Tietoja macOS Catalina 10.15.1:n turvallisuussisällöstä, suojauspäivityksestä 2019-001 ja suojauspäivityksestä 2019-006

Tässä asiakirjassa kerrotaan macOS Catalina 10.15.1:n turvallisuussisällöstä, suojauspäivityksestä 2019-001 ja suojauspäivityksestä 2019-006.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Catalina 10.15.1, suojauspäivitys 2019-001, suojauspäivitys 2019-006

Julkaistu 29.10.2019

Tilit

Saatavuus: macOS Catalina 10.15

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8787: Steffen Klee (Secure Mobile Networking Lab, Technische Universität Darmstadt)

App Store

Saatavuus: macOS Catalina 10.15

Vaikutus: Paikallinen hyökkääjä saattoi pystyä kirjautumaan aiemmin kirjautuneen käyttäjän tilille ilman kelvollisia tunnistetietoja.

Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Saatavuus: macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8716: Qi'anxin Groupin Legendsecin Codesafe-tiimin Zhiyi Zhang, Qihoo 360:n Vulcan-tiimin Zhuo Liang

Yhdistetyt domainit

Saatavuus: macOS Catalina 10.15

Vaikutus: Asiaton URL-prosessointi saattoi aiheuttaa tietojen luvattomia siirtoja

Kuvaus: URL-osoitteiden jäsentämisessä oli ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2019-8788: Juha Lindstedt (Pakastin), Mirko Tanania, Rauli Rikama (Zero Keyboard Ltd)

Ääni

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-8706: Yu Zhou (Ant-financial Light-Year Security Lab)

Ääni

Saatavuus: macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8785: Ian Beer (Google Project Zero)

CVE-2019-8797: 08Tc3wBB yhteistyössä SSD Secure Disclosuren kanssa

Kirjat

Saatavuus: macOS Catalina 10.15

Vaikutus: Haitallisen iBooks-tiedoston jäsennys saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2019-8789: Gertjan Franken (imec-DistriNet, KU Leuven)

Yhteystiedot

Saatavuus: macOS Catalina 10.15

Vaikutus: Haitallisen yhteystiedon käsittely saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH, to.com)

CoreAudio

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8592: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 6.11.2019

CUPS

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.

CVE-2019-8736: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)

CUPS

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Haitallisen merkkijonon käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8767: Stephen Zeisberg

CUPS

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Etuoikeutetussa asemassa ollut hyökkääjä saattoi pystyä toteuttamaan palvelunestohyökkäyksen.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla vahvistamista.

CVE-2019-8737: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)

Tiedostokaranteeni

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2019-8509: CodeColorist (Ant-Financial LightYear Labs)

Tiedostojärjestelmän tapahtumat

Saatavuus: macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8798: ABC Research s.r.o. yhteistyössä Trend Micron Zero Day Initiativen kanssa

Grafiikka

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Haitallisen varjostimen prosessointi aiheutti ohjelman lopettamisen odottamatta tai mielivaltaisen koodin suorituksen

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2018-12152: Piotr Bania (Cisco Talos)

CVE-2018-12153: Piotr Bania (Cisco Talos)

CVE-2018-12154: Piotr Bania (Cisco Talos)

Grafiikkaohjain

Saatavuus: macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8784: Vasiliy Vasilyev ja Ilya Finogeev (Webinar, LLC)

Intelin grafiikkaohjain

Saatavuus: macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8807: Yu Wang (Didi Research America)

IOGraphics

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2019-8759: another (360 Nirvan Team)

iTunes

Saatavuus: macOS Catalina 10.15

Vaikutus: iTunes-asentajan suorittaminen ei-luotetussa hakemistossa saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: iTunesin määritys sisälsi dynaamisen kirjaston latausongelman. Ongelma on ratkaistu parantamalla polkujen etsimistä.

CVE-2019-8801: Hou JingYi (@hjy79425575, Qihoo 360 CERT)

Kernel

Saatavuus: macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2019-8794: 08Tc3wBB yhteistyössä SSD Secure Disclosuren kanssa

Kernel

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8786: nimetön tutkija

Kernel

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: IPv6-pakettien käsittelyssä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

CVE-2019-8744: Zhuo Liang (Qihoo 360 Vulcan Team)

Kernel

Saatavuus: macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

CVE-2019-8829: Jann Horn (Google Project Zero)

Kohta lisätty 6.11.2019

libxml2

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: libxml2:ssa esiintyi useita ongelmia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2019-8749: ongelman havaitsi OSS-Fuzz

CVE-2019-8756: ongelman havaitsi OSS-Fuzz

libxslt

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: libxslt:ssä esiintyi useita ongelmia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2019-8750: ongelman havaitsi OSS-Fuzz

manpages

Saatavuus: macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PluginKit

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: paikallinen käyttäjä saattaa kyetä tarkistamaan satunnaisten tiedostojen olemassaolon

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2019-8708: nimetön tutkija

PluginKit

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8715: nimetön tutkija

Järjestelmälaajennukset

Saatavuus: macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Valtuutuksen vahvistuksessa oli tarkistusongelma. Ongelma on ratkaistu parantamalla prosessin valtuutuksen tarkistusta.

CVE-2019-8805: Scott Knight (@sdotknight, VMware Carbon Black TAU)

UIFoundation

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Haitallisen tekstitiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2019-8761: Renee Trisberg (SpectX)

Kiitokset

CFNetwork

Haluamme kiittää Googlen Lily Cheniä hänen avustaan.

Kernel

Haluamme kiittää Google Project Zeron Brandon Azadia ja Jann Hornia sekä Swisscom CSIRT:n Daniel Roethlisbergeriä heidän avustaan.

Kohta päivitetty 6.11.2019

libresolv

Haluamme kiittää Googlen tutkijaa enh hänen avustaan.

Postfix

Haluamme kiittää Puppetin Chris Barkeria hänen avustaan.

python

Haluamme kiittää nimetöntä tutkijaa hänen avustaan.

VPN

Haluamme kiittää Second Son Consulting, Inc:n Royce Gawronia hänen avustaan.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: