A macOS Catalina 10.15.1, a 2019-001-es biztonsági frissítés és a 2019-006-os biztonsági frissítés biztonsági változásjegyzéke
Ez a dokumentum a macOS Catalina 10.15.1, a 2019-001-es biztonsági frissítés és a 2019-006-os biztonsági frissítés biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Catalina 10.15.1, a 2019-001-es biztonsági frissítés, a 2019-006-os biztonsági frissítés
Accounts
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.
Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2019-8787: Steffen Klee (Secure Mobile Networking Lab, Technische Universität Darmstadt)
Accounts
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.
Érintett terület: A rendszer váratlanul elfogadhatta az AirDrop-átviteleket Mindenki módban.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2019-8796: Allison Husain (UC Berkeley)
AirDrop
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: A rendszer váratlanul elfogadhatta az AirDrop-átviteleket Mindenki módban.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2019-8796: Allison Husain (UC Berkeley)
AMD
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8748: Lilang Wu és Moony Li (Trend Micro Mobile Security Research Team)
apache_mod_php
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.
Érintett terület: A PHP több biztonsági rése.
Leírás: Több hibát elhárítottunk a PHP 7.3.8-as verziójára való frissítéssel.
CVE-2019-11041
CVE-2019-11042
APFS
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8824: Mac, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
App Store
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: A helyi támadók adott esetben érvényes hitelesítő adatok nélkül is be tudtak jelentkezni egy olyan felhasználó fiókjába, aki korábban bejelentkezett.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleGraphicsControl
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2019-8817: Arash Tohidi
AppleGraphicsControl
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8716: Zhiyi Zhang (Codesafe Team, Legendsec, Qi'anxin Group), Zhuo Liang (Qihoo 360 Vulcan Team)
Associated Domains
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: Előfordult, hogy adatszivárgásra került sor az URL-ek nem megfelelő feldolgozása miatt.
Leírás: Hiba lépett fel az URL-ek elemzésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2019-8788: Juha Lindstedt (Pakastin), Mirko Tanania, Rauli Rikama (Zero Keyboard Ltd)
Audio
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8706: Yu Zhou (Ant-Financial Light-Year Security Lab)
Audio
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8785: Ian Beer (Google Project Zero)
CVE-2019-8797: 08Tc3wBB az SSD Secure Disclosure csapatával együttműködésben
Audio
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2019-8850: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Books
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: Az ártó szándékkal létrehozott iBooks-fájlok elemzésekor felfedhetők voltak a felhasználói adatok.
Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.
CVE-2019-8789: Gertjan Franken (imec-DistriNet), KU Leuven
Contacts
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: Az ártó szándékkal létrehozott kontaktok feldolgozásakor lehetőség nyílt a felhasználói felület meghamisítására.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.
CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH; to.com)
CoreAudio
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.
Érintett terület: Egy rosszindulatú hangfájl lejátszása tetszőleges programkód végrehajtására adott lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8592: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CoreAudio
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.
Érintett terület: Az ártó szándékkal létrehozott filmek feldolgozása lehetőséget adott a folyamatmemóriához való illetéktelen hozzáférésre.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8705: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CoreMedia
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8825: megtaláló: GWP-ASan a Google Chrome-ban
CUPS
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.
Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2019-8736: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)
CUPS
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
CVE-2019-8767: Stephen Zeisberg
CUPS
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.
Érintett terület: A magas jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2019-8737: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)
File Quarantine
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.
Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.
Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.
CVE-2019-8509: CodeColorist (Ant-Financial Light-Year Labs)
File System Events
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Catalina 10.15.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8798: ABC Research s.r.o., a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Foundation
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.
Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2019-8746: natashenka és Samuel Groß (Google Project Zero)
Graphics
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.
Érintett terület: A rosszindulatú shaderek feldolgozásakor időnként váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.
CVE-2018-12152: Piotr Bania (Cisco Talos)
CVE-2018-12153: Piotr Bania (Cisco Talos)
CVE-2018-12154: Piotr Bania (Cisco Talos)
Graphics Driver
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8784: Vasiliy Vasilyev és Ilya Finogeev (Webinar, LLC)
Intel Graphics Driver
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8807: Yu Wang (Didi Research America)
IOGraphics
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.
Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2019-8759: another (360 Nirvan Team)
iTunes
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: Tetszőleges programkód végrehajtására nyílt lehetőség, ha a felhasználó egy nem megbízhatónak jelölt könyvtárban futtatta az iTunes-telepítőt.
Leírás: Egy dinamikus függvénytárak betöltésével kapcsolatos probléma állt fenn az iTunes-telepítőben. Hatékonyabb útvonalkereséssel hárítottuk el a problémát.
CVE-2019-8801: Hou JingYi (@hjy79425575, Qihoo 360 CERT)
Kernel
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Kernel
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.
CVE-2019-8794: 08Tc3wBB az SSD Secure Disclosure csapatával együttműködésben
Kernel
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8717: Jann Horn (Google Project Zero)
CVE-2019-8786: Wen Xu (Georgia Tech, Microsoft Offensive Security Research Intern)
Kernel
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.
Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.
Leírás: Memóriasérülési probléma lépett fel az IPv6-csomagok kezelésekor. Hatékonyabb memóriakezeléssel küszöböltük ki a problémát.
CVE-2019-8744: Zhuo Liang (Qihoo 360 Vulcan Team)
Kernel
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.
CVE-2019-8829: Jann Horn (Google Project Zero)
libxml2
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.
Érintett terület: A libxml2 motorral kapcsolatos többféle probléma.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.
CVE-2019-8749: megtaláló: OSS-Fuzz
CVE-2019-8756: megtaláló: OSS-Fuzz
libxslt
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.
Érintett terület: A libxslt motorral kapcsolatos többféle probléma.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.
CVE-2019-8750: megtaláló: OSS-Fuzz
manpages
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Catalina 10.15.
Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.
CVE-2019-8802: Fitzl Csaba (@theevilbit)
PDFKit
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.
Érintett terület: Előfordult, hogy támadók ki tudták vonni titkosított PDF-fájlok tartalmát.
Leírás: Hibás volt a titkosított PDF-fájlokban található hivatkozások kezelése. Egy megerősítésre felszólító üzenet hozzáadásával küszöböltük ki a problémát.
CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) és Jörg Schwenk (Ruhr University Bochum)
PluginKit
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.
Érintett terület: Előfordult, hogy a helyi felhasználók ellenőrizni tudták, hogy léteznek-e tetszőleges fájlok.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2019-8708: anonim kutató
PluginKit
A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8715: anonim kutató
Screen Sharing Server
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: Előfordult, hogy a képernyőt megosztó felhasználó nem tudta befejezni a képernyőmegosztást.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2019-8858: Saul van der Bijl (Saul’s Place Counseling B.V.)
System Extensions
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Érvényesítési hiba lépett fel a jogosultsági ellenőrzések során. A folyamatjogosultság hatékonyabb ellenőrzésével hárítottuk el a problémát.
CVE-2019-8805: Scott Knight (@sdotknight, VMware Carbon Black TAU)
UIFoundation
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: Előfordult, hogy a rosszindulatú HTML-dokumentumok felfedtek bizalmas jellegű felhasználói információkat tartalmazó iframe-kereteket.
Leírás: Eltérő eredetű adatokat érintő probléma állt fenn az iframe-elemek esetén. A biztonsági eredetek hatékonyabb nyomon követésével hárítottuk el a hibát.
CVE-2019-8754: Renee Trisberg (SpectX)
UIFoundation
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.
Érintett terület: Az ártó szándékkal létrehozott szövegfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2019-8745: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
UIFoundation
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8831: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
UIFoundation
A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.
Érintett terület: Az ártó szándékkal létrehozott szövegfájlok elemzésekor felfedhetők voltak a felhasználói adatok.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2019-8761: Renee Trisberg (SpectX)
Wi-Fi
A következőkhöz érhető el: macOS Catalina 10.15.
Érintett terület: A Wi-Fi-hatókörön belül tartózkodó támadók meg tudták tekinteni a hálózati forgalom egy kis hányadát.
Leírás: Logikai probléma lépett fel az állapotváltások kezelésekor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2019-15126: Milos Cermak (ESET)
További köszönetnyilvánítás
CFNetwork
Köszönjük Lily Chen (Google) segítségét.
Find My
Köszönjük Amr Elseehy segítségét.
Kernel
Köszönjük Brandon Azad (Google Project Zero), Daniel Roethlisberger (Swisscom CSIRT) és Jann Horn (Google Project Zero) segítségét.
libresolv
Köszönjük enh (Google) segítségét.
Local Authentication
Köszönjük Ryan Lopopolo segítségét.
mDNSResponder
Köszönjük Gregor Lang (e.solutions GmbH) segítségét.
Postfix
Köszönjük Chris Barker (Puppet) segítségét.
python
Köszönjük egy anonim kutató segítségét.
VPN
Köszönjük Royce Gawron (Second Son Consulting, Inc.) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.