Πληροφορίες για το περιεχόμενο ασφάλειας του macOS Mojave 10.14.4, της Ενημέρωσης ασφάλειας 2019-002 High Sierra και της Ενημέρωσης ασφάλειας 2019-002 Sierra
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Mojave 10.14.4, της Ενημέρωσης ασφάλειας 2019-002 High Sierra και της Ενημέρωσης ασφάλειας 2019-002 Sierra.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
macOS Mojave 10.14.4, Ενημέρωση ασφαλείας 2019-002 High Sierra και Ενημέρωση ασφαλείας 2019-002 Sierra
802.1X
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να υποκλέψει την κίνηση δικτύου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-6203: Dominic White της SensePost (@singe)
802.1X
Διατίθεται για: macOS High Sierra 10.13.6
Αποτέλεσμα: Ένα μη αξιόπιστο πιστοποιητικό διακομιστή radius ενδέχεται να εμφανίζεται ως αξιόπιστο
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στη Διαχείριση σημείων στήριξης αξιοπιστίας. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8531: ανώνυμος ερευνητής, ομάδα QA της SecureW2
Λογαριασμοί
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου vcf μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
APFS
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα λογικής με αποτέλεσμα την αλλοίωση της μνήμης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2019-8534: Mac σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
AppleGraphicsControl
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.
CVE-2019-8555: Zhiyi Zhang της ομάδας 360 ESG Codesafe Team, Zhuo Liang και shrek_wzw της ομάδας Qihoo 360 Nirvan Team
Bom
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να παρακάμψει τους ελέγχους του Gatekeeper
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των μεταδεδομένων αρχείων.
CVE-2019-6239: Ian Moorhouse και Michael Trimm
CFString
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.
CVE-2019-8516: ομάδα SWIPS της Frifee Inc.
configd
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Επαφές
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8511: ανώνυμος ερευνητής
CoreCrypto
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2019-8542: ανώνυμος ερευνητής
Διαιτησία δίσκου
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Είναι δυνατή η κατάργηση της προσάρτησης και η εκ νέου προσάρτηση ενός κρυπτογραφημένου τόμου από έναν άλλο χρήστη χωρίς να ζητηθεί συνθηματικό
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8522: Colin Meginnis (@falc420)
FaceTime
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Το βίντεο ενός χρήστη ενδέχεται να μην τεθεί σε παύση κατά τη διάρκεια μιας κλήσης FaceTime, αν πραγματοποιήσει έξοδο από την εφαρμογή FaceTime ενώ δέχεται την κλήση
Περιγραφή: Υπήρχε ένα πρόβλημα με την παύση του βίντεο FaceTime. Το πρόβλημα επιλύθηκε με βελτιωμένη λογική.
CVE-2019-8550: Lauren Guzniczak της Keystone Academy
FaceTime
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβάλλει επαφές από την οθόνη κλειδώματος
Περιγραφή: Ένα πρόβλημα σχετικό με την οθόνη κλειδώματος επέτρεπε την πρόσβαση σε επαφές σε μια κλειδωμένη συσκευή. Αυτό το θέμα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2019-8777: Abdullah H. AlJaber (@aljaber) της AJ.SA
Βοηθός σχολίων
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.
CVE-2019-8565: CodeColorist του Ant-Financial LightYear Labs
Βοηθός σχολίων
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2019-8521: CodeColorist του Ant-Financial LightYear Labs
αρχείο
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να αποκαλύψει πληροφορίες χρήστη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2019-8906: Francisco Alonso
Προγράμματα οδήγησης γραφικών
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) και Junzhi Lu της Trend Micro Research σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Lilang Wu και Moony Li της Trend Micro
iAP
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2019-8542: ανώνυμος ερευνητής
IOGraphics
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Ενδέχεται να μην είναι δυνατό το κλείδωμα ενός Mac κατά την αποσύνδεση από μια εξωτερική οθόνη
Περιγραφή: Ένα πρόβλημα χειρισμού κλειδώματος αντιμετωπίστηκε με τη βελτίωση του χειρισμού κλειδώματος.
CVE-2019-8533: ανώνυμος ερευνητής, James Eagan της Télécom ParisTech, R. Scott Kemp του MIT και Romke van Dijk της Z-CERT
IOHIDFamily
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8545: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs
IOKit
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8504: ανώνυμος ερευνητής
IOKit SCSI
Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8529: Juwei Lin (@panicaII) της Trend Micro Research σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4448: Brandon Azad
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να τροποποιήσει τα δεδομένα κίνησης δικτύου
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης κατά τον χειρισμό των πακέτων IPv6. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2019-5608: Apple
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.
CVE-2019-8527: Ned Williamson της Google και derrek (@derrekr6)
Πυρήνας
Διατίθεται για: macOS Mojave 10.14.3, macOS High Sierra 10.13.6
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) από την ομάδα Qihoo 360 Vulcan
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Αποτέλεσμα: Η προσάρτηση ενός κακόβουλου κοινόχρηστου στοιχείου δικτύου NFS ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2019-8508: Dr. Silvio Cesare της InfoSect
Πυρήνας
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8514: Samuel Groß του Google Project Zero
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8540: Weibo Wang (@ma1fan) από την ομάδα Qihoo 360 Nirvan
Πυρήνας
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-7293: Ned Williamson της Google
Πυρήνας
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-6207: Weibo Wang από την ομάδα Qihoo 360 Nirvan (@ma1fan)
CVE-2019-8510: Stefan Esser της Antid0te UG
Πυρήνας
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8547: derrek (@derrekr6)
Πυρήνας
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8525: Zhuo Liang και shrek_wzw της Qihoo 360 Nirvan Team
libmalloc
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Αποτέλεσμα: μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων
Περιγραφή: Ένα πρόβλημα διαμόρφωσης αντιμετωπίστηκε με πρόσθετους περιορισμούς.
CVE-2018-4433: Vitaly Cheptsov
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος mail ενδέχεται να μπορεί να προκαλέσει πλαστογράφηση της υπογραφής S/MIME
Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό των πιστοποιητικών S-MIME. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση των πιστοποιητικών S-MIME.
CVE-2019-8642: Maya Sigal του Freie Universität Berlin και Volker Roth του Freie Universität Berlin
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να υποκλέψει τα περιεχόμενα e-mail με κρυπτογράφηση S/MIME
Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό του κρυπτογραφημένου Mail. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη απομόνωση του MIME στο Mail.
CVE-2019-8645: Maya Sigal του Freie Universität Berlin και Volker Roth του Freie Universität Berlin
Μηνύματα
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να προβάλλει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.
CVE-2019-8546: ChiYuan Chang
Modem CCL
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8579: ανώνυμος ερευνητής
Σημειώσεις
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προβάλει τις κλειδωμένες σημειώσεις ενός χρήστη
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένη διαχείριση της μνήμης.
CVE-2019-8537: Greg Walker (gregwalker.us)
PackageKit
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8561: Jaron Bradley της Crowdstrike
Perl
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Πολλά προβλήματα στην Perl
Περιγραφή: Πολλά προβλήματα στην Perl αντιμετωπίστηκαν σε αυτήν την ενημέρωση.
CVE-2018-12015: Jakub Wilk
CVE-2018-18311: Jayakrishna Menon
CVE-2018-18313: Eiichi Tsukata
Διαχείριση ενέργειας
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχαν πολλά ζητήματα επαλήθευσης εισόδου στον δημιουργημένο κώδικα MIG. Αυτά τα προβλήματα αντιμετωπίστηκαν με βελτιωμένη επαλήθευση.
CVE-2019-8549: Mohamed Ghannam (@_simo36) της SSD Secure Disclosure (ssd-disclosure.com)
QuartzCore
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Η επεξεργασία κακόβουλων δεδομένων ενδέχεται να προκαλέσει την απρόσμενη διακοπή λειτουργίας της εφαρμογής
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.
CVE-2019-8507: Kai Lu του FortiGuard Labs της Fortinet
Sandbox
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.
CVE-2019-8618: Brandon Azad
Ασφάλεια
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2019-8526: Linus Henze (pinauten.de)
Ασφάλεια
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2019-8520: Antonio Groza, National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου
Ασφάλεια
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Ένα μη αξιόπιστο πιστοποιητικό διακομιστή radius ενδέχεται να εμφανίζεται ως αξιόπιστο
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στη Διαχείριση σημείων στήριξης αξιοπιστίας. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8531: ανώνυμος ερευνητής, ομάδα QA της SecureW2
Ασφάλεια
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Ένα μη αξιόπιστο πιστοποιητικό διακομιστή radius ενδέχεται να εμφανίζεται ως αξιόπιστο
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στη Διαχείριση σημείων στήριξης αξιοπιστίας. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8531: ανώνυμος ερευνητής, ομάδα QA της SecureW2
Siri
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να ξεκινήσει ένα αίτημα υπαγόρευσης χωρίς εξουσιοδότηση από τον χρήστη
Περιγραφή: Υπήρχε ένα πρόβλημα API στον χειρισμό των αιτημάτων υπαγόρευσης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8502: Luke Deshotels του North Carolina State University, Jordan Beichler του North Carolina State University, William Enck του North Carolina State University, Costin Carabaș του University POLITEHNICA of Bucharest και Răzvan Deaconescu του University POLITEHNICA of Bucharest
Time Machine
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να εκτελέσει αυθαίρετες εντολές κελύφους
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2019-8513: CodeColorist του Ant-Financial LightYear Labs
Υποστήριξη Touch Bar
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8569: Viktor Oreshkin (@stek29)
TrueTypeScaler
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2019-8517: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Wi-Fi
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να τροποποιήσει την κατάσταση του προγράμματος οδήγησης
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8564: Hugues Anguelkov κατά τη διάρκεια πρακτικής άσκησης στην Quarkslab
Wi-Fi
Διατίθεται για: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου μπορεί να τροποποιήσει την κατάσταση του προγράμματος οδήγησης
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8612: Milan Stute του Secure Mobile Networking Lab στο Technische Universität Darmstadt
Wi-Fi
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Μπορεί να εκτελείται παθητική παρακολούθηση συσκευής από την διεύθυνση της MAC Wi-Fi
Περιγραφή: Ένα πρόβλημα απορρήτου χρήστη αντιμετωπίστηκε με αφαίρεση της διεύθυνσης MAC μετάδοσης.
CVE-2019-8567: David Kreitschmann και Milan Stute του Secure Mobile Networking Lab στο Technische Universität Darmstadt
xar
Διατίθεται για: macOS Mojave 10.14.3
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου πακέτου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.
CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)
XPC
Διατίθεται για: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2019-8530: CodeColorist του Ant-Financial LightYear Labs
Επιπλέον αναγνώριση
Λογαριασμοί
Θα θέλαμε να ευχαριστήσουμε τον Milan Stute του Secure Mobile Networking Lab στο Technische Universität Darmstadt για τη βοήθειά του.
Βιβλία
Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.
Πυρήνας
Θα θέλαμε να ευχαριστήσουμε τους Brandon Azad, Brandon Azad του Google Project Zero, Daniel Roethlisberger της Swisscom CSIRT, Raz Mashat (@RazMashat) του Ilan Ramon High School για τη βοήθειά τους.
Θα θέλαμε να ευχαριστήσουμε τον Craig Young της Tripwire VERT και τον Hanno Böck για τη βοήθειά τους.
Time Machine
Θα θέλαμε να ευχαριστήσουμε τον CodeColorist του Ant-Financial LightYear Labs για τη βοήθειά του.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.