A macOS Mojave 10.14.5 biztonsági változásjegyzéke, a High Sierra 2019-003-as biztonsági frissítése, a Sierra 2019-003-as biztonsági frissítése

Ez a dokumentum a macOS Mojave 10.14.5 biztonsági változásjegyzékét, a High Sierra 2019-003-as biztonsági frissítését és a Sierra 2019-003-as biztonsági frissítését ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Mojave 10.14.5, a High Sierra 2019-003-as biztonsági frissítése, a Sierra 2019-003-as biztonsági frissítése

Kiadási dátum: 2019. május 13.

Accessibility Framework

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2019-8603: Phoenhex and qwerty (@_niklasb, @qwertyoruiopz, @bkth_), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

AMD

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8635: Lilang Wu és Moony Li (TrendMicro Mobile Security Research Team), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Alkalmazástűzfal

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2019-8590: National Cyber Security Centre (NCSC, Egyesült Királyság)

Archiváló segédprogram

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2019-8640: Ash Fox (Fitbit Product Security)

Bejegyzés hozzáadva: 2019. augusztus 1.

Bluetooth

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: A FIDO Biztonsági kulcsok Energiatakarékos Bluetooth (BLE)-verzióinak Bluetooth-párosítási protokolljai helytelen konfigurációval rendelkeztek, és így a fizikai közelségben tartózkodó támadók a párosítás során hozzáférhettek a Bluetooth-forgalomhoz

Leírás: A bizonytalan Bluetooth-kapcsolattal rendelkező kiegészítők letiltásával hárítottuk el a problémát. A Google Titan Biztonsági kulcsának Energiatakarékos Bluetooth (BLE) verzióját használó felhasználóknak javasoljuk, hogy a szükséges lépések megtétele érdekében tekintsék át az Android June Bulletins biztonsági közleményét és a Google tanácsait.

CVE-2019-2102: Matt Beaver és Erik Peterson (Microsoft Corp.)

Bejegyzés hozzáadva: 2019. szeptember 17.

CoreAudio

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8592: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés frissítve: 2019. szeptember 17.

CoreAudio

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott filmfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8585: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CoreText

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határérték-olvasási hibát.

CVE-2019-8582: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2019. július 25.

DesktopServices

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni a Gatekeeper ellenőrzéseit.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2019-8589: Andreas Clementi, Stefan Haselwanter és Peter Stelzhammer (AV-Comparatives)

Lemezképek

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2019-8560: Nikita Pupyshev (Bauman Moscow State Technological University)

Bejegyzés frissítve: 2019. május 14.

EFI

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: Előfordult, hogy a rendszer váratlanul beléptette a felhasználót egy másik felhasználó fiókjába.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2019-8634: Jenny Sprenger és Maik Hoepfel

Intel grafikus illesztőprogram

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8616: Lilang Wu és Moony Li (Trend Micro Mobile Security Research Team), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Intel grafikus illesztőprogram

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.4.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2019-8629: Arash Tohidi (Solita Oy)

IOAcceleratorFamily

A következőhöz érhető el: macOS High Sierra 10.13.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4456: Tyler Bohan (Cisco Talos)

IOKit

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.4.

Érintett terület: A helyi felhasználók be tudtak tölteni aláíratlan kernelbővítményeket.

Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2019-8606: Phoenhex and qwerty (@_niklasb, @qwertyoruiopz, @bkth_), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Kernel

A következőkhöz érhető el: macOS Mojave 10.14.4 és macOS High Sierra 10.13.6.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2019-8633: Zhuo Liang (Qihoo 360 Vulcan Team)

Bejegyzés hozzáadva 2019. július 25.; frissítve 2019. szeptember 17.

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8525: Zhuo Liang és shrek_wzw (Qihoo 360 Nirvan Team)

Bejegyzés hozzáadva: 2019. május 14.

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.

Leírás: Egy határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2019-8547: derrek (@derrekr6)

Bejegyzés hozzáadva: 2019. május 14.

Kernel

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határérték-olvasási hibát.

CVE-2019-8576: Brandon Azad (Google Project Zero), Junho Jang és Hanul Choi (LINE Security Team)

Bejegyzés frissítve: 2019. május 30.

Kernel

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4.

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2019-8591: Ned Williamson, a Google Project Zero közreműködőjeként

Üzenetek

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2019-8573: Natalie Silvanovich (Google Project Zero)

Bejegyzés hozzáadva: 2019. július 3.

Üzenetek

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: Az iMessage-beszélgetések felhasználói továbbra is meg tudták változtatni az állapotot.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8631: Jamie Bishop (Dynastic)

Bejegyzés hozzáadva: 2019. augusztus 1.

Microcode

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: A spekulatív végrehajtást alkalmazó mikroprocesszorokkal felszerelt rendszerekben a betöltő portok, a feltöltő pufferek és a tároló pufferek időnként lehetővé tettek oldalcsatornán keresztüli adatközzétételt a helyi felhasználói hozzáféréssel rendelkező támadóknak.

Leírás: Több adatközzétételi probléma hárult el részben a mikrokód frissítésével és az operációsrendszer-időzítő olyan módon történő módosításával, hogy a rendszer elkülönüljön a böngészőben futó webes tartalmaktól. A problémák hiánytalan elhárításához további opcionális biztonsági megoldások állnak rendelkezésre, amelyekkel alapértelmezés szerint letiltható a hyper-threading, és engedélyezhetők a mikrokódalapú biztonsági megoldások valamennyi folyamat esetén. A biztonsági megoldásokkal kapcsolatos részletes információk a következő oldalon találhatók: https://support.apple.com/hu-hu/HT210107.

CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu és Rodrigo Branco (Intel), Lei Shi (Qihoo 360 CERT), Marina Minkin; Daniel Genkin (University of Michigan) és Yuval Yarom (University of Adelaide)

CVE-2018-12127: Brandon Falk (Microsoft Windows Platform Security Team), valamint Ke Sun, Henrique Kawakami, Kekai Hu és Rodrigo Branco (Intel)

CVE-2018-12130: Giorgi Maisuradze (Microsoft Research); Ke Sun, Henrique Kawakami, Kekai Hu és Rodrigo Branco (Intel); Moritz Lipp, Michael Schwarz és Daniel Gruss (Graz University of Technology); Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos és Cristiano Giuffrida (VUSec csoport, VU Amsterdam); Volodymyr Pikhur; Dan Horea Lutas (BitDefender)

CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu és Rodrigo Branco (Intel); Moritz Lipp, Michael Schwarz, és Daniel Gruss (Graz University of Technology)

Bejegyzés hozzáadva: 2019. május 14.

Biztonság

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8604: Fluoroacetate, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

SQLite

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2019-8577: Omer Gull (Checkpoint Research)

SQLite

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: Az ártó szándékkal létrehozott SQL-lekérdezések tetszőleges programkód végrehajtására adtak lehetőséget.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8600: Omer Gull (Checkpoint Research)

SQLite

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: A rosszindulatú alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2019-8598: Omer Gull (Checkpoint Research)

SQLite

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.

CVE-2019-8602: Omer Gull (Checkpoint Research)

StreamingZip

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: A helyi felhasználók módosítani tudták a fájlrendszer védett részeit.

Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

sysdiagnose

A következőkhöz érhető el: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8574: Dayton Pidhirney (@_watbulb; Seekintoo, @seekintoo)

Támogatás a Touch Barhoz

A következőkhöz érhető el: macOS Sierra 10.12.6 és macOS High Sierra 10.13.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8569: Viktor Oreshkin (@stek29)

WebKit

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2019-6237: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként, Liu Long (Qihoo 360 Vulcan Team)

CVE-2019-8571: 01, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8583: sakura (Tencent Xuanwu Lab), jessica (@babyjess1ca_; Tencent Keen Lab) és dwfault, a Venustech ADLab közreműködőjeként

CVE-2019-8584: G. Geshev (MWR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8586: anonim kutató

CVE-2019-8587: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8594: Suyoung Lee és Sooel Son (KAIST Web Security & Privacy Lab), valamint HyungSeok Han és Sang Kil Cha (KAIST SoftSec Lab)

CVE-2019-8595: G. Geshev (MWR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8596: Wen Xu (SSLab, Georgia Tech)

CVE-2019-8597: 01, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8601: Fluoroacetate, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8608: G. Geshev, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8609: Wen Xu (SSLab, Georgia Tech)

CVE-2019-8610: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8611: Samuel Groß (Google Project Zero)

CVE-2019-8615: G. Geshev (MWR Labs), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2019-8619: Wen Xu (SSLab, Georgia Tech) és Hanqing Zhao (Chaitin Security Research Lab)

CVE-2019-8622: Samuel Groß (Google Project Zero)

CVE-2019-8623: Samuel Groß (Google Project Zero)

CVE-2019-8628: Wen Xu (SSLab, Georgia Tech) és Hanqing Zhao (Chaitin Security Research Lab)

WebKit

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8607: Junho Jang és Hanul Choi (LINE Security Team)

Wi-Fi

A következőhöz érhető el: macOS Mojave 10.14.4.

Érintett terület: A magas hálózati jogosultságú támadók módosítani tudták a meghajtóállapotot.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8612: Milan Stute (Secure Mobile Networking Lab, Technische Universität Darmstadt)

Bejegyzés hozzáadva: 2019. május 14.

További köszönetnyilvánítás

CoreAudio

Köszönjük riusksk (VulWar Corp, a Trend Micro Zero Day Initiative kezdeményezésének közreműködője) segítségét.

Bejegyzés hozzáadva: 2019. július 25.

CoreFoundation

Köszönjük m4bln, Xiangqian Zhang, Huiming Liu (Tencent; Xuanwu Lab), Vozzie és Rami segítségét.

Bejegyzés frissítve: 2019. május 14.

Kernel

Köszönjük Denis Kopyrin segítségét.

Bejegyzés frissítve: 2019. május 14.

PackageKit

Köszönjük Fitzl Csaba (@theevilbit) segítségét.

Safari

Köszönjük Michael Ball (Gradescope by Turnitin) segítségét.

Rendszerbeállítások

Köszönjük egy anonim kutató segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: