Tietoja macOS Catalina 10.15.1:n turvallisuussisällöstä, suojauspäivityksestä 2019-001 ja suojauspäivityksestä 2019-006
Tässä asiakirjassa kerrotaan macOS Catalina 10.15.1:n turvallisuussisällöstä, suojauspäivityksestä 2019-001 ja suojauspäivityksestä 2019-006.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
macOS Catalina 10.15.1, suojauspäivitys 2019-001, suojauspäivitys 2019-006
Accounts
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2019-8787: Steffen Klee (Secure Mobile Networking Lab, Technische Universität Darmstadt)
Accounts
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: AirDrop-siirrot voidaan odottamatta hyväksyä Kaikki-tilassa.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2019-8796: Allison Husain (UC Berkeley)
AirDrop
Saatavuus: macOS Catalina 10.15
Vaikutus: AirDrop-siirrot voidaan odottamatta hyväksyä Kaikki-tilassa.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2019-8796: Allison Husain (UC Berkeley)
AMD
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8748: Lilang Wu ja Moony Li (Trend Micro Mobile Security Research Team)
apache_mod_php
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: PHP:ssä esiintyi useita ongelmia.
Kuvaus: Useita ongelmia ratkaistiin päivittämällä PHP:n versioon 7.3.8.
CVE-2019-11041
CVE-2019-11042
APFS
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2019-8824: Trend Micron Zero Day Initiativen parissa työskentelevä Mac
App Store
Saatavuus: macOS Catalina 10.15
Vaikutus: Paikallinen hyökkääjä saattoi pystyä kirjautumaan aiemmin kirjautuneen käyttäjän tilille ilman kelvollisia tunnistetietoja.
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleGraphicsControl
Saatavuus: macOS Catalina 10.15
Vaikutus: Appi saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2019-8817: Arash Tohidi
AppleGraphicsControl
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8716: Zhiyi Zhang (Codesafe Team, Legendsec, Qi'anxin Group), Zhuo Liang (Qihoo 360 Vulcan Team)
Associated Domains
Saatavuus: macOS Catalina 10.15
Vaikutus: Asiaton URL-prosessointi saattoi aiheuttaa tietojen luvattomia siirtoja.
Kuvaus: URL-osoitteiden jäsentämisessä oli ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2019-8788: Juha Lindstedt (Pakastin), Mirko Tanania, Rauli Rikama (Zero Keyboard Ltd)
Audio
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2019-8706: Yu Zhou (Ant-financial Light-Year Security Lab)
Audio
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8785: Ian Beer (Google Project Zero)
CVE-2019-8797: 08Tc3wBB yhteistyössä SSD Secure Disclosuren kanssa
Audio
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Haitallisen äänitiedoston käsittely saattoi aiheuttaa rajatun muistin paljastumisen.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2019-8850: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö
Books
Saatavuus: macOS Catalina 10.15
Vaikutus: Haitallisen iBooks-tiedoston jäsennys saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.
CVE-2019-8789: Gertjan Franken (imec-DistriNet, KU Leuven)
Contacts
Saatavuus: macOS Catalina 10.15
Vaikutus: Haitallisen yhteystiedon käsittely saattoi aiheuttaa käyttöliittymän väärentämisen.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH, to.com)
CoreAudio
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2019-8592: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa
CoreAudio
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Haitallisen elokuvan käsittely saattoi johtaa prosessimuistin paljastumiseen.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2019-8705: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa
CoreMedia
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2019-8825: ongelman havaitsi GWP-ASan Google Chromessa
CUPS
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.
CVE-2019-8736: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)
CUPS
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: Haitallisen merkkijonon käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8767: Stephen Zeisberg
CUPS
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: Etuoikeutetussa asemassa ollut hyökkääjä saattoi pystyä toteuttamaan palvelunestohyökkäyksen.
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla vahvistamista.
CVE-2019-8737: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)
File Quarantine
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2019-8509: CodeColorist (Ant-Financial LightYear Labs)
File System Events
Saatavuus: macOS High Sierra 10.13.6, macOS Catalina 10.15
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8798: ABC Research s.r.o. yhteistyössä Trend Micron Zero Day Initiativen kanssa
Foundation
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2019-8746: natashenka ja Samuel Groß (Google Project Zero)
Graphics
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: Haitallisen varjostimen käsittely saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2018-12152: Piotr Bania (Cisco Talos)
CVE-2018-12153: Piotr Bania (Cisco Talos)
CVE-2018-12154: Piotr Bania (Cisco Talos)
Graphics Driver
Saatavuus: macOS Catalina 10.15
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8784: Vasiliy Vasilyev ja Ilya Finogeev (Webinar, LLC)
Intel Graphics Driver
Saatavuus: macOS Catalina 10.15
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8807: Yu Wang (Didi Research America)
IOGraphics
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.
Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-2019-8759: another (360 Nirvan Team)
iTunes
Saatavuus: macOS Catalina 10.15
Vaikutus: iTunes-asentajan suorittaminen ei-luotetussa hakemistossa saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: iTunesin määritys sisälsi dynaamisen kirjaston latausongelman. Ongelma on ratkaistu parantamalla polkujen etsimistä.
CVE-2019-8801: Hou JingYi (@hjy79425575, Qihoo 360 CERT)
Kernel
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Kernel
Saatavuus: macOS Catalina 10.15
Vaikutus: Appi saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2019-8794: 08Tc3wBB yhteistyössä SSD Secure Disclosuren kanssa
Kernel
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8717: Jann Horn (Google Project Zero)
CVE-2019-8786: Wen Xu (Georgia Tech), Microsoft Offensive Security Researchin harjoittelija
Kernel
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: IPv6-pakettien käsittelyssä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-2019-8744: Zhuo Liang (Qihoo 360 Vulcan Team)
Kernel
Saatavuus: macOS Catalina 10.15
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.
CVE-2019-8829: Jann Horn (Google Project Zero)
libxml2
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: libxml2:ssa esiintyi useita ongelmia.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2019-8749: ongelman havaitsi OSS-Fuzz
CVE-2019-8756: ongelman havaitsi OSS-Fuzz
libxslt
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: libxslt:ssä esiintyy useita ongelmia.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2019-8750: ongelman havaitsi OSS-Fuzz
manpages
Saatavuus: macOS High Sierra 10.13.6, macOS Catalina 10.15
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.
CVE-2019-8802: Csaba Fitzl (@theevilbit)
PDFKit
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Hyökkääjä saattoi pystyä aiheuttamaan salatun PDF-tiedoston sisältövuodon.
Kuvaus: Salatuissa PDF-tiedostoissa olevien linkkien käsittelyssä oli ongelma. Ongelma on ratkaistu lisäämällä vahvistuskehote.
CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) ja Jörg Schwenk (Ruhr University Bochum)
PluginKit
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: Paikallinen käyttäjä saattoi kyetä tarkistamaan satunnaisten tiedostojen olemassaolon.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2019-8708: nimetön tutkija
PluginKit
Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8715: nimetön tutkija
Screen Sharing Server
Saatavuus: macOS Catalina 10.15
Vaikutus: Näyttönsä jakanut käyttäjä ei ehkä pystynyt lopettamaan näytön jakamista.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2019-8858: Saul van der Bijl (Saul’s Place Counseling B.V.)
System Extensions
Saatavuus: macOS Catalina 10.15
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Valtuutuksen vahvistuksessa oli tarkistusongelma. Ongelma on ratkaistu parantamalla prosessin valtuutuksen tarkistusta.
CVE-2019-8805: Scott Knight (@sdotknight, VMware Carbon Black TAU)
UIFoundation
Saatavuus: macOS Catalina 10.15
Vaikutus: Haitallinen HTML-dokumentti saattoi kyetä muodostamaan iFrame-kehyksiä arkaluonteisten käyttäjätietojen avulla.
Kuvaus: iFrame-elementeissä esiintyi eri alkuperiin liittyvä ongelma. Tämä on ratkaistu parantamalla suojauksen lähteiden seurantaa.
CVE-2019-8754: Renee Trisberg (SpectX)
UIFoundation
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2019-8745: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa
UIFoundation
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8831: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa
UIFoundation
Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Vaikutus: Haitallisen tekstitiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2019-8761: Renee Trisberg (SpectX)
Wi-Fi
Saatavuus: macOS Catalina 10.15
Vaikutus: Wi-Fi-verkon kantama-alueella ollut hyökkääjä saattoi vähäisissä määrin pystyä tarkastelemaan verkkoliikennettä.
Kuvaus: Tilasiirtymien käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2019-15126: Milos Cermak (ESET)
Kiitokset
CFNetwork
Haluamme kiittää Googlen Lily Cheniä hänen avustaan.
Find My
Haluamme kiittää Amr Elseehyä hänen avustaan.
Kernel
Haluamme kiittää Brandon Azadia (Google Project Zero), Daniel Roethlisbergeriä (Swisscom CSIRT) ja Jann Hornia (Google Project Zero) heidän avustaan.
libresolv
Haluamme kiittää Googlen tutkijaa enh hänen avustaan.
Local Authentication
Haluamme kiittää Ryan Lopopoloa hänen avustaan.
mDNSResponder
Haluamme kiittää Gregor Langia (e.solutions GmbH) hänen avustaan.
Postfix
Haluamme kiittää Puppetin Chris Barkeria hänen avustaan.
python
Haluamme kiittää nimetöntä tutkijaa hänen avustaan.
VPN
Haluamme kiittää Royce Gawronia (Second Son Consulting, Inc.) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.