Πληροφορίες για το περιεχόμενο ασφάλειας του macOS Catalina 10.15.1, της Ενημέρωσης ασφάλειας 2019-001 και της Ενημέρωσης ασφάλειας 2019-006

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του macOS Catalina 10.15.1, της Ενημέρωσης ασφάλειας 2019-001 και της Ενημέρωσης ασφάλειας 2019-006.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

macOS Catalina 10.15.1, Ενημέρωση ασφάλειας 2019-001, Ενημέρωση ασφάλειας 2019-006

Accounts

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8787: Steffen Klee του Secure Mobile Networking Lab στο Technische Universität Darmstadt

Accounts

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Οι μεταφορές του AirDrop ενδέχεται να γίνουν απροσδόκητα δεκτές στη λειτουργία «Όλοι»

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2019-8796: Allison Husain του UC Berkeley

AirDrop

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Οι μεταφορές του AirDrop ενδέχεται να γίνουν απροσδόκητα δεκτές στη λειτουργία «Όλοι»

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2019-8796: Allison Husain του UC Berkeley

AMD

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8748: Lilang Wu και Moony Li της TrendMicro Mobile Security Research Team

apache_mod_php

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Πολλαπλά προβλήματα στο PHP

Περιγραφή: Τα πολλαπλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στο PHP έκδοση 7.3.8.

CVE-2019-11041

CVE-2019-11042

APFS

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8824: Mac σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

App Store

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να συνδεθεί στον λογαριασμό ενός χρήστη που είχε συνδεθεί προηγουμένως χωρίς έγκυρα διαπιστευτήρια.

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8716: Zhiyi Zhang από την ομάδα Codesafe της Legendsec στην Qi'anxin Group, Zhuo Liang της ομάδας Qihoo 360 Vulcan

Associated Domains

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Η ακατάλληλη επεξεργασία URL ενδέχεται να οδηγήσει σε εξαγωγή δεδομένων

Περιγραφή: Υπήρχε ένα πρόβλημα στην ανάλυση διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8788: Juha Lindstedt της Pakastin, Mirko Tanania και Rauli Rikama της Zero Keyboard Ltd

Audio

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8706: Yu Zhou του Ant-financial Light-Year Security Lab

Audio

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8785: Ian Beer του Google Project Zero

CVE-2019-8797: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure

Audio

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να αποκαλύψει περιορισμένη μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8850: ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Books

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου iBooks ενδέχεται να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Υπήρχε πρόβλημα επαλήθευσης στον χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε με τη βελτιωμένη επαλήθευση symlinks.

CVE-2019-8789: Gertjan Franken από την ομάδα imec-DistriNet του KU Leuven

Contacts

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης επαφής μπορεί να προκαλέσει πλαστογράφηση του περιβάλλοντος χρήστη

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-7152: Oliver Paukstadt της Thinking Objects GmbH (to.com)

CoreAudio

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Η αναπαραγωγή ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8592: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CoreAudio

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης ταινίας μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2019-8705: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CoreMedia

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8825: Εντοπίστηκε από GWP-ASan στο Google Chrome

CUPS

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8736: Pawel Gocyla της ING Tech Poland (ingtechpoland.com)

CUPS

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8767: Stephen Zeisberg

CUPS

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση μπορεί να έχει τη δυνατότητα να εκτελέσει μια επίθεση άρνησης υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2019-8737: Pawel Gocyla της ING Tech Poland (ingtechpoland.com)

File Quarantine

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2019-8509: CodeColorist του Ant-Financial LightYear Labs

File System Events

Διατίθεται για: macOS High Sierra 10.13.6, macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8798: ABC Research s.r.o. σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Foundation

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8746: natashenka και Samuel Groß του Google Project Zero

Graphics

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου shader μπορεί να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.

CVE-2018-12152: Piotr Bania της Cisco Talos

CVE-2018-12153: Piotr Bania της Cisco Talos

CVE-2018-12154: Piotr Bania της Cisco Talos

Graphics Driver

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8784: Vasiliy Vasilyev και Ilya Finogeev της Webinar, LLC

Intel Graphics Driver

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8807: Yu Wang της Didi Research America

IOGraphics

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2019-8759: κάποιο άλλο άτομο από την ομάδα 360 Nirvan

iTunes

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Η εκτέλεση του προγράμματος εγκατάστασης του iTunes σε μη αξιόπιστο κατάλογο μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα πρόβλημα δυναμικής φόρτωσης βιβλιοθήκης στη διαμόρφωση του iTunes. Αντιμετωπίστηκε με βελτιωμένη αναζήτηση διαδρομής.

CVE-2019-8801: Hou JingYi (@hjy79425575) της Qihoo 360 CERT

Kernel

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Kernel

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2019-8794: 08Tc3wBB σε συνεργασία με την SSD Secure Disclosure

Kernel

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8717: Jann Horn του Google Project Zero

CVE-2019-8786: Wen Xu του Georgia Tech, Microsoft Offensive Security Research Intern

Kernel

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης κατά τον χειρισμό των πακέτων IPv6. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2019-8744: Zhuo Liang της ομάδας Qihoo 360 Vulcan

Kernel

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2019-8829: Jann Horn του Google Project Zero

libxml2

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Πολλαπλά προβλήματα στο libxml2

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.

CVE-2019-8749: εντοπίστηκε από OSS-Fuzz

CVE-2019-8756: εντοπίστηκε από OSS-Fuzz

libxslt

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Πολλαπλά προβλήματα στο libxslt

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.

CVE-2019-8750: εντοπίστηκε από OSS-Fuzz

manpages

Διατίθεται για: macOS High Sierra 10.13.6, macOS Catalina 10.15

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Ένας εισβολέας μπορεί να έχει τη δυνατότητα να αποσπάσει τα περιεχόμενα ενός κρυπτογραφημένου PDF

Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό συνδέσμων στα κρυπτογραφημένα PDF. Αυτό το πρόβλημα αντιμετωπίστηκε με την προσθήκη ενός ερωτήματος επιβεβαίωσης.

CVE-2019-8772: Jens Müller του Ruhr University Bochum, Fabian Ising του FH Münster University of Applied Sciences, Vladislav Mladenov του Ruhr University Bochum, Christian Mainka του Ruhr University Bochum, Sebastian Schinzel του FH Münster University of Applied Sciences και Jörg Schwenk του Ruhr University Bochum

PluginKit

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να ελέγξει αν υπάρχουν αυθαίρετα αρχεία

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2019-8708: ανώνυμος ερευνητής

PluginKit

Διατίθεται για: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8715: ανώνυμος ερευνητής

Screen Sharing Server

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Ένας χρήστης που κάνει κοινή χρήση της οθόνης του ενδέχεται να μην μπορεί να τερματίσει την κοινή χρήση οθόνης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8858: Saul van der Bijl της Saul’s Place Counseling B.V.

System Extensions

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στην επαλήθευση δικαιωμάτων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση των δικαιωμάτων διεργασίας.

CVE-2019-8805: Scott Knight (@sdotknight) της VMware Carbon Black TAU

UIFoundation

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Ένα κακόβουλο έγγραφο HTML ενδέχεται να έχει τη δυνατότητα να αποδίδει iframes με ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Υπήρχε πρόβλημα μεικτής προέλευσης με στοιχεία «iframe». Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο εντοπισμό των προελεύσεων ασφάλειας.

CVE-2019-8754: Renee Trisberg της SpectX

UIFoundation

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2019-8745: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

UIFoundation

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8831: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

UIFoundation

Διατίθεται για: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου κειμένου ενδέχεται να οδηγήσει σε αποκάλυψη των πληροφοριών του χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2019-8761: Renee Trisberg της SpectX

Wi-Fi

Διατίθεται για: macOS Catalina 10.15

Αποτέλεσμα: Ένας εισβολέας στην εμβέλεια του Wi-Fi ενδέχεται να μπορεί να δει μικρή ποσότητα της κίνησης δικτύου

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των μεταβάσεων κατάστασης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2019-15126: Milos Cermak στην ESET

Επιπλέον αναγνώριση

CFNetwork

Θα θέλαμε να ευχαριστήσουμε τη Lily Chen της Google για τη βοήθειά της.

Find My

Θα θέλαμε να ευχαριστήσουμε τον Amr Elseehy για τη βοήθειά του.

Kernel

Θα θέλαμε να ευχαριστήσουμε τους Brandon Azad του Google Project Zero, Daniel Roethlisberger της Swisscom CSIRT και Jann Horn του Google Project Zero για τη βοήθειά τους.

libresolv

Θα θέλαμε να ευχαριστήσουμε τον enh της Google για τη βοήθειά του.

Local Authentication

Θα θέλαμε να ευχαριστήσουμε τον Ryan Lopopolo για τη βοήθειά του.

mDNSResponder

Θα θέλαμε να ευχαριστήσουμε τον Gregor Lang της e.solutions GmbH για τη βοήθειά του.

Postfix

Θα θέλαμε να ευχαριστήσουμε τον Chris Barker της Puppet για τη βοήθειά του.

python

Θα θέλαμε να ευχαριστήσουμε έναν ανώνυμο ερευνητή για τη βοήθειά του.

VPN

Θα θέλαμε να ευχαριστήσουμε τον Royce Gawron της Second Son Consulting, Inc. για τη βοήθειά του.