A macOS Catalina 10.15 biztonsági változásjegyzéke

Ez a dokumentum a macOS Catalina 10.15 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Catalina 10.15

Kiadási dátum: 2019. október 7.

AMD

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8748: Lilang Wu és Moony Li (TrendMicro Mobile Security Research Team)

apache_mod_php

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: A PHP több biztonsági rése.

Leírás: Több hibát elhárítottak a PHP 7.3.8-as verziójára való frissítéssel.

CVE-2019-11041

CVE-2019-11042

CoreAudio

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: Az ártó szándékkal létrehozott filmek feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8705: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Crash Reporter

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: A „Mac elemzés megosztása” beállítás időnként nem volt letiltható, amikor a felhasználó törölte a jelet a jelölőnégyzetből az analitikai adatok megosztásához.

Leírás: Versenyhelyzeti probléma állt fenn a felhasználói beállítások olvasásakor és írásakor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2019-8757: William Cerniuk (Core Development, LLC)

Intel grafikus illesztőprogram

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8758: Lilang Wu és Moony Li (Trend Micro)

IOGraphics

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2019-8755: Lilang Wu és Moony Li (Trend Micro)

Kernel

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8717: Jann Horn (Google Project Zero)

Kernel

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8781: Linus Henze (pinauten.de)

Megjegyzések

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: A helyi felhasználók meg tudták tekinteni egy másik felhasználó zárolt jegyzeteit.

Leírás: A zárolt jegyzetek tartalma néha megjelent a keresési találatok között. Hatékonyabb adattisztítással küszöböltük ki a problémát.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg; Virginia Polytechnic Institute and State University)

PDFKit

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: Előfordult, hogy a támadók ki tudtak szivárogtatni titkosított PDF-fájlokat.

Leírás: Hiba lépett fel a titkosított PDF-fájlokban található hivatkozások kezelésekor. Egy megerősítésre felszólító üzenet hozzáadásával küszöböltük ki a problémát.

CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) és Jörg Schwenk (Ruhr University Bochum)

SharedFileList

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni a legutóbbi dokumentumokhoz.

Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.

CVE-2019-8770: Stanislav Zinukhov (Parallels International GmbH)

sips

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) és pjf (IceSword Lab, Qihoo 360)

UIFoundation

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szövegfájlok feldolgozásakor tetszőleges kódvégrehajtásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2019-8745: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

WebKit

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor felfedhetők voltak a böngészési előzmények.

Leírás: Probléma lépett fel a weboldalelemek megrajzolásakor. Hatékonyabb logikával hárítottuk el a problémát.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)

Érintett terület: Előfordult, hogy a felhasználó nem tudta törölni a böngészési előzményeket.

Leírás: Az „Előzm. és webhelyadatok törlése” funkció nem törölte az előzményeket. Az adattörlés javításával küszöböltük ki a problémát.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

További köszönetnyilvánítás

Finder

Köszönjük Fitzl Csaba (@theevilbit) segítségét.

Gatekeeper

Köszönjük Fitzl Csaba (@theevilbit) segítségét.

Safari-adatimportálás

Köszönjük Kent Zoya segítségét.

Simple certificate enrollment protocol (SCEP)

Köszönjük egy anonim kutató segítségét.

Telefonálás

Köszönjük Phil Stokes (SentinelOne) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: