Mengenai konten keamanan macOS Catalina 10.15.2, Pembaruan Keamanan 2019-002 Mojave, Pembaruan Keamanan 2019-007 High Sierra
Dokumen ini menjelaskan konten keamanan macOS Catalina 10.15.2, Pembaruan Keamanan 2019-002 Mojave, dan Pembaruan Keamanan 2019-007 High Sierra.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
macOS Catalina 10.15.2, Pembaruan Keamanan 2019-002 Mojave, Pembaruan Keamanan 2019-007 High Sierra
ATS
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dampak: Aplikasi berbahaya mungkin dapat mengakses file yang dibatasi
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2019-8837: Csaba Fitzl (@theevilbit)
Bluetooth
Tersedia untuk: macOS Catalina 10.15
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.
CVE-2019-8853: Jianjun Dai dari Qihoo 360 Alpha Lab
CallKit
Tersedia untuk: macOS Catalina 10.15
Dampak: Panggilan yang dilakukan menggunakan Siri dapat dimulai menggunakan paket seluler yang salah pada perangkat yang memiliki dua paket aktif
Deskripsi: Masalah API muncul saat menangani panggilan telepon keluar yang dimulai dengan Siri. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2019-8856: Fabrice TERRANCLE dari TERRANCLE SARL
Proxy CFNetwork
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2019-8848: Zhuo Liang dari Qihoo 360 Vulcan Team
CFNetwork
Tersedia untuk: macOS Catalina 10.15
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat memintas HSTS untuk sejumlah domain tingkat atas tertentu yang sebelumnya tidak tercantum dalam daftar preload HSTS
Deskripsi: Masalah konfigurasi telah diatasi dengan pembatasan tambahan.
CVE-2019-8834: Rob Sayre (@sayrer)
CUPS
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dampak: Pada konfigurasi tertentu, penyerang jarak jauh mungkin dapat mengirimkan tugas cetak secara arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2019-8842: Niky1235 dari China Mobile
CUPS
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dampak: Penyerang dalam posisi dengan hak istimewa mungkin dapat melakukan penolakan serangan layanan
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2019-8839: Stephan Zeisberg dari Security Research Labs
FaceTime
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dampak: Memproses video berbahaya melalui FaceTime dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2019-8830: natashenka dari Google Project Zero
IOGraphics
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dampak: Mac tidak segera terkunci setelah bangun
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2019-8851: Vladik Khononov dari DoiT International
Kernel
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan menghapus kode yang rentan.
CVE-2019-8833: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2019-8828: Cim Stordal dari Cognite
CVE-2019-8838: Dr. Silvio Cesare dari InfoSect
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) dari WaCai
libexpat
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dampak: Menguraikan file XML perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Masalah ini telah diatasi dengan memperbarui ke expat versi 2.2.8.
CVE-2019-15903: Joonun Jang
Catatan
Tersedia untuk: macOS Catalina 10.15
Dampak: Penyerang jarak jauh mungkin dapat menimpa file yang ada
Deskripsi: Masalah penguraian saat menangani jalur direktori telah diatasi dengan validasi jalur yang ditingkatkan.
CVE-2020-9782: Allison Husain dari UC Berkeley
OpenLDAP
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dampak: Beberapa masalah di OpenLDAP
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke OpenLDAP versi 2.4.28.
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
Keamanan
Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2019-8832: Insu Yun dari SSLab di Georgia Tech
tcpdump
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dampak: Beberapa masalah di tcpdump
Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke tcpdump versi 4.9.3 dan libpcap versi 1.9.1
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
Wi-Fi
Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dampak: Penyerang dalam jangkauan Wi-Fi mungkin dapat melihat sejumlah kecil lalu lintas jaringan
Deskripsi: Masalah logika muncul saat menangani transisi kondisi. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2019-15126: Milos Cermak di ESET
Penghargaan tambahan
Akun
Kami ingin mengucapkan terima kasih kepada Allison Husain dari UC Berkeley, Kishan Bagaria (KishanBagaria.com), dan Tom Snelling dari Loughborough University atas bantuan mereka.
Data Inti
Kami ingin mengucapkan terima kasih kepada natashenka dari Google Project Zero atas bantuannya.
Finder
Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) atas bantuannya.
Kernel
Kami ingin mengucapkan terima kasih kepada Daniel Roethlisberger dari Swisscom CSIRT atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.