אודות תכני האבטחה של macOS Catalina 10.15.2, עדכון אבטחה Mojave 2019-002 ועדכון אבטחה High Sierra 2019-007

מסמך זה מתאר את תכני האבטחה של macOS Catalina 10.15.2, עדכון אבטחה Mojave 2019-002 ועדכון אבטחה High Sierra 2019-007.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Catalina 10.15.2, עדכון אבטחה Mojave 2019-002 ועדכון אבטחה High Sierra 2019-007

ATS

זמין עבור: macOS Mojave 10.14.6,‏ macOS High Sierra 10.13.6,‏ macOS Catalina 10.15

השפעה: יישום זדוני עלול להצליח לגשת לקבצים מוגבלים

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2019-8837: סאבה פיצל (‎@theevilbit)

Bluetooth

זמין עבור: macOS Catalina 10.15

השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2019-8853: ג'יאנג'ון דאי מ-Qihoo 360 Alpha Lab

CallKit

זמין עבור: macOS Catalina 10.15

השפעה: ייתכן ששיחות שבוצעו באמצעות Siri הופעלו על ידי תוכנית סלולרית לא נכונה במכשירים שבהם קיימות שתי תוכניות פעילות

תיאור: בעיית API שהייתה קיימת בטיפול בשיחות טלפון יוצאות שבוצעו באמצעות Siri. בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8856: פבריס טראנקל מ-TERRANCLE SARL

CFNetwork Proxies

זמין עבור: macOS Mojave 10.14.6,‏ macOS High Sierra 10.13.6,‏ macOS Catalina 10.15

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2019-8848: ‏ז'ואו ליאנג מצוות Vulcan ב-Qihoo 360

CFNetwork

זמין עבור: macOS Catalina 10.15

השפעה: תוקף במיקום מורשה ברשת עלול להצליח לעקוף את HSTS למספר מוגבל של דומיינים מסוימים ברמה עליונה שקודם לכן לא הופיעו ברשימת הטעינה מראש של HSTS

תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.

CVE-2019-8834: רוב סאייר (‎@sayrer)

CUPS

זמין עבור: macOS Mojave 10.14.6,‏ macOS High Sierra 10.13.6,‏ macOS Catalina 10.15

השפעה: בתצורות מסוימות, ייתכן שתוקף מרחוק יוכל לשלוח עבודות הדפסה שרירותיות

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2019-8842: ניקי1235 מ-China Mobile

CUPS

זמין עבור: macOS Mojave 10.14.6,‏ macOS High Sierra 10.13.6,‏ macOS Catalina 10.15

השפעה: תוקף במיקום מורשה עלול להצליח לבצע מתקפה של מניעת שירות

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2019-8839: סטפן זייסברג מ-Security Research Labs

FaceTime

זמין עבור: macOS Mojave 10.14.6,‏ macOS High Sierra 10.13.6,‏ macOS Catalina 10.15

השפעה: עיבוד סרטונים בעלי תוכן זדוני דרך FaceTime עלול להוביל להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2019-8830: נטאשנקה מ-Google Project Zero

IOGraphics

זמין עבור: macOS Mojave 10.14.6,‏ macOS High Sierra 10.13.6,‏ macOS Catalina 10.15

השפעה: Mac עלול שלא להינעל מיד לאחר התעוררות

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8851: ולאדיק חונונוב מ-DoiT International

ליבה

זמין עבור: macOS Mojave 10.14.6,‏ macOS High Sierra 10.13.6,‏ macOS Catalina 10.15

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה על-ידי הסרת הקוד הפגיע.

CVE-2019-8833:‏ איאן ביר מ-Google Project Zero

ליבה

זמין עבור: macOS High Sierra 10.13.6,‏ macOS Mojave 10.14.6,‏ macOS Catalina 10.15

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8828: קים סטורדל מ-Cognite

CVE-2019-8838: ד"ר סילביו צ'זרה מ-InfoSect

CVE-2019-8847:‏ Apple

CVE-2019-8852:‏ pattern-f ‏(@pattern_F_) מ-WaCai

libexpat

זמין עבור: macOS Mojave 10.14.6,‏ macOS High Sierra 10.13.6,‏ macOS Catalina 10.15

השפעה: ניתוח קובץ XML בעל מבנה זדוני עלול להוביל לחשיפת מידע משתמש

תיאור: בעיה זו טופלה באמצעות עדכון ל-expat בגרסה 2.2.8.

CVE-2019-15903: ג'ונאן ג'אנג

הערות

זמין עבור: macOS Catalina 10.15

השפעה: ייתכן שתוקף מרוחק יוכל למחוק קבצים קיימים

תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.

CVE-2020-9782: אליסון חוסיין מאוניברסיטת קליפורניה בברקלי

OpenLDAP

זמין עבור: macOS Mojave 10.14.6,‏ macOS High Sierra 10.13.6,‏ macOS Catalina 10.15

השפעה: מספר בעיות ב-OpenLDAP

תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 2.4.28 של OpenLDAP.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

אבטחה

זמין עבור: macOS High Sierra 10.13.6,‏ macOS Mojave 10.14.6,‏ macOS Catalina 10.15

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8832: אינסו יון מ-SSLab במכון הטכנולוגי של ג'ורג'יה

tcpdump

זמין עבור: macOS Mojave 10.14.6,‏ macOS High Sierra 10.13.6,‏ macOS Catalina 10.15

השפעה: מספר בעיות ב-tcpdump

תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 4.9.3 של tcpdump ולגרסה 1.9.1 של libpcap

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15166

CVE-2019-15167

Wi-Fi

זמין עבור: macOS Mojave 10.14.6, ‏macOS High Sierra 10.13.6

השפעה: ייתכן שתוקף בטווח Wi-Fi יוכל להציג כמות קטנה של תעבורת רשת

תיאור: בטיפול במעבר בין מצבים הייתה בעיה לוגית. בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2019-15126: מילוש צ'רמאק מ-ESET

תודות נוספות

חשבונות

ברצוננו להודות לאליסון חוסיין מאוניברסיטת קליפורניה בברקלי, לקישאן בגאריה (KishanBagaria.com) ולטום סנלינג מאוניברסיטת לאפבורו על הסיוע.

נתוני ליבה

ברצוננו להודות לנטאשנקה מ-Google Project Zero על הסיוע.

Finder

אנחנו מבקשים להודות לסאבה פיצל ‏(‎@theevilbit) על הסיוע.

ליבה

ברצוננו להודות לדניאל רותליסברגר מ-Swisscom CSIRT על הסיוע.