Tietoja macOS Catalina 10.15:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Catalina 10.15:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Catalina 10.15

Julkaistu 7.10.2019

AMD

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8748: Lilang Wu ja Moony Li (TrendMicro Mobile Security Research Team)

apache_mod_php

Vaikutus: PHP:ssä oli useita haavoittuvuuksia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä PHP:n versioon 7.3.8.

CVE-2019-11041

CVE-2019-11042

CoreAudio

Vaikutus: Haitallisen elokuvan käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2019-8705: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)

Kaatumisen raportoija

Vaikutus: Jaa Mac-analyysitiedot -asetusta ei ehkä voitu poistaa käytöstä, kun käyttäjä valitsi olla jakamatta analyysitietoja.

Kuvaus: Käyttäjäasetusten lukemisen ja kirjoittamisen aikana esiintyi kilpailutilanne. Ongelma on ratkaistu parantamalla tilankäsittelyä.

CVE-2019-8757: William Cerniuk (Core Development, LLC)

Intelin grafiikkaohjain

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8758: Lilang Wu ja Moony Li (Trend Micro)

IOGraphics

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2019-8755: Lilang Wu ja Moony Li (Trend Micro)

Kernel

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8717: Jann Horn (Google Project Zero)

Kernel

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-8781: Linus Henze (pinauten.de)

Muistiinpanot

Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan käyttäjän lukittuja muistiinpanoja.

Kuvaus: Lukittujen muistiinpanojen sisältö tuli joskus näkyviin hakutuloksiin. Ongelma on ratkaistu parantamalla tietojen puhdistusta.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg, Virginia Polytechnic Institute and State University)

PDFKit

Vaikutus: Hyökkääjä saattoi pystyä aiheuttamaan salatun PDF-tiedoston sisältövuodon.

Kuvaus: Salatuissa PDF-tiedostoissa olevien linkkien käsittelyssä oli ongelma. Ongelma on ratkaistu lisäämällä vahvistuskehote.

CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) ja Jörg Schwenk (Ruhr University Bochum)

SharedFileList

Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään viimeaikaisia dokumentteja.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.

CVE-2019-8770: Stanislav Zinukhov (Parallels International GmbH)

sips

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) ja pjf (IceSword Lab of Qihoo 360)

UIFoundation

Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2019-8745: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)

WebKit

Vaikutus: Haitallisella verkkosivustolla käynti saattoi paljastaa selaushistorian.

Kuvaus: Verkkosivuelementtien noutamisessa oli ongelma. Ongelma on ratkaistu parantamalla logiikkaa.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Vaikutus: Käyttäjä ei mahdollisesti pystynyt poistamaan selaushistorian kohteita.

Kuvaus: Tyhjennä historia ja poista data -valinta ei tyhjentänyt historiaa. Ongelma on ratkaistu parantamalla tietojen poistamista.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Kiitokset

Finder

Haluamme kiittää Csaba Fitzliä (@theevilbit) hänen avustaan.

Gatekeeper

Haluamme kiittää Csaba Fitzliä (@theevilbit) hänen avustaan.

Safarin tietojen tuominen

Haluamme kiittää Kent Zoyaa hänen avustaan.

SCEP (Simple Certificate Enrollment Protocol)

Haluamme kiittää nimetöntä tutkijaa hänen avustaan.

Puhelinliikenne

Haluamme kiittää Phil Stokesia (SentinelOne) hänen avustaan.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: lokakuuta 11, 2019