Tietoja macOS Catalina 10.15:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan macOS Catalina 10.15:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Catalina 10.15

Julkaistu 7.10.2019

AMD

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8748: Lilang Wu ja Moony Li (TrendMicro Mobile Security Research Team)

apache_mod_php

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: PHP:ssä oli useita haavoittuvuuksia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä PHP:n versioon 7.3.8.

CVE-2019-11041

CVE-2019-11042

CoreAudio

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Haitallisen elokuvan käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2019-8705: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)

Kaatumisen raportoija

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Jaa Mac-analyysitiedot -asetusta ei ehkä voitu poistaa käytöstä, kun käyttäjä valitsi olla jakamatta analyysitietoja.

Kuvaus: Käyttäjäasetusten lukemisen ja kirjoittamisen aikana esiintyi kilpailutilanne. Ongelma on ratkaistu parantamalla tilankäsittelyä.

CVE-2019-8757: William Cerniuk (Core Development, LLC)

Intelin grafiikkaohjain

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8758: Lilang Wu ja Moony Li (Trend Micro)

IOGraphics

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2019-8755: Lilang Wu ja Moony Li (Trend Micro)

Kernel

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8717: Jann Horn (Google Project Zero)

Kernel

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-8781: Linus Henze (pinauten.de)

Muistiinpanot

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan käyttäjän lukittuja muistiinpanoja.

Kuvaus: Lukittujen muistiinpanojen sisältö tuli joskus näkyviin hakutuloksiin. Ongelma on ratkaistu parantamalla tietojen puhdistusta.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg, Virginia Polytechnic Institute and State University)

PDFKit

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Hyökkääjä saattoi pystyä aiheuttamaan salatun PDF-tiedoston sisältövuodon.

Kuvaus: Salatuissa PDF-tiedostoissa olevien linkkien käsittelyssä oli ongelma. Ongelma on ratkaistu lisäämällä vahvistuskehote.

CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) ja Jörg Schwenk (Ruhr University Bochum)

SharedFileList

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään viimeaikaisia dokumentteja.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.

CVE-2019-8770: Stanislav Zinukhov (Parallels International GmbH)

sips

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) ja pjf (IceSword Lab of Qihoo 360)

UIFoundation

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2019-8745: Trend Micron Zero Day Initiativen parissa työskentelevä riusksk (VulWar Corp)

WebKit

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Haitallisella verkkosivustolla käynti saattoi paljastaa selaushistorian.

Kuvaus: Verkkosivuelementtien noutamisessa oli ongelma. Ongelma on ratkaistu parantamalla logiikkaa.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Saatavuus: MacBook (alkuvuosi 2015 ja uudemmat), MacBook Air (vuoden 2012 puoliväli ja uudemmat), MacBook Pro (vuoden 2012 puoliväli ja uudemmat), Mac mini (loppuvuosi 2012 ja uudemmat), iMac (loppuvuosi 2012 ja uudemmat), iMac Pro (kaikki mallit) ja Mac Pro (loppuvuosi 2013 ja uudemmat).

Vaikutus: Käyttäjä ei mahdollisesti pystynyt poistamaan selaushistorian kohteita.

Kuvaus: Tyhjennä historia ja poista data -valinta ei tyhjentänyt historiaa. Ongelma on ratkaistu parantamalla tietojen poistamista.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Kiitokset

Finder

Haluamme kiittää Csaba Fitzliä (@theevilbit) hänen avustaan.

Gatekeeper

Haluamme kiittää Csaba Fitzliä (@theevilbit) hänen avustaan.

Safarin tietojen tuominen

Haluamme kiittää Kent Zoyaa hänen avustaan.

SCEP (Simple Certificate Enrollment Protocol)

Haluamme kiittää nimetöntä tutkijaa hänen avustaan.

Puhelinliikenne

Haluamme kiittää Phil Stokesia (SentinelOne) hänen avustaan.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: