaitin Security Research Lab

WebKit

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδεχομένως να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2019-8607: Junho Jang και Hanul Choi της LINE Security Team

Wi-Fi

Διατίθεται για: macOS Mojave 10.14.4

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να τροποποιήσει την κατάσταση του προγράμματος οδήγησης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2019-8612: Milan Stute του Secure Mobile Networking Lab στο Technische Universität Darmstadt

Η καταχώριση προστέθηκε στις 14 Μαΐου 2019

Επιπλέον αναγνώριση

CoreFoundation

Θα θέλαμε να ευχαριστήσουμε τους Vozzie και Rami, καθώς και τους m4bln, Xiangqian Zhang και Huiming Liu του Xuanwu Lab της Tencent για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 14 Μαΐου 2019

Πυρήνας

Θα θέλαμε να ευχαριστήσουμε τον Denis Kopyrin για τη βοήθειά του.

Η καταχώριση ενημερώθηκε στις 14 Μαΐου 2019

PackageKit

Θα θέλαμε να ευχαριστήσουμε τον Csaba Fitzl (@theevilbit) για τη βοήθειά του.

Safari

Θα θέλαμε να ευχαριστήσουμε τον Michael Ball του Gradescope από την Turnitin για τη βοήθειά του.

Προτιμήσεις συστήματος

Θα θέλαμε να ευχαριστήσουμε έναν ανώνυμο ερευνητή για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: