אודות תוכן האבטחה של macOS Catalina 10.15.1, עדכון אבטחה 2019-001 ועדכון אבטחה 2019-006
מסמך זה מתאר את תוכן האבטחה של macOS Catalina 10.15.1, עדכון אבטחה 2019-001 ועדכון אבטחה 2019-006.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Catalina 10.15.1, עדכון אבטחה 2019-001, עדכון אבטחה 2019-006
Accounts
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2019-8787: סטפן קלי מ-Secure Mobile Networking Lab באוניברסיטה הטכנית של דרמשטאדט
Accounts
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: העברות AirDrop עלולות להתקבל באופן לא צפוי במצב 'כולם'
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2019-8796: אליסון חוסיין מאוניברסיטת קליפורניה בברקלי
AirDrop
זמין עבור: macOS Catalina 10.15
השפעה: העברות AirDrop עלולות להתקבל באופן לא צפוי במצב 'כולם'
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2019-8796: אליסון חוסיין מאוניברסיטת קליפורניה בברקלי
AMD
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8748: לילנג וו ומוני לי מ-TrendMicro Mobile Security Research Team
apache_mod_php
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: מספר בעיות ב-PHP
תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 7.3.8 של PHP.
CVE-2019-11041
CVE-2019-11042
APFS
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8824: Mac בעבודה עם Zero Day Initiative של Trend Micro
App Store
זמין עבור: macOS Catalina 10.15
השפעה: ייתכן שתוקף מקומי יוכל להתחבר לחשבון של משתמש שהיה מחובר בעבר ללא אישורי כניסה חוקיים.
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8803: קיון אן, 차민규 (צ'ה מין-קיו)
AppleGraphicsControl
זמין עבור: macOS Catalina 10.15
השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל
תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.
CVE-2019-8817: אראש טוהידי
AppleGraphicsControl
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8716: ג'י-יי ג'אנג מ-Codesafe Team of Legendsec ב-Qi'anxin Group, ג'ואו ליאנג מ-Qihoo 360 Vulcan Team
Associated Domains
זמין עבור: macOS Catalina 10.15
השפעה: עיבוד לא תקין של URL עלול להוביל לדליפת נתונים
תיאור: הייתה בעיה בניתוח כתובות URL. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2019-8788: יוהה לינדשטדט מ-Pakastin, מירקו טנניה, ראולי ריקאמה מ-Zero Keyboard Ltd
Audio
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8706: יו ג'ואו מ-Ant-financial Light-Year Security Lab
Audio
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8785: איאן ביר מ-Google Project Zero
CVE-2019-8797: 08Tc3wBB בעבודה עם SSD Secure Disclosure
Audio
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול לחשוף זיכרון מוגבל
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2019-8850: אנונימי יחד עם Zero Day Initiative של Trend Micro
Books
זמין עבור: macOS Catalina 10.15
השפעה: ניתוח קובץ iBooks בעל מבנה זדוני עלול להוביל לחשיפת מידע אודות המשתמש
תיאור: התגלתה בעיית אימות בטיפול בקישורי symlink. בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.
CVE-2019-8789: חרטיאן פרנקן מ-imec-DistriNet, אוניברסיטת לוון
Contacts
זמין עבור: macOS Catalina 10.15
השפעה: עיבוד איש קשר זדוני עלול להוביל לזיוף זהות בממשק משתמש
תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.
CVE-2017-7152: אוליבר פאוקשדטד מ-Thinking Objects GmbH (to.com)
CoreAudio
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: הפעלת קובץ שמע זדוני עלולה להוביל להפעלת קוד שרירותי
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2019-8592: riusksk מ-VulWar Corp יחד עם Zero Day Initiative של Trend Micro
CoreAudio
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: עיבוד של סרט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2019-8705: riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro
CoreMedia
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8825: התגלה על ידי GWP-ASan ב-Google Chrome
CUPS
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל להדליף מידע רגיש אודות המשתמש
תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.
CVE-2019-8736: פאבל גוצילה מ-ING Tech Poland (ingtechpoland.com)
CUPS
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
השפעה: עיבוד מחרוזת בעלת מבנה זדוני עלול להוביל לפגם בזיכרון
תיאור: בעיית צריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2019-8767: סטיבן זייסברג
CUPS
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
השפעה: תוקף במיקום מורשה עלול להצליח לבצע מתקפה של מניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.
CVE-2019-8737: פאבל גוצילה מ-ING Tech Poland (ingtechpoland.com)
File Quarantine
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2019-8509: CodeColorist מ-Ant-Financial LightYear Labs
File System Events
זמין עבור: macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8798: ABC Research s.r.o. בעבודה עם Zero Day Initiative של Trend Micro
Foundation
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2019-8746: נטאשנקה וסמואל גרוס מ-Google Project Zero
Graphics
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
השפעה: עיבוד תוכנת shader זדונית עלול להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.
CVE-2018-12152: פיוטר באניה מ-Cisco Talos
CVE-2018-12153: פיוטר באניה מ-Cisco Talos
CVE-2018-12154: פיוטר באניה מ-Cisco Talos
Graphics Driver
זמין עבור: macOS Catalina 10.15
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8784: וסילי וסילייב ואיליה פינוגייב מ-Webinar, LLC
Intel Graphics Driver
זמין עבור: macOS Catalina 10.15
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8807: יו וואנג מ-Didi Research America
IOGraphics
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של המערכת או לקריאת זיכרון ליבה
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2019-8759: עוד אחד מ-360 Nirvan Team
iTunes
זמין עבור: macOS Catalina 10.15
השפעה: הפעלת תוכנית ההתקנה של iTunes בתיקיה לא מהימנה עלולה להוביל להפעלת קוד שרירותי.
תיאור: בעיית טעינה של ספריה דינמית הייתה קיימת בהגדרת iTunes. הבעיה טופלה באמצעות חיפוש נתיבים משופר.
CVE-2019-8801: הו ג'ינג-יי (@hjy79425575) מ-Qihoo 360 CERT
Kernel
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8709: דרק (@derrekr6) דרק (@derrekr6)
Kernel
זמין עבור: macOS Catalina 10.15
השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל
תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.
CVE-2019-8794: 08Tc3wBB בעבודה עם SSD Secure Disclosure
Kernel
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8717: יאן הורן מ-Google Project Zero
CVE-2019-8786: וון שו מהמכון הטכנולוגי של ג'ורג'יה, מתמחה בצוות Microsoft Offensive Security Research
Kernel
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה
תיאור: בעיית השחתת זיכרון הייתה קיימת בטיפול במנות IPv6. בעיה זו טופלה באמצעות ניהול זיכרון משופר.
CVE-2019-8744: ז'ואו ליאנג מ-Qihoo 360 Vulcan Team
Kernel
זמין עבור: macOS Catalina 10.15
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.
CVE-2019-8829: יאן הורן מ-Google Project Zero
libxml2
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
השפעה: מספר בעיות ב-libxml2
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.
CVE-2019-8749: התגלה על-ידי OSS-Fuzz
CVE-2019-8756: התגלה על-ידי OSS-Fuzz
libxslt
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
השפעה: מספר בעיות ב-libxslt
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.
CVE-2019-8750: התגלה על-ידי OSS-Fuzz
manpages
זמין עבור: macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס
תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.
CVE-2019-8802: סאבה פיצל (@theevilbit)
PDFKit
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: ייתכן שתוקף יוכל לחלץ את התוכן של קובץ PDF מוצפן
תיאור: הייתה בעיה בטיפול בקישורים בקובצי PDF מוצפנים. הבעיה טופלה באמצעות הוספת בקשה לאישור.
CVE-2019-8772: ינס מילר מאוניברסיטת רוהר בוכום, פביאן איסינג מאוניברסיטת מינסטר FH למדעים שימושיים, ולדיסלב מלדנוב מאוניברסיטת רוהר בוכום, כריסטיאן מיינקה מאוניברסיטת רוהר בוכום, סבסטיאן שינצל מאוניברסיטת מינסטר FH למדעים שימושיים ויירג שוונק מאוניברסיטת רוהר בוכום
PluginKit
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
השפעה: ייתכן שמשתמש מקומי יוכל לחפש קבצים שרירותיים
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2019-8708: חוקר אנונימי
PluginKit
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8715: חוקר אנונימי
Screen Sharing Server
זמין עבור: macOS Catalina 10.15
השפעה: משתמש שמשתף מסך לא יוכל להפסיק את שיתוף המסך
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8858: סול ואן דר בייל מ-Saul’s Place Counseling B.V.
System Extensions
זמין עבור: macOS Catalina 10.15
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית אימות קיימת בטיפול באימות זכאות. בעיה זו תוקנה באמצעות אימות משופר של תהליך הזכאות.
CVE-2019-8805: סקוט נייט (@sdotknight) מ-VMware Carbon Black TAU
UIFoundation
זמין עבור: macOS Catalina 10.15
השפעה: ייתכן שמסמך HTML זדוני יצליח לעבד רכיבי iframe עם מידע רגיש אודות המשתמש
תיאור: בעיה של מקורות מרובים הייתה קיימת באלמנטים מסוג 'iframe'. הבעיה טופלה באמצעות מעקב משופר אחרי מקורות אבטחה.
CVE-2019-8754: רנה טריסברג מ-SpectX
UIFoundation
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2019-8745: riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro
UIFoundation
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8831: riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro
UIFoundation
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: ניתוח קובץ טקסט בעל מבנה זדוני עלול להוביל לחשיפת מידע אודות המשתמש
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2019-8761: רנה טריסברג מ-SpectX
Wi-Fi
זמין עבור: macOS Catalina 10.15
השפעה: ייתכן שתוקף בטווח Wi-Fi יוכל להציג כמות קטנה של תעבורת רשת
תיאור: בטיפול במעבר בין מצבים הייתה בעיה לוגית. בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2019-15126: מילוש צ'רמאק מ-ESET
תודות נוספות
CFNetwork
אנחנו מבקשים להודות ללילי צ'ן מ-Google על הסיוע.
Find My
אנחנו מבקשים להודות לעמאר אלסיחי על הסיוע.
Kernel
אנחנו מבקשים להודות לברנדון אזאד מ-Google Project Zero, לדניאל רותליסברגר מ-Swisscom CSIRT וליאן הורן מ-Google Project Zero על הסיוע.
libresolv
אנחנו מבקשים להודות ל-enh מ-Google על הסיוע.
Local Authentication
אנחנו מבקשים להודות לראיין לופופולו על הסיוע.
mDNSResponder
אנחנו מבקשים להודות לגרגור לאנג מ-e.solutions GmbH על הסיוע.
Postfix
אנחנו מבקשים להודות לכריס בארקר מ-Puppet על הסיוע.
python
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
VPN
אנחנו מבקשים להודות לרויס גאורון מ-Second Son Consulting, Inc. על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.