Tietoja macOS Catalina 10.15:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Catalina 10.15:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

macOS Catalina 10.15

Julkaistu 7.10.2019

AMD

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat)

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8748: Lilang Wu ja Moony Li (Trend Micro Mobile Security Research Team)

apache_mod_php

Vaikutus: PHP:ssä esiintyi useita ongelmia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä PHP:n versioon 7.3.8.

CVE-2019-11041

CVE-2019-11042

Audio

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-8706: Yu Zhou (Ant-Financial Light-Year Security Lab)

Kohta lisätty 29.10.2019

Audio

Vaikutus: Haitallisen äänitiedoston käsittely saattoi aiheuttaa rajatun muistin paljastumisen.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8850: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö

Kohta lisätty 4.12.2019

Books

Vaikutus: Haitallisen iBooks-tiedoston jäsentäminen saattoi aiheuttaa pysyvän palveluneston.

Kuvaus: Resurssien loppumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8774: Gertjan Franken (imec-DistriNet, KU Leuven)

Kohta lisätty 29.10.2019

CFNetwork

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2019-8753: Łukasz Pilorz (Standard Chartered GBS, Puola)

Kohta lisätty 29.10.2019

CoreAudio

Vaikutus: Haitallisen elokuvan käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2019-8705: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa

CoreAudio

Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8592: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 6.11.2019

CoreCrypto

Vaikutus: Suuren annetun tietomäärän käsittely saattoi johtaa palvelunestoon.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla tietojen vahvistamista.

CVE-2019-8741: Nicky Mouha (NIST)

Kohta lisätty 29.10.2019

CoreMedia

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-8825: ongelman havaitsi GWP-ASan Google Chromessa

Kohta lisätty 29.10.2019

Crash Reporter

Vaikutus: Jaa Mac-analyysitiedot -asetusta ei ehkä voitu poistaa käytöstä, kun käyttäjä valitsi olla jakamatta analyysitietoja.

Kuvaus: Käyttäjäasetusten lukemisen ja kirjoittamisen aikana esiintyi kilpailutilanne. Ongelma on ratkaistu parantamalla tilankäsittelyä.

CVE-2019-8757: William Cerniuk (Core Development, LLC)

CUPS

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.

CVE-2019-8736: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)

Kohta lisätty 29.10.2019

CUPS

Vaikutus: Haitallisen merkkijonon käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8767: Stephen Zeisberg

Kohta lisätty 29.10.2019

CUPS

Vaikutus: Etuoikeutetussa asemassa ollut hyökkääjä saattoi pystyä toteuttamaan palvelunestohyökkäyksen.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla vahvistamista.

CVE-2019-8737: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)

Kohta lisätty 29.10.2019

dyld

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8776: Jann Horn (Google Project Zero)

Kohta lisätty 3.2.2020

File Quarantine

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2019-8509: CodeColorist (Ant-Financial LightYear Labs)

Kohta lisätty 29.10.2019

Foundation

Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8746: natashenka ja Samuel Groß (Google Project Zero)

Kohta lisätty 29.10.2019

Graphics

Vaikutus: Haitallisen varjostimen käsittely saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2018-12152: Piotr Bania (Cisco Talos)

CVE-2018-12153: Piotr Bania (Cisco Talos)

CVE-2018-12154: Piotr Bania (Cisco Talos)

Kohta lisätty 29.10.2019

IOGraphics

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2019-8759: another (360 Nirvan Team)

Kohta lisätty 29.10.2019

Intel Graphics Driver

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8758: Lilang Wu ja Moony Li (Trend Micro)

IOGraphics

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2019-8755: Lilang Wu ja Moony Li (Trend Micro)

Kernel

Vaikutus: Appi saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2019-8703: nimetön tutkija

Kohta lisätty 16.3.2021

Kernel

Vaikutus: Paikallinen appi saattoi pystyä lukemaan pysyvän tilitunnisteen.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

CVE-2019-8809: Apple

Kohta lisätty 29.10.2019

Kernel

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: IPv6-pakettien käsittelyssä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

CVE-2019-8744: Zhuo Liang (Qihoo 360 Vulcan Team)

Kohta lisätty 29.10.2019

Kernel

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8717: Jann Horn (Google Project Zero)

Kernel

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

Kohta päivitetty 29.10.2019

libxml2

Vaikutus: libxml2:ssa esiintyi useita ongelmia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2019-8749: ongelman havaitsi OSS-Fuzz

CVE-2019-8756: ongelman havaitsi OSS-Fuzz

Kohta lisätty 29.10.2019

libxslt

Vaikutus: libxslt:ssä esiintyy useita ongelmia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2019-8750: ongelman havaitsi OSS-Fuzz

Kohta lisätty 29.10.2019

mDNSResponder

Vaikutus: Fyysisesti lähellä oleva hyökkääjä saattoi pystyä passiivisesti havaitsemaan laitteiden nimiä AWDL-tietoliikenteessä.

Kuvaus: Ongelma ratkaistiin korvaamalla laitteiden nimet satunnaisella tunnisteella.

CVE-2019-8799: David Kreitschmann ja Milan Stute (Secure Mobile Networking Lab, Technische Universität Darmstadt)

Kohta lisätty 29.10.2019

Menus

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-8826: ongelman havaitsi GWP-ASan Google Chromessa

Kohta lisätty 29.10.2019

Notes

Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan käyttäjän lukittuja muistiinpanoja.

Kuvaus: Lukittujen muistiinpanojen sisältö tuli joskus näkyviin hakutuloksiin. Tämä ongelma on korjattu parantamalla tietojen puhdistusta.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg, Virginia Polytechnic Institute and State University)

PDFKit

Vaikutus: Hyökkääjä saattoi pystyä aiheuttamaan salatun PDF-tiedoston sisältövuodon.

Kuvaus: Salatuissa PDF-tiedostoissa olevien linkkien käsittelyssä oli ongelma. Ongelma on ratkaistu lisäämällä vahvistuskehote.

CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) ja Jörg Schwenk (Ruhr University Bochum)

PluginKit

Vaikutus: Paikallinen käyttäjä saattoi kyetä tarkistamaan satunnaisten tiedostojen olemassaolon.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2019-8708: nimetön tutkija

Kohta lisätty 29.10.2019

PluginKit

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8715: nimetön tutkija

Kohta lisätty 29.10.2019

Sandbox

Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään rajoitettuja tiedostoja.

Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2019-8855: Apple

Kohta lisätty 18.12.2019

SharedFileList

Vaikutus: Haitallinen appi saattoi pystyä käyttämään viimeaikaisia dokumentteja.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.

CVE-2019-8770: Stanislav Zinukhov (Parallels International GmbH)

sips

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) ja pjf (IceSword Lab, Qihoo 360)

UIFoundation

Vaikutus: Haitallisen tekstitiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2019-8761: Renee Trisberg (SpectX)

Kohta päivitetty 10.8.2020, päivitetty 21.7.2021

UIFoundation

Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2019-8745: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa

UIFoundation

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8831: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 18.11.2019

WebKit

Vaikutus: Haitallisella verkkosivustolla käynti saattoi paljastaa selaushistorian.

Kuvaus: Verkkosivuelementtien piirtämisessä oli ongelma. Ongelma on ratkaistu parantamalla logiikkaa.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Vaikutus: Käyttäjä ei mahdollisesti pystynyt poistamaan selaushistorian kohteita.

Kuvaus: Tyhjennä historia ja poista data -valinta ei tyhjentänyt historiaa. Ongelma on ratkaistu parantamalla tietojen poistamista.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Wi-Fi

Vaikutus: Laitetta saatettiin pystyä passiivisesti seuraamaan sen Wi-Fi-yhteyden MAC-osoitteen perusteella.

Kuvaus: Käyttäjän tietosuojaongelma on ratkaistu poistamalla lähetetty MAC-osoite.

CVE-2019-8854: FuriousMacTeam (United States Naval Academy ja Mitre Corporation), Ta-Lun Yen (UCCU Hacker)

Kohta lisätty 4.12.2019, päivitetty 18.12.2019

Kiitokset

AppleRTC

Haluamme kiittää Vitaly Cheptsovia hänen avustaan.

Kohta lisätty 29.10.2019

Audio

Haluamme kiittää Trend Micron Zero Day Initiativen parissa työskentelevää riuskskia (VulWar Corp) hänen avustaan.

Kohta lisätty 29.10.2019

boringssl

Haluamme kiittää Nimrod Aviramia (Tel Aviv University), Robert Mergetia (Ruhr University Bochum), Juraj Somorovskya (Ruhr University Bochum) ja Computestin Thijs Alkemadea (@xnyhps) heidän avustaan.

Kohta lisätty 8.10.2019, päivitetty 29.10.2019

curl

Haluamme kiittää Joseph Barisaa (The School District of Philadelphia) hänen avustaan.

Kohta lisätty 3.2.2020, päivitetty 11.2.2020

Finder

Haluamme kiittää Csaba Fitzliä (@theevilbit) hänen avustaan.

Gatekeeper

Haluamme kiittää Csaba Fitzliä (@theevilbit) hänen avustaan.

Identity Service

Haluamme kiittää Yiğit Can YILMAZia (@yilmazcanyigit) hänen avustaan.

Kohta lisätty 29.10.2019

Kernel

Haluamme kiittää Brandon Azadia (Google Project Zero) ja Vlad Tsyrklevichiä heidän avustaan.

Kohta päivitetty 28.7.2020

Local Authentication

Haluamme kiittää Ryan Lopopoloa hänen avustaan.

Kohta lisätty 3.2.2020

mDNSResponder

Haluamme kiittää Gregor Langia (e.solutions GmbH) hänen avustaan.

Kohta lisätty 29.10.2019

python

Haluamme kiittää nimetöntä tutkijaa hänen avustaan.

Kohta lisätty 29.10.2019

Safari Data Importing

Haluamme kiittää Kent Zoyaa hänen avustaan.

Security

Haluamme kiittää Pepijn Dutour Geerlingiä (pepijn.io) ja nimetöntä tutkijaa heidän avustaan.

Kohta lisätty 18.11.2019

SCEP (Simple Certificate Enrollment Protocol)

Haluamme kiittää nimetöntä tutkijaa hänen avustaan.

Siri

Haluamme kiittää Yuval Ronia, Amichai Shulmania ja Eli Bihamia (Technion, Israel Institute of Technology) heidän avustaan.

Kohta lisätty 4.12.2019, päivitetty 18.12.2019

Telephony

Haluamme kiittää Phil Stokesia (SentinelOne) hänen avustaan.

VPN

Haluamme kiittää Royce Gawronia (Second Son Consulting, Inc.) hänen avustaan.

Kohta lisätty 29.10.2019

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: 6. marraskuuta 2023