Tietoja macOS Catalina 10.15.1:n turvallisuussisällöstä, suojauspäivityksestä 2019-001 ja suojauspäivityksestä 2019-006

Tässä asiakirjassa kerrotaan macOS Catalina 10.15.1:n turvallisuussisällöstä, suojauspäivityksestä 2019-001 ja suojauspäivityksestä 2019-006.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Catalina 10.15.1, suojauspäivitys 2019-001, suojauspäivitys 2019-006

Julkaistu 29.10.2019

Tilit

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8787: Steffen Klee (Secure Mobile Networking Lab, Technische Universität Darmstadt)

Kohta päivitetty 11.2.2020

Tilit

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: AirDrop-siirrot voidaan odottamatta hyväksyä Kaikki-tilassa.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2019-8796: Allison Husain (UC Berkeley)

Kohta lisätty 4.4.2020

AirDrop

Saatavuus: macOS Catalina 10.15

Vaikutus: AirDrop-siirrot voidaan odottamatta hyväksyä Kaikki-tilassa.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2019-8796: Allison Husain (UC Berkeley)

Kohta lisätty 4.4.2020

AMD

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8748: Lilang Wu ja Moony Li (Trend Micro Mobile Security Research Team)

Kohta lisätty 11.2.2020

apache_mod_php

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: PHP:ssä oli useita haavoittuvuuksia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä PHP:n versioon 7.3.8.

CVE-2019-11041

CVE-2019-11042

Kohta lisätty 11.2.2020

APFS

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-8824: Trend Micron Zero Day Initiativen parissa työskentelevä Mac

Kohta lisätty 11.2.2020

App Store

Saatavuus: macOS Catalina 10.15

Vaikutus: Paikallinen hyökkääjä saattoi pystyä kirjautumaan aiemmin kirjautuneen käyttäjän tilille ilman kelvollisia tunnistetietoja.

Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Saatavuus: macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8716: Zhiyi Zhang (Codesafe Team, Legendsec, Qi'anxin Group), Zhuo Liang (Qihoo 360 Vulcan Team)

Yhdistetyt domainit

Saatavuus: macOS Catalina 10.15

Vaikutus: Asiaton URL-prosessointi saattoi aiheuttaa tietojen luvattomia siirtoja.

Kuvaus: URL-osoitteiden jäsentämisessä oli ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2019-8788: Juha Lindstedt (Pakastin), Mirko Tanania, Rauli Rikama (Zero Keyboard Ltd)

Ääni

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-8706: Yu Zhou (Ant-financial Light-Year Security Lab)

Ääni

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8785: Ian Beer (Google Project Zero)

CVE-2019-8797: 08Tc3wBB yhteistyössä SSD Secure Disclosuren kanssa

Kohta päivitetty 11.2.2020

Ääni

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Haitallisen äänitiedoston käsittely saattoi aiheuttaa rajatun muistin paljastumisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8850: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö

Kohta päivitetty 18.12.2019

Kirjat

Saatavuus: macOS Catalina 10.15

Vaikutus: Haitallisen iBooks-tiedoston jäsennys saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistusongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2019-8789: Gertjan Franken (imec-DistriNet, KU Leuven)

Yhteystiedot

Saatavuus: macOS Catalina 10.15

Vaikutus: Haitallisen yhteystiedon käsittely saattoi aiheuttaa käyttöliittymän väärentämisen.

Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.

CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH, to.com)

CoreAudio

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8592: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 6.11.2019

CoreAudio

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Haitallisen elokuvan käsittely saattoi johtaa prosessimuistin paljastumiseen.

Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2019-8705: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 11.2.2020

CoreMedia

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-8825: ongelman havaitsi GWP-ASan Google Chromessa

Kohta lisätty 11.2.2020

CUPS

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.

CVE-2019-8736: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)

CUPS

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Haitallisen merkkijonon käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8767: Stephen Zeisberg

CUPS

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Etuoikeutetussa asemassa ollut hyökkääjä saattoi pystyä toteuttamaan palvelunestohyökkäyksen.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla vahvistamista.

CVE-2019-8737: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)

Tiedostokaranteeni

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2019-8509: CodeColorist (Ant-Financial LightYear Labs)

Tiedostojärjestelmän tapahtumat

Saatavuus: macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8798: ABC Research s.r.o. yhteistyössä Trend Micron Zero Day Initiativen kanssa

Foundation

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8746: Natalie Silvanovich ja Samuel Groß (Google Project Zero)

Kohta lisätty 11.2.2020

Grafiikka

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Haitallisen varjostimen käsittely saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2018-12152: Piotr Bania (Cisco Talos)

CVE-2018-12153: Piotr Bania (Cisco Talos)

CVE-2018-12154: Piotr Bania (Cisco Talos)

Grafiikkaohjain

Saatavuus: macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8784: Vasiliy Vasilyev ja Ilya Finogeev (Webinar, LLC)

Intelin grafiikkaohjain

Saatavuus: macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8807: Yu Wang (Didi Research America)

IOGraphics

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2019-8759: another (360 Nirvan Team)

iTunes

Saatavuus: macOS Catalina 10.15

Vaikutus: iTunes-asentajan suorittaminen ei-luotetussa hakemistossa saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: iTunesin määritys sisälsi dynaamisen kirjaston latausongelman. Ongelma on ratkaistu parantamalla polkujen etsimistä.

CVE-2019-8801: Hou JingYi (@hjy79425575, Qihoo 360 CERT)

Kernel

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Kohta lisätty 11.2.2020

Kernel

Saatavuus: macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2019-8794: 08Tc3wBB yhteistyössä SSD Secure Disclosuren kanssa

Kernel

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8717: Jann Horn (Google Project Zero)

CVE-2019-8786: Wen Xu (Georgia Tech), Microsoft Offensive Security Researchin harjoittelija

Kohta päivitetty 18.11.2019, päivitetty 11.2.2020

Kernel

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: IPv6-pakettien käsittelyssä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

CVE-2019-8744: Zhuo Liang (Qihoo 360 Vulcan Team)

Kernel

Saatavuus: macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

CVE-2019-8829: Jann Horn (Google Project Zero)

Kohta lisätty 6.11.2019

libxml2

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: libxml2:ssa esiintyi useita ongelmia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2019-8749: ongelman havaitsi OSS-Fuzz

CVE-2019-8756: ongelman havaitsi OSS-Fuzz

libxslt

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: libxslt:ssä esiintyy useita ongelmia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2019-8750: ongelman havaitsi OSS-Fuzz

manpages

Saatavuus: macOS High Sierra 10.13.6, macOS Catalina 10.15

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.

Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Hyökkääjä saattoi pystyä aiheuttamaan salatun PDF-tiedoston sisältövuodon.

Kuvaus: Salatuissa PDF-tiedostoissa olevien linkkien käsittelyssä oli ongelma. Ongelma on ratkaistu lisäämällä vahvistuskehote.

CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) ja Jörg Schwenk (Ruhr University Bochum)

Kohta lisätty 11.2.2020

PluginKit

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Paikallinen käyttäjä saattoi kyetä tarkistamaan satunnaisten tiedostojen olemassaolon.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2019-8708: nimetön tutkija

PluginKit

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8715: nimetön tutkija

Näytön jakamispalvelin

Saatavuus: macOS Catalina 10.15

Vaikutus: Näyttönsä jakanut käyttäjä ei ehkä pystynyt lopettamaan näytön jakamista.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2019-8858: Saul van der Bijl (Saul’s Place Counseling B.V.)

Kohta lisätty 18.12.2019

Järjestelmälaajennukset

Saatavuus: macOS Catalina 10.15

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Valtuutuksen vahvistuksessa oli tarkistusongelma. Ongelma on ratkaistu parantamalla prosessin valtuutuksen tarkistusta.

CVE-2019-8805: Scott Knight (@sdotknight, VMware Carbon Black TAU)

UIFoundation

Saatavuus: macOS Catalina 10.15

Vaikutus: Haitallinen HTML-dokumentti saattoi kyetä muodostamaan iFrame-kehyksiä arkaluonteisten käyttäjätietojen avulla.

Kuvaus: iFrame-elementeissä esiintyi eri alkuperiin liittyvä ongelma. Tämä on ratkaistu parantamalla suojauksen lähteiden seurantaa.

CVE-2019-8754: Renee Trisberg (SpectX)

Kohta lisätty 24.2.2020

UIFoundation

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2019-8745: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 11.2.2020

UIFoundation

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8831: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Kohta lisätty 11.2.2020

UIFoundation

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Haitallisen tekstitiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2019-8761: Paulos Yibelo (Limehats), Renee Trisberg (SpectX)

Kohta päivitetty 10.8.2020

Wi-Fi

Saatavuus: macOS Catalina 10.15

Vaikutus: Wi-Fi-verkon kantama-alueella ollut hyökkääjä saattoi vähäisissä määrin pystyä tarkastelemaan verkkoliikennettä.

Kuvaus: Tilasiirtymien käsittelyssä oli logiikkaongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2019-15126: Milos Cermak (ESET)

Kohta lisätty 11.2.2020

Kiitokset

CFNetwork

Haluamme kiittää Googlen Lily Cheniä hänen avustaan.

Missä on...?

Haluamme kiittää Amr Elseehyä hänen avustaan.

Kohta lisätty 28.7.2020

Kernel

Haluamme kiittää Brandon Azadia (Google Project Zero), Daniel Roethlisbergeriä (Swisscom CSIRT) ja Jann Hornia (Google Project Zero) heidän avustaan.

Kohta päivitetty 6.11.2019

libresolv

Haluamme kiittää Googlen tutkijaa enh hänen avustaan.

Paikallinen todennus

Haluamme kiittää Ryan Lopopoloa hänen avustaan.

Kohta lisätty 11.2.2020

mDNSResponder

Haluamme kiittää Gregor Langia (e.solutions GmbH) hänen avustaan.

Kohta lisätty 11.2.2020

Postfix

Haluamme kiittää Puppetin Chris Barkeria hänen avustaan.

python

Haluamme kiittää nimetöntä tutkijaa hänen avustaan.

VPN

Haluamme kiittää Royce Gawronia (Second Son Consulting, Inc.) hänen avustaan.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: