À propos du contenu de sécurité de macOS Catalina 10.15.2, de la mise à jour de sécurité 2019-002 pour Mojave et de la mise à jour de sécurité 2019-007 pour High Sierra
Ce document décrit le contenu de sécurité de macOS Catalina 10.15.2, la mise à jour de sécurité 2019-002 pour Mojave et la mise à jour de sécurité 2019-007 pour High Sierra.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées à la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
macOS Catalina 10.15.2, mise à jour de sécurité 2019-002 pour Mojave, mise à jour de sécurité 2019-007 pour High Sierra
ATS
Disponible pour : macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Conséquence : Une application malveillante peut être en mesure d’accéder à des fichiers restreints.
Description : Un problème de logique a été résolu par de meilleures restrictions.
CVE-2019-8837 : Csaba Fitzl (@theevilbit)
Bluetooth
Disponible pour : macOS Catalina 10.15
Conséquence : Une application peut être en mesure de lire la mémoire restreinte
Description : Un problème de validation a été résolu par un meilleur nettoyage des entrées.
CVE-2019-8853 : Jianjun Dai d’Alpha Lab de Qihoo 360
CallKit
Disponible pour : macOS Catalina 10.15
Conséquence : Il peut arriver que les appels réalisés à l’aide de Siri utilisent le mauvais forfait cellulaire sur les appareils dotés de deux forfaits actifs.
Description : Un problème d’IPA existait au niveau de la gestion des appels sortants initiés avec Siri. Ce problème a été résolu par une meilleure gestion des états.
CVE-2019-8856 : Fabrice TERRANCLE de TERRANCLE SARL
Serveurs mandataires CFNetwork
Disponible pour : macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Conséquence : une application peut être en mesure d’accéder à des privilèges élevés
Description : ce problème a été résolu par l’application de meilleures vérifications.
CVE-2019-8848 : Zhuo Liang de la Qihoo 360 Vulcan Team
CFNetwork
Disponible pour : macOS Catalina 10.15
Conséquence : Un attaquant bénéficiant d’une position privilégiée dans le réseau peut être en mesure de contourner le HSTS pour un nombre limité de domaines supérieurs spécifiques qui n’étaient auparavant pas dans la liste de préchargement HSTS.
Description : Un problème de configuration a été résolu par des restrictions supplémentaires.
CVE-2019-8834 : Rob Sayre (@sayrer)
CUPS
Disponible pour : macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Conséquence : Sur certaines configurations, un attaquant distant peut être en mesure d’exécuter des tâches d’impression arbitraires.
Description : Un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.
CVE-2019-8842 : Niky1235 de China Mobile
CUPS
Disponible pour : macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Conséquence : Un attaquant bénéficiant d’une position privilégiée peut provoquer un déni de service.
Description : Un problème de dépassement de mémoire tampon a été résolu par une meilleure vérification des limites.
CVE-2019-8839 : Stephan Zeisberg de Security Research Labs
FaceTime
Disponible pour : macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Conséquence : Le traitement d’une vidéo malveillante par FaceTime peut entraîner l’exécution arbitraire de code.
Description : Un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2019-8830 : natashenka de Google Project Zero
IOGraphics
Disponible pour : macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Conséquence : Un Mac peut ne pas se verrouiller immédiatement à la sortie du mode veille.
Description : Un problème de logique a été résolu par une meilleure gestion des états.
CVE-2019-8851 : Vladik Khononov de DoiT International
Noyau
Disponible pour : macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Conséquence : Une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : Un problème de corruption de la mémoire a été résolu en supprimant le code vulnérable.
CVE-2019-8833 : Ian Beer de Google Project Zero
Noyau
Disponible pour : macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Conséquence : Une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.
Description : Un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.
CVE-2019-8828 : Cim Stordal de Cognite
CVE-2019-8838 : Silvio Cesare d’InfoSect
CVE-2019-8847 : Apple
CVE-2019-8852 : pattern-f (@pattern_F_) de WaCai
libexpat
Disponible pour : macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Conséquence : L’analyse d’un fichier XML malveillant peut mener à la divulgation des informations utilisateur.
Description : Ce problème a été résolu par l’installation de la version 2.2.8 d’expat.
CVE-2019-15903 : Joonun Jang
Notes
Disponible pour : macOS Catalina 10.15
Conséquence : Un attaquant distant peut être en mesure d’effacer des fichiers existants.
Description : Un problème d’analyse de la gestion des chemins d’accès aux répertoires a été résolu par une meilleure validation des chemins d’accès.
CVE-2020-9782 : Allison Husain d’UC Berkeley
OpenLDAP
Disponible pour : macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Conséquence : OpenLDAP présentait plusieurs problèmes.
Description : Plusieurs problèmes ont été résolus par la mise à jour d’OpenLDAP vers la version 2.4.28.
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
Sécurité
Disponible pour : macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Conséquence : Une application peut être en mesure d’exécuter du code arbitraire avec des privilèges système.
Description : Un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.
CVE-2019-8832 : Insu Yun du SSLab de Georgia Tech
tcpdump
Disponible pour : macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Conséquence : tcpdump présentait plusieurs problèmes.
Description : Plusieurs problèmes ont été résolus par la mise à jour de tcpdump vers la version 4.9.3 et de libpcap vers la version 1.9.1.
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
Wi-Fi
Disponible pour : macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Conséquence : Un attaquant situé à portée du Wi-Fi peut être en mesure de voir une petite quantité du trafic réseau.
Description : La gestion des transitions d’état présentait un problème de logique. Ce problème a été résolu par une meilleure gestion des états.
CVE-2019-15126 : Milos Cermak d’ESET
Remerciements supplémentaires
Comptes
Nous tenons à remercier Allison Husain d’UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling de Loughborough University pour leur aide.
Core Data
Nous tenons à remercier natashenka de Google Project Zero pour son aide.
Finder
Nous tenons à remercier Csaba Fitzl (@theevilbit) pour son aide.
Noyau
Nous tenons à remercier Daniel Roethlisberger de Swisscom CSIRT pour son aide.
Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.