A macOS Catalina 10.15.1 biztonsági változásjegyzéke, a 2019-001-es biztonsági frissítés és a 2019-006-os biztonsági frissítés

Ez a dokumentum a macOS Catalina 10.15.1 biztonsági változásjegyzékét, a 2019-001-es biztonsági frissítését és a 2019-006-os biztonsági frissítését ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

macOS Catalina 10.15.1, a 2019-001-es biztonsági frissítés, a 2019-006-os biztonsági frissítés

Kiadási dátum: 2019. október 29.

Fiókok

A következőkhöz érhető el: macOS Catalina 10.15.

Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8787: Steffen Klee (Secure Mobile Networking Lab, Technische Universität Darmstadt)

App Store

A következőkhöz érhető el: macOS Catalina 10.15.

Érintett terület: A helyi támadók adott esetben érvényes hitelesítő adatok nélkül is be tudtak jelentkezni egy olyan felhasználó fiókjába, aki korábban bejelentkezett.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

A következőkhöz érhető el: macOS Catalina 10.15.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8716: Zhiyi Zhang (Codesafe Team, Legendsec, Qi'anxin Group), Zhuo Liang (Qihoo 360 Vulcan Team)

Társított tartományok

A következőkhöz érhető el: macOS Catalina 10.15.

Érintett terület: Előfordult, hogy az URL-ek nem megfelelő feldolgozásakor kódkiszivárgásra került sor.

Leírás: Fellépett egy hiba az URL-ek elemzésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2019-8788: Juha Lindstedt (Pakastin), Mirko Tanania, Rauli Rikama (Zero Keyboard Ltd)

Hang

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8706: Yu Zhou (Ant-financial Light-Year Security Lab)

Hang

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Catalina 10.15.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8785: Ian Beer (Google Project Zero)

CVE-2019-8797: 08Tc3wBB az SSD Secure Disclosure csapatával együttműködésben

Könyvek

A következőkhöz érhető el: macOS Catalina 10.15.

Érintett terület: Az ártó szándékkal létrehozott iBooks-fájlok elemzésekor felfedhetők voltak a felhasználói adatok.

Leírás: Érvényesítési hiba lépett fel a szimbolikus hivatkozások kezelésekor. A szimbolikus hivatkozások hatékonyabb hitelesítésével hárítottuk el a problémát.

CVE-2019-8789: Gertjan Franken (imec-DistriNet), KU Leuven

Kontaktok

A következőkhöz érhető el: macOS Catalina 10.15.

Érintett terület: Az ártó szándékkal létrehozott kontaktok feldolgozásakor lehetőség nyílt a felhasználói felület meghamisítására.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH; to.com)

CoreAudio

A következőkhöz érhető el: macOS Mojave 10.14.6, macOS High Sierra 10.13.6.

Érintett terület: Előfordult, hogy egy rosszindulatú hangfájl lejátszásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8592: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva 2019. november 6-án.

CUPS

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2019-8736: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)

CUPS

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2019-8767: Stephen Zeisberg

CUPS

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2019-8737: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)

Fájlkarantén

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.

CVE-2019-8509: CodeColorist (Ant-Financial LightYear Labs)

Fájlrendszeri események

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Catalina 10.15.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8798: ABC Research s.r.o., a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Grafika

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: A rosszindulatú árnyékolók feldolgozásakor időnként váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2018-12152: Piotr Bania (Cisco Talos)

CVE-2018-12153: Piotr Bania (Cisco Talos)

CVE-2018-12154: Piotr Bania (Cisco Talos)

Grafikus illesztőprogram

A következőkhöz érhető el: macOS Catalina 10.15.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8784: Vasiliy Vasilyev és Ilya Finogeev (Webinar, LLC)

Intel grafikus illesztőprogram

A következőkhöz érhető el: macOS Catalina 10.15.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8807: Yu Wang (Didi Research America)

IOGraphics

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határérték-olvasási hibát.

CVE-2019-8759: another (360 Nirvan Team)

iTunes

A következőkhöz érhető el: macOS Catalina 10.15.

Érintett terület: Előfordult, hogy tetszőleges programkód végrehajtására került sor, ha a felhasználó egy nem megbízhatónak jelölt könyvtárban futtatta az iTunes-telepítőt.

Leírás: Egy dinamikus könyvtárbetöltéssel kapcsolatos hiba lépett fel az iTunes beállításakor. Hatékonyabb útvonalkereséssel hárították el a problémát.

CVE-2019-8801: Hou JingYi (@hjy79425575, Qihoo 360 CERT)

Kernel

A következőkhöz érhető el: macOS Catalina 10.15.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2019-8794: 08Tc3wBB az SSD Secure Disclosure csapatával együttműködésben

Kernel

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8786: anonim kutató

Kernel

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.

Leírás: Memóriasérülési probléma lépett fel az IPv6-csomagok kezelésekor. Hatékonyabb memóriakezeléssel küszöböltük ki a problémát.

CVE-2019-8744: Zhuo Liang (Qihoo 360 Vulcan Team)

Kernel

A következőkhöz érhető el: macOS Catalina 10.15.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2019-8829: Jann Horn (Google Project Zero)

Bejegyzés hozzáadva 2019. november 6-án.

libxml2

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: A libxml2 több biztonsági rése.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2019-8749: megtaláló: OSS-Fuzz

CVE-2019-8756: megtaláló: OSS-Fuzz

libxslt

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: Az libxslt több biztonsági rése.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2019-8750: megtaláló: OSS-Fuzz

manpages

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Catalina 10.15.

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.

CVE-2019-8802: Fitzl Csaba (@theevilbit)

PluginKit

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: Előfordult, hogy a helyi felhasználók ellenőrizni tudták, hogy léteznek-e tetszőleges fájlok.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2019-8708: anonim kutató

PluginKit

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8715: anonim kutató

Rendszerbővítmények

A következőkhöz érhető el: macOS Catalina 10.15.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Érvényesítési hiba lépett fel a jogosultsági ellenőrzések során. A folyamatjogosultság hatékonyabb ellenőrzésével hárítottuk el a problémát.

CVE-2019-8805: Scott Knight (@sdotknight, VMware Carbon Black TAU)

UIFoundation

A következőkhöz érhető el: macOS High Sierra 10.13.6, macOS Mojave 10.14.6.

Érintett terület: Az ártó szándékkal létrehozott szövegfájlok elemzésekor felfedhetők voltak a felhasználói adatok.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2019-8761: Renee Trisberg (SpectX)

További köszönetnyilvánítás

CFNetwork

Köszönjük Lily Chen (Google) segítségét.

Kernel

Köszönjük Brandon Azad (Google Project Zero), Daniel Roethlisberger (Swisscom CSIRT), Jann Horn (Google Project Zero) segítségét.

Bejegyzés frissítve 2019. november 6-án.

libresolv

Köszönjük enh (Google) segítségét.

Postfix

Köszönjük Chris Barker (Puppet) segítségét.

python

Köszönjük egy anonim kutató segítségét.

VPN

Köszönjük Royce Gawron (Second Son Consulting, Inc.) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: