Tietoja macOS Catalina 10.15.4:n turvallisuussisällöstä, suojauspäivityksestä 2020-002 Mojave ja suojauspäivityksestä 2020-002 High Sierra

Tässä asiakirjassa kerrotaan macOS Catalina 10.15.4:n turvallisuussisällöstä, suojauspäivityksestä 2020-002 Mojave ja suojauspäivityksestä 2020-002 High Sierra.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

macOS Catalina 10.15.4, suojauspäivitys 2020-002 Mojave ja suojauspäivitys 2020-002 High Sierra

Julkaistu 24.3.2020

Applen HSSPI-tuki

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-3903: Proteas (Qihoo 360 Nirvan Team)

Kohta päivitetty 1.5.2020

AppleGraphicsControl

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.

CVE-2020-3904: Proteas (Qihoo 360 Nirvan Team)

AppleMobileFileIntegrity

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Appi saattoi kyetä käyttämään sattumanvaraisia valtuutuksia.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-3883: Linus Henze (pinauten.de)

Bluetooth

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-3907: Yu Wang (Didi Research America)

CVE-2020-3908: Yu Wang (Didi Research America)

CVE-2020-3912: Yu Wang (Didi Research America)

Bluetooth

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-3892: Yu Wang (Didi Research America)

CVE-2020-3893: Yu Wang (Didi Research America)

CVE-2020-3905: Yu Wang (Didi Research America)

Bluetooth

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2019-8853: Jianjun Dai (Qihoo 360 Alpha Lab)

Puheluhistoria

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Haittaohjelma saattoi pystyä käyttämään käyttäjän puheluhistoriaa.

Kuvaus: Ongelma on ratkaistu uudella valtuutuksella.

CVE-2020-9776: Benjamin Randazzo (@____benjamin)

CoreBluetooth

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9828: Jianjun Dai (Qihoo 360 Alpha Lab)

Kohta lisätty 13.5.2020

CoreFoundation

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Kyseessä oli käyttöoikeusongelma. Ongelma ratkaistiin parantamalla käyttöoikeuksien tarkistamista.

CVE-2020-3913: Timo Christ (Avira Operations GmbH & Co. KG)

CUPS

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2020-3898: Security Research Labsin (srlabs.de) Stephan Zeisberg (github.com/stze)

Kohta lisätty 8.4.2020

FaceTime

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-3881: Yuval Ron, Amichai Shulman ja Eli Biham (Technion - Israel Institute of Technology)

Kuvakkeet

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Haitallinen appi saattoi kyetä tunnistamaan muita käyttäjän asentamia appeja.

Kuvaus: Ongelma on ratkaistu parantamalla kuvakevälimuistien käsittelyä.

CVE-2020-9773: Chilik Tamir (Zimperium zLabs)

Intelin grafiikkaohjain

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Haittaohjelma saattoi paljastaa rajoitetun muistin.

Kuvaus: Tietojen paljastumisen ongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2019-14615: Wenjian HE (Hong Kong University of Science and Technology), Wei Zhang (Hong Kong University of Science and Technology), Sharad Sinha (Indian Institute of Technology Goa) ja Sanjeev Das (University of North Carolina)

IOHIDFamily

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin alustusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-3919: nimetön tutkija

IOThunderboltFamily

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-3851: Xiaolong Bai ja Min (Spark) Zheng (Alibaba Inc.) sekä Luyi Xing (Indiana University Bloomington)

Kernel

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Muistin alustusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-3914: pattern-f (@pattern_F_, WaCai)

Kernel

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla tilan hallintaa.

CVE-2020-9785: Proteas (Qihoo 360 Nirvan Team)

libxml2

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Vaikutus: libxml2:ssa esiintyi useita ongelmia.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2020-3909: LGTM.com

CVE-2020-3911: ongelman havaitsi OSS-Fuzz

libxml2

Saatavuus: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Vaikutus: libxml2:ssa esiintyi useita ongelmia.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.

CVE-2020-3910: LGTM.com

Mail

Saatavuus: macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen javascript-koodin suorittamisen.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla validointia.

CVE-2020-3884: Apple

Tulostaminen

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Vaikutus: Haittaohjelma saattoi pystyä korvaamaan mielivaltaisia tiedostoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2020-3915: Nimetön tutkija yhteistyössä iDefense Labsin (https://vcp.idefense.com/) kanssa, HyungSeok Han (DaramG) @Theori yhteistyössä TrendMicron Zero Day Initiativen kanssa

Kohta lisätty 1.5.2020

Safari

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Käyttäjän yksityinen selaushistoria saatettiin odottamatta tallentaa Ruutuajassa.

Kuvaus: Kuva kuvassa -videota toistavien välilehtien käsittelyssä oli ongelma. Ongelma on korjattu parantamalla tilankäsittelyä.

CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com) ja Sambor Wawro (STO64 School, Krakova, Puola)

Kohta lisätty 13.5.2020

Eristys

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.

Kuvaus: Käyttöongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2020-3918: Augusto Alvarez, Outcourse Limited

Kohta lisätty 8.4.2020

sudo

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Hyökkääjä saattoi pystyä suorittamaan komentoja käyttäjänä, jota ei ole.

Kuvaus: Ongelma on korjattu päivittämällä sudo-versioon 1.8.31.

CVE-2019-19232

sysdiagnose

Saatavuus: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Vaikutus: Appi saattoi pystyä käynnistämään sysdiagnosen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia

CVE-2020-9786: Dayton Pidhirney (@_watbulb), Seekintoo (@seekintoo)

Kohta lisätty 4.4.2020

TCC

Saatavuus: macOS Mojave 10.14.6, macOS Catalina 10.15.3

Vaikutus: Haitallisesti laadittu ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen pakotuksen.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2020-3906: Patrick Wardle (Jamf)

Time Machine

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan mielivaltaisia tiedostoja.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-3889: Lasse Trolle Borup (Danish Cyber Defence)

Vim

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Vimissä esiintyi useita ongelmia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 8.1.1850.

CVE-2020-9769: Steve Hahn (LinkedIn)

WebKit

Saatavuus: macOS Catalina 10.15.3

Vaikutus: Jotkin sivustot eivät välttämättä näkyneet Safarin asetuksissa.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

Kohta lisätty 8.4.2020

Kiitokset

CoreText

Haluamme kiittää nimetöntä tutkijaa hänen avustaan.

FireWire Audio

Haluamme kiittää Xiaolong Baita ja Min (Spark) Zhengiä (Alibaba Inc.) ja Luyi Xingiä (Indiana University Bloomington) heidän avustaan.

FontParser

Haluamme kiittää Matthew Dentonia (Google Chrome) hänen avustaan.

Install Framework (vanha)

Haluamme kiittää Pris Searsia (Virginia Tech), Tom Lynchiä (UAL Creative Computing Institute) ja nimetöntä tutkijaa heidän avustaan.

LinkPresentation

Haluamme kiittää Travisia hänen avustaan.

OpenSSH

Haluamme kiittää nimetöntä tutkijaa hänen avustaan.

rapportd

Haluamme kiittää Alexander Heinrichia (@Sn0wfreeze, Technische Universität Darmstadt) hänen avustaan.

Sidecar

Haluamme kiittää Rick Backleytä (@rback_sec) hänen avustaan.

sudo

Haluamme kiittää Giorgio Oppoa (linkedin.com/in/giorgio-oppo/) hänen avustaan.

Kohta lisätty 4.4.2020

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: