Πληροφορίες για το περιεχόμενο ασφάλειας του macOS Catalina 10.15.1, της Ενημέρωσης ασφάλειας 2019-001 και της Ενημέρωσης ασφάλειας 2019-006

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Catalina 10.15.1, της Ενημέρωσης ασφάλειας 2019-001 και της Ενημέρωσης ασφάλειας 2019-006.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Catalina 10.15.1, Ενημέρωση ασφάλειας 2019-001, Ενημέρωση ασφάλειας 2019-006

Κυκλοφόρησε στις 29 Οκτωβρίου 2019

Λογαριασμοί

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8787: Steffen Klee του Secure Mobile Networking Lab στο Technische Universität Darmstadt

Η καταχώριση ενημερώθηκε στις 11 Φεβρουαρίου 2020

AMD

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8748: Lilang Wu και Moony Li της TrendMicro Mobile Security Research Team

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020

apache_mod_php

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Πολλαπλά προβλήματα στο PHP

Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στο PHP έκδοση 7.3.8.

CVE-2019-11041

CVE-2019-11042

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020

APFS

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8824: Mac σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020

App Store

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να συνδεθεί στον λογαριασμό ενός χρήστη που είχε συνδεθεί προηγουμένως χωρίς έγκυρα διαπιστευτήρια.

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8716: Zhiyi Zhang από την ομάδα Codesafe της Legendsec στην Qi'anxin Group, Zhuo Liang της ομάδας Qihoo 360 Vulcan

Συσχετισμένοι τομείς

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Η λανθασμένη επεξεργασία URL ενδέχεται να οδηγήσει σε εξαγωγή δεδομένων

Περιγραφή: Υπήρχε ένα πρόβλημα στην ανάλυση διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8788: Juha Lindstedt του Pakastin, Mirko Tanania και Rauli Rikama της Zero Keyboard Ltd

Ήχος

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8706: Yu Zhou του Ant-financial Light-Year Security Lab

Ήχος

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8785: Ian Beer του Google Project Zero

CVE-2019-8797: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure

Η καταχώριση ενημερώθηκε στις 11 Φεβρουαρίου 2020

Ήχος

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να αποκαλύψει περιορισμένη μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8850: ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση ενημερώθηκε στις 18 Δεκεμβρίου 2019

Βιβλία

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου iBooks ενδέχεται να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2019-8789: Gertjan Franken από την ομάδα imec-DistriNet του KU Leuven

Επαφές

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης επαφής μπορεί να προκαλέσει πλαστογράφηση του περιβάλλοντος χρήστη

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-7152: Oliver Paukstadt της Thinking Objects GmbH (to.com)

CoreAudio

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Η αναπαραγωγή ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8592: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 6 Νοεμβρίου 2019

CoreAudio

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης ταινίας μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2019-8705: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020

CoreMedia

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8825: εντοπίστηκε από GWP-ASan στο Google Chrome

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020

CUPS

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8736: Pawel Gocyla της ING Tech Poland (ingtechpoland.com)

CUPS

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8767: Stephen Zeisberg

CUPS

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση μπορεί να έχει τη δυνατότητα να εκτελέσει μια επίθεση άρνησης υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2019-8737: Pawel Gocyla της ING Tech Poland (ingtechpoland.com)

Απομόνωση αρχείων

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2019-8509: CodeColorist του Ant-Financial LightYear Labs

Συμβάντα συστήματος αρχείων

Διατίθεται για: macOS High Sierra 10.13.6, macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8798: ABC Research s.r.o. σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Υποδομή

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8746: Natalie Silvanovich και Samuel Groß του Google Project Zero

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020

Γραφικά

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου shader μπορεί να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.

CVE-2018-12152: Piotr Bania της Cisco Talos

CVE-2018-12153: Piotr Bania της Cisco Talos

CVE-2018-12154: Piotr Bania της Cisco Talos

Πρόγραμμα οδήγησης γραφικών

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8784: Vasiliy Vasilyev και Ilya Finogeev της Webinar, LLC

Πρόγραμμα οδήγησης γραφικών Intel

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8807: Yu Wang της Didi Research America

IOGraphics

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2019-8759: κάποιο άλλο άτομο από την ομάδα 360 Nirvan

iTunes

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Η εκτέλεση του προγράμματος εγκατάστασης του iTunes σε μη αξιόπιστο κατάλογο μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα.

Περιγραφή: Υπήρχε ένα πρόβλημα δυναμικής φόρτωσης βιβλιοθήκης στη διαμόρφωση του iTunes. Αντιμετωπίστηκε με βελτιωμένη αναζήτηση διαδρομής.

CVE-2019-8801: Hou JingYi (@hjy79425575) της Qihoo 360 CERT

Πυρήνας

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020

Πυρήνας

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2019-8794: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure

Πυρήνας

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8717: Jann Horn του Google Project Zero

CVE-2019-8786: Wen Xu του Georgia Tech, Microsoft Offensive Security Research Intern

Η καταχώριση ενημερώθηκε στις 18 Νοεμβρίου 2019 και στις 11 Φεβρουαρίου 2020

Πυρήνας

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης κατά τον χειρισμό των πακέτων IPv6. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2019-8744: Zhuo Liang της ομάδας Qihoo 360 Vulcan

Πυρήνας

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2019-8829: Jann Horn του Google Project Zero

Η καταχώριση προστέθηκε στις 6 Νοεμβρίου 2019

libxml2

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Πολλαπλά προβλήματα στο libxml2

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.

CVE-2019-8749: εντοπίστηκε από OSS-Fuzz

CVE-2019-8756: εντοπίστηκε από OSS-Fuzz

libxslt

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Πολλαπλά προβλήματα στο libxslt

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.

CVE-2019-8750: εντοπίστηκε από OSS-Fuzz

manpages

Διατίθεται για: macOS High Sierra 10.13.6, macOS Catalina 10.15

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Ένας εισβολέας μπορεί να έχει τη δυνατότητα να αποσπάσει τα περιεχόμενα ενός κρυπτογραφημένου PDF

Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό συνδέσμων στα κρυπτογραφημένα PDF. Αυτό το πρόβλημα αντιμετωπίστηκε με την προσθήκη ενός ερωτήματος επιβεβαίωσης.

CVE-2019-8772: Jens Müller του Ruhr University Bochum, Fabian Ising του FH Münster University of Applied Sciences, Vladislav Mladenov του Ruhr University Bochum, Christian Mainka του Ruhr University Bochum, Sebastian Schinzel του FH Münster University of Applied Sciences και Jörg Schwenk του Ruhr University Bochum

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020

PluginKit

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να ελέγξει αν υπάρχουν αυθαίρετα αρχεία

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2019-8708: ανώνυμος ερευνητής

PluginKit

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8715: ανώνυμος ερευνητής

Διακομιστής κοινής χρήσης οθόνης

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Ένας χρήστης που κάνει κοινή χρήση της οθόνης του ενδέχεται να μην μπορεί να τερματίσει την κοινή χρήση οθόνης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8858: Saul van der Bijl της Saul’s Place Counseling B.V.

Η καταχώριση προστέθηκε στις 18 Δεκεμβρίου 2019

Επεκτάσεις συστήματος

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στην επαλήθευση δικαιωμάτων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση των δικαιωμάτων διεργασίας.

CVE-2019-8805: Scott Knight (@sdotknight) της VMware Carbon Black TAU

UIFoundation

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Ένα κακόβουλο έγγραφο HTML ενδέχεται να έχει τη δυνατότητα να αποδίδει iframes με ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Υπήρχε πρόβλημα μεταξύ προελεύσεων με στοιχεία «iframe». Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο εντοπισμό των προελεύσεων ασφάλειας.

CVE-2019-8754: Renee Trisberg της SpectX

Η καταχώριση προστέθηκε στις 24 Φεβρουαρίου 2020

UIFoundation

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2019-8745: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020

UIFoundation

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8831: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020

UIFoundation

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου κειμένου ενδέχεται να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2019-8761: Renee Trisberg της SpectX

Wi-Fi

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Ένας εισβολέας στην εμβέλεια του Wi-Fi ενδέχεται να μπορεί να δει μικρή ποσότητα της κίνησης δικτύου

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των μεταβάσεων κατάστασης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2019-15126: Milos Cermak στην ESET

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020

Επιπλέον αναγνώριση

CFNetwork

Θα θέλαμε να ευχαριστήσουμε τον Lily Chen της Google για τη βοήθειά του.

Πυρήνας

Θα θέλαμε να ευχαριστήσουμε τους Brandon Azad του Google Project Zero, Daniel Roethlisberger της Swisscom CSIRT και Jann Horn του Google Project Zero για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 6 Νοεμβρίου 2019

libresolv

Θα θέλαμε να ευχαριστήσουμε τον enh της Google για τη βοήθειά του.

Τοπικός έλεγχος ταυτότητας

Θα θέλαμε να ευχαριστήσουμε τον Ryan Lopopolo για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020

mDNSResponder

Θα θέλαμε να ευχαριστήσουμε τον Gregor Lang της e.solutions GmbH για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 11 Φεβρουαρίου 2020

Postfix

Θα θέλαμε να ευχαριστήσουμε τον Chris Barker της Puppet για τη βοήθειά του.

python

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

VPN

Θα θέλαμε να ευχαριστήσουμε τον Royce Gawron της Second Son Consulting, Inc. για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: