אודות תוכן האבטחה של macOS Mojave 10.14.5, עדכון האבטחה ‎2019-003 High Sierra ועדכון האבטחה ‎2019-003 Sierra

מסמך זה מתאר את תוכן האבטחה של macOS Mojave 10.14.5, עדכון האבטחה ‎2019-003 High Sierra ועדכון האבטחה ‎2019-003 Sierra.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות מפורטות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Mojave 10.14.5, עדכון האבטחה ‎2019-003 High Sierra, עדכון האבטחה ‎2019-003 Sierra

הופץ ב-13 במאי 2019

מסגרת נגישות

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.4

השפעה: ייתכן שאפליקציה תהיה מסוגלת לקרוא זיכרון מוגבל

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2019-8603: ‏Phoenhex ו-qwerty ‏(‎@_niklasb, ‏‎@qwertyoruiopz, ‏‎@bkth_‎) יחד עם Zero Day Initiative של Trend Micro

AMD

זמין עבור: macOS Mojave 10.14.4

השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2019-8635: לילנג וו ומוני לי מ-TrendMicro Mobile Security Research Team יחד עם Zero Day Initiative של Trend Micro

חומת אש של אפליקציות

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.4

השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2019-8590: ‏National Cyber Security Centre ‏(NCSC) של בריטניה

כלי ארכיון

זמין עבור: macOS Mojave 10.14.4

השפעה: ייתכן שתהליך בשלב ארגז החול יהיה מסוגל לעקוף את ההגבלות של ארגז החול

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2019-8640: אש פוקס מ-Fitbit Product Security

הרשומה נוספה ב-1 באוגוסט 2019

Bluetooth

זמין עבור: macOS Mojave 10.14.4

השפעה: עקב תצורה שגויה בפרוטוקולי הקישור של Bluetooth בגרסת Bluetooth Low Energy ‏(BLE) של FIDO Security Keys, ייתכן שתוקף שנמצא בקרבה פיזית יוכל לקלוט תעבורת Bluetooth במהלך הקישור

תיאור: הבעיה טופלה על-ידי השבתת אביזרים בעלי חיבורי Bluetooth לא מאובטחים. לקוחות המשתמשים בגרסת Bluetooth Low Energy ‏(BLE) של Titan Security Key של Google צריכים לעיין בהודעות לחודש יוני של Android ובעצות של Google ולנקוט צעדים הולמים.

CVE-2019-2102: מאט ביבר ואריק פטרסון מ-Microsoft Corp.

הרשומה נוספה ב-17 בספטמבר 2019

CoreAudio

זמין עבור: macOS Mojave 10.14.4

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בשגיאות.

CVE-2019-8592: ‏riusksk מ-VulWar Corp יחד עם Zero Day Initiative של Trend Micro

הרשומה עודכנה ב-17 בספטמבר 2019

CoreAudio

זמין עבור: macOS Mojave 10.14.4

השפעה: עיבוד קובץ סרט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2019-8585: ‏riusksk מ-VulWar Corp יחד עם Zero Day Initiative של Trend Micro

CoreText

זמין עבור: macOS Mojave 10.14.4

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2019-8582: ‏riusksk מ-VulWar Corp יחד עם Zero Day Initiative של Trend Micro

הרשומה נוספה ב-25 ביולי 2019

DesktopServices

זמין עבור: macOS Mojave 10.14.4

השפעה: אפליקציה זדונית עלולה לעקוף את הבדיקות של Gatekeeper

תיאור: בעיה זו טופלה באמצעות בדיקות משופרת.

CVE-2019-8589: ‏אנדריאס קלמנטי, סטפן הסלוונטר ופטר שטלצהאמר מ-AV-Comparatives

תמונות דיסק

זמין עבור: macOS Sierra 10.12.6, ‏macOS Mojave 10.14.4, ‏macOS High Sierra 10.13.6

השפעה: ייתכן שאפליקציה תהיה מסוגלת לקרוא זיכרון מוגבל

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2019-8560: ניקיטה פופישב מ-Bauman Moscow State Technological University

הרשומה עודכנה ב-14 במאי 2019

EFI

זמין עבור: macOS Mojave 10.14.4

השפעה: משתמשים עלולים להתחבר לחשבונות של משתמשים אחרים באופן בלתי צפוי

תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8634: ‏ג'ני ספרנגר ומייק הופפל

Intel Graphics Driver

זמין עבור: macOS Mojave 10.14.4

השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2019-8616: לילנג וו ומוני לי מ-Trend Micro Mobile Security Research Team יחד עם Zero Day Initiative של Trend Micro

Intel Graphics Driver

זמין עבור: macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.4

השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית אתחול זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2019-8629: ‏אראש טוהידי מ-Solita Oy

IOAcceleratorFamily

זמין עבור: macOS High Sierra 10.13.6

השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2018-4456: טיילר בוהן מ-Cisco Talos

IOKit

זמין עבור: macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.4

השפעה: ייתכן שמשתמש מקומי יוכל לטעון הרחבות ליבה לא חתומות

תיאור: בעיית אימות הייתה קיימת בטיפול בקישורים סימבוליים. בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2019-8606: ‏Phoenhex ו-qwerty ‏(‎@_niklasb, ‏‎@qwertyoruiopz, ‏‎@bkth_‎) יחד עם Zero Day Initiative של Trend Micro

ליבה

זמין עבור: macOS Mojave 10.14.4, ‏macOS High Sierra 10.13.6

השפעה: ייתכן שאפליקציה תהיה מסוגלת לקרוא זיכרון מוגבל

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2019-8633: ‏ז'ואו ליאנג מ-Qihoo 360 Vulcan Team

הרשומה נוספה ב-25 ביולי 2019, עודכנה ב-17 בספטמבר 2019

ליבה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8525: ז'ואו ליאנג ו-shrek_wzw מ-Qihoo 360 Nirvan Team

הרשומה נוספה ב-14 במאי 2019

ליבה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: ייתכן שתוקף מרוחק יוכל להדליף זיכרון

תיאור: הייתה קיימת בעיה של קריאה מחוץ לטווח שהובילה לחשיפת זיכרון ליבה. הבעיה טופלה באמצעות אימות קלט משופר.

CVE-2019-8547: ‏derrek ‏(‎@derrekr6)

הרשומה נוספה ב-14 במאי 2019

ליבה

זמין עבור: macOS Mojave 10.14.4

השפעה: ייתכן שמשתמש מקומי יוכל לגרום לסיום בלתי צפוי של המערכת או לקרוא זיכרון ליבה

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2019-8576: ‏ברנדון אזאד מ-Google Project Zero, ‏ג'ונו ג'אנג והנול צ'וי מ-LINE Security Team

הרשומה עודכנה ב-30 במאי 2019

ליבה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.4

השפעה: ייתכן שאפליקציה תוכל לגרום לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה

תיאור: בעיית בלבול בסוגים נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2019-8591: נד ויליאמסון יחד עם Google Project Zero

הודעות

זמין עבור: macOS Mojave 10.14.4

השפעה: ייתכן שתוקף מרוחק יוכל לגרום לדחיית שירות במערכת

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2019-8573: ‏נטלי סילבנוביץ' מ-Google Project Zero

הרשומה נוספה ב-3 ביולי 2019

הודעות

זמין עבור: macOS Mojave 10.14.4

השפעה: ייתכן שמשתמשים שהוסרו משיחת iMessage עדיין יוכלו לשנות מצב

תיאור: בעיית לוגיקה טופלה בזכות ניהול מצבים משופר.

CVE-2019-8631: ג'יימי בישופ מ-Dynastic

הרשומה נוספה ב-1 באוגוסט 2019

מיקרו-קוד

זמין עבור: macOS Mojave 10.14.4

השפעה: ייתכן שיציאות טעינה, מאגרי מילוי ומאגרי אחסון במערכות עם מיקרו-מעבדים שמשתמשים בביצוע ספקולטיבי יאפשרו לתוקפים בעלי גישה של משתמש מקומי לאפשר חשיפת מידע באמצעות ערוץ צדדי

תיאור: בעיות מרובות של חשיפת מידע טופלו חלקית על-ידי עדכון המיקרו-קוד ושינוי מתזמן מערכת ההפעלה כדי לבודד את המערכת מתוכן אינטרנט שפועל בדפדפן. כדי לטפל בבעיות אלה באופן מלא, קיימים אמצעי עזר נוספים שניתן להשתמש בהם להשבתת שרשורים מקבילים ולהפעלת אמצעי עזר המבוססים על מיקרו-קוד עבור כל התהליכים כברירת מחדל. ניתן למצוא פרטים על אמצעי העזר בכתובת https://support.apple.com/he-il/HT210107.

CVE-2018-12126: קה סון, הנריק קווקאמי, קקאיי הו ורודריגו ברנקו מ-Intel; ליי שי - ‏Qihoo 360 CERT; ‏מרינה מינקין; דניאל גנקין מאוניברסיטת מישיגן ויובל ירום מאוניברסיטת אדלייד.

CVE-2018-12127: ברנדון פלק מ-Microsoft Windows Platform Security Team; וקה סון, הנריק קווקאמי, קקאיי סו ורודריגו ברנקו מ-Intel

CVE-2018-12130: גיורגי מייסורדזה מ-Microsoft Research; קה סון, הנריק קווקאמי, קקאיי סו ורודריגו ברנקו מ-Intel; ‏מוריץ ליפ, מייקל שוורץ ודניאל גרוס מ-Graz University of Technology; ‏סטפן ון שייק, אליסה מילבורן, סבסטיאן אוסטרלונד, פייטרו פריגו, קאווה רזאבי, הרברט בוס וקריסטיאנו ג'ופרידה מקבוצת VUSec ב-VU Amsterdam; ולודימיר פיחור; ודן אוריאה לוטאס מ-BitDefender

CVE-2019-11091: קה סון, הנריק קווקאמי, קקאיי סו ורודריגו ברנקו מ-Intel; ומוריץ ליפ, מייקל שוורץ ודניאל גרוס מ-Graz University of Technology

הרשומה נוספה ב-14 במאי 2019

אבטחה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.4

השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2019-8604: ‏Fluoroacetate יחד עם Zero Day Initiative של Trend Micro

SQLite

זמין עבור: macOS Mojave 10.14.4

השפעה: אפליקציה עלולה לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית אימות קלט נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2019-8577: ‏עומר גל מ-Checkpoint Research

SQLite

זמין עבור: macOS Mojave 10.14.4

השפעה: שאילתת SQL בעלת מבנה זדוני עלולה להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2019-8600: ‏עומר גל מ-Checkpoint Research

SQLite

זמין עבור: macOS Mojave 10.14.4

השפעה: אפליקציה זדונית עלולה להצליח לקרוא זיכרון מוגבל

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2019-8598: עומר גל מ-Checkpoint Research

SQLite

זמין עבור: macOS Mojave 10.14.4

השפעה: אפליקציה זדונית עלולה להשיג הרשאות מלאות

תיאור: בעיית השחתת זיכרון טופלה על-ידי הסרת הקוד הפגיע.

CVE-2019-8602: עומר גל מ-Checkpoint Research

StreamingZip

זמין עבור: macOS Mojave 10.14.4

השפעה: ייתכן שמשתמש מקומי יוכל לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית אימות הייתה קיימת בטיפול בקישורים סימבוליים. בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2019-8568: ‏דני ליסיאנסקי ‏(‎@DanyL931)

sysdiagnose

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.4

השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2019-8574: דייטון פידהירני ‏(‎@_watbulb) מ-Seekintoo ‏(‎@seekintoo)

תמיכה ב-Touch Bar

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: ייתכן שאפליקציה תוכל להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2019-8569: ‏ויקטור אורשקין ‏(‎@stek29)

WebKit

זמין עבור: macOS Mojave 10.14.4

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיות מרובות של השחתת זיכרון נפתרו באמצעות טיפול משופר בזיכרון.

CVE-2019-6237: ‏ג. גשב יחד עם Zero Day Initiative של Trend Micro, ליו לונג מ-Qihoo 360 Vulcan Team

CVE-2019-8571: ‏01 יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8583: ‏sakura מ-Tencent Xuanwu Lab, ‏jessica ‏(‎@babyjess1ca_‎) מ-Tencent Keen Lab ו-dwfault ב-ADLab of Venustech

CVE-2019-8584: ג. גשב מ-MWR Labs יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8586: חוקר אנונימי

CVE-2019-8587: ג. גשב יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8594:‏ סויונג לי וסואל סון מ-KAIST Web Security & Privacy Lab והיונגסאוק האן וסנג קיל צ'ה מ-KAIST SoftSec Lab

CVE-2019-8595:‏ ג. גשב מ-MWR Labs יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8596:‏ וון שו מ-SSLab ב-Georgia Tech

CVE-2019-8597:‏ 01 יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8601:‏ Fluoroacetate יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8608:‏ ג. גשב יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8609:‏ וון שו מ-SSLab, ‏Georgia Tech

CVE-2019-8610:‏ אנונימי יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8611:‏ סמואל גרוס מ-Google Project Zero

CVE-2019-8615:‏ ג. גשב מ-MWR Labs יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8619:‏ וון שו מ-SSLab ב-Georgia Tech והנקינג ז'או מ-Chaitin Security Research Lab

CVE-2019-8622:‏ סמואל גרוס מ-Google Project Zero

CVE-2019-8623:‏ סמואל גרוס מ-Google Project Zero

CVE-2019-8628:‏ וון שו מ-SSLab ב-Georgia Tech והנקינג ז'או מ-Chaitin Security Research Lab

WebKit

זמין עבור: macOS Mojave 10.14.4

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2019-8607:‏ ג'ונו ג'נג והנול צ'וי מ-LINE Security Team

Wi-Fi

זמין עבור: macOS Mojave 10.14.4

השפעה: תוקף במיקום מורשה ברשת יכול לשנות מצב מנהל התקן

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8612: ‏מילן סטוט מ-Secure Mobile Networking Lab ב-Technische Universität Darmstadt

הרשומה נוספה ב-14 במאי 2019

תודות נוספות

CoreAudio

אנחנו מבקשים להודות ל-riusksk מ-VulWar Corp יחד עם Zero Day Initiative של Trend Micro על הסיוע.

הרשומה נוספה ב-25 ביולי 2019

CoreFoundation

אנחנו מבקשים להודות ל-m4bln, שיאנגקיאן ז'אנג, הוימינג ליו מ-Xuanwu Lab של Tencent, ל-Vozzie ול-Rami על הסיוע.

הרשומה עודכנה ב-14 במאי 2019

ליבה

אנחנו מבקשים להודות לדניס קופרין על הסיוע.

הרשומה עודכנה ב-14 במאי 2019

PackageKit

אנחנו מבקשים להודות לסאבה פיצל ‏(‎@theevilbit) על הסיוע.

Safari

אנחנו מבקשים להודות למייקל בול מ-Gradescope של Turnitin על הסיוע.

העדפות מערכת

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: