Mengenai konten keamanan macOS Mojave 10.14.4, Pembaruan Keamanan 2019-002 High Sierra, Pembaruan Keamanan 2019-002 Sierra
Dokumen ini menjelaskan konten keamanan macOS Mojave 10.14.4, Pembaruan Keamanan 2019-002 High Sierra, Pembaruan Keamanan 2019-002 Sierra.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
macOS Mojave 10.14.4, Pembaruan Keamanan 2019-002 High Sierra, Pembaruan Keamanan 2019-002 Sierra
802.1X
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat mencegat lalu lintas jaringan
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2019-6203: Dominic White dari SensePost (@singe)
802.1X
Tersedia untuk: macOS High Sierra 10.13.6
Dampak: Sertifikat server radius yang tidak tepercaya mungkin akan dipercayai
Deskripsi: Masalah validasi muncul dalam Manajemen Trust Anchor. Masalah ini telah diatasi dengan validasi yang ditingkatkan.
CVE-2019-8531: peneliti anonim, tim QA dari SecureW2
Akun
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Memproses file vcf perusak berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi yang ditingkatkan.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
APFS
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah logika muncul sehingga menyebabkan kerusakan memori. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.
CVE-2019-8534: Mac bekerja sama dengan Zero Day Initiative dari Trend Micro
AppleGraphicsControl
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kelebihan buffer telah diatasi dengan meningkatkan validasi ukuran.
CVE-2019-8555: Zhiyi Zhang dari 360 ESG Codesafe Team, Zhuo Liang dan shrek_wzw dari Qihoo 360 Nirvan Team
Bom
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya dapat melewati pemeriksaan Gatekeeper
Deskripsi: Masalah ini telah diatasi dengan penanganan metadata file yang ditingkatkan.
CVE-2019-6239: Ian Moorhouse dan Michael Trimm
CFString
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Memproses string perusak berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah validasi telah diatasi dengan logika yang ditingkatkan.
CVE-2019-8516: Tim SWIPS dari Frifee Inc.
configd
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Contacts
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2019-8511: peneliti anonim
CoreCrypto
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2019-8542: peneliti anonim
DiskArbitration
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Volume terenkripsi mungkin dapat dilepas dan dipasang kembali oleh pengguna yang berbeda tanpa meminta kata sandi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2019-8522: Colin Meginnis (@falc420)
FaceTime
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Video pengguna tidak dapat dijeda pada saat panggilan FaceTime berlangsung jika mereka keluar dari app FaceTime sewaktu panggilan berdering
Deskripsi: Masalah yang terjadi saat menjeda video FaceTime. Masalah tersebut telah diatasi dengan logika yang ditingkatkan.
CVE-2019-8550: Lauren Guzniczak dari Keystone Academy
FaceTime
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Penyerang lokal mungkin dapat melihat kontak dari layar terkunci
Deskripsi: Masalah layar terkunci yang mengizinkan akses ke kontak pada perangkat yang terkunci. Masalah ini telah diatasi dengan pengelolaan kondisi yang lebih baik.
CVE-2019-8777: Abdullah H. AlJaber (@aljaber) dari AJ.SA
Asisten Umpan Balik
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar
Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.
CVE-2019-8565: CodeColorist dari Ant-Financial LightYear Labs
Asisten Umpan Balik
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya dapat menimpa file arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2019-8521: CodeColorist dari Ant-Financial LightYear Labs
file
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Memproses file perusak yang berbahaya dapat mengungkapkan informasi pengguna
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2019-8906: Francisco Alonso
Driver Grafis
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) dan Junzhi Lu dari Trend Micro Research bekerja sama dengan Zero Day Initiative dari Trend Micro, Lilang Wu dan Moony Li dari Trend Micro
iAP
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2019-8542: peneliti anonim
IOGraphics
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Mac mungkin tidak mengunci saat melepas sambungan dari monitor eksternal
Deskripsi: Masalah penanganan kunci telah diatasi dengan penanganan kunci yang ditingkatkan.
CVE-2019-8533: peneliti anonim, James Eagan dari Télécom ParisTech, R. Scott Kemp dari MIT, dan Romke van Dijk dari Z-CERT
IOHIDFamily
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Pengguna lokal dapat mengakibatkan sistem terhenti tiba-tiba atau membaca memori kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2019-8545: Adam Donenfeld (@doadam) dari Zimperium zLabs Team
IOKit
Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Pengguna lokal dapat membaca memori kernel
Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2019-8504: peneliti anonim
IOKit SCSI
Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2019-8529: Juwei Lin (@panicaII) dari Trend Micro Research bekerja sama dengan Zero Day Initiative dari Trend Micro
Kernel
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dampak: Pengguna lokal dapat membaca memori kernel
Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2018-4448: Brandon Azad
Kernel
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Penyerang jarak jauh dapat mengubah data lalu lintas jaringan
Deskripsi: Masalah kerusakan memori terjadi saat menangani paket IPv6. Masalah ini telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2019-5608: Apple
Kernel
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak
Deskripsi: Kelebihan buffer telah diatasi dengan meningkatkan validasi ukuran.
CVE-2019-8527: Ned Williamson dari Google dan derrek (@derrekr6)
Kernel
Tersedia untuk: macOS Mojave 10.14.3, macOS High Sierra 10.13.6
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) dari Qihoo 360 Vulcan Team
Kernel
Tersedia untuk: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Dampak: Memasang pembagian jaringan NFS yang dibuat berbahaya dapat mengakibatkan eksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2019-8508: Dr. Silvio Cesare dari InfoSect
Kernel
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2019-8514: Samuel Groß dari Google Project Zero
Kernel
Tersedia untuk: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel
Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2019-8540: Weibo Wang (@ma1fan) dari Qihoo 360 Nirvan Team
Kernel
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Pengguna lokal dapat membaca memori kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2019-7293: Ned Williamson dari Google
Kernel
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel
Deskripsi: Terjadi masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah ini telah diatasi dengan validasi input yang ditingkatkan.
CVE-2019-6207: Weibo Wang dari Qihoo 360 Nirvan Team (@ma1fan)
CVE-2019-8510: Stefan Esser dari Antid0te UG
Kernel
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Penyerang jarak jauh dapat membocorkan memori
Deskripsi: Terjadi masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah ini telah diatasi dengan validasi input yang ditingkatkan.
CVE-2019-8547: derrek (@derrekr6)
Kernel
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2019-8525: Zhuo Liang dan shrek_wzw dari Qihoo 360 Nirvan Team
libmalloc
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dampak: Aplikasi berbahaya mungkin dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah konfigurasi telah diatasi dengan pembatasan tambahan.
CVE-2018-4433: Vitaly Cheptsov
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Memproses pesan email perusak yang berbahaya dapat mengakibatkan pemalsuan tanda tangan S/MIME
Deskripsi: Masalah muncul saat menangani sertifikat S-MIME. Masalah ini telah diatasi dengan validasi nomor sertifikat S-MIME yang ditingkatkan.
CVE-2019-8642: Maya Sigal dan Volker Roth dari Freie Universität Berlin
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Penyerang di posisi jaringan hak istimewa dapat menghalangi konten email yang dienkripsi S/MIME
Deskripsi: Masalah muncul saat menangani Mail yang dienkripsi. Masalah ini telah diatasi dengan pemisahan MIME di Mail yang ditingkatkan.
CVE-2019-8645: Maya Sigal dan Volker Roth dari Freie Universität Berlin
Pesan
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.
CVE-2019-8546: ChiYuan Chang
Modem CCL
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah validasi input diatasi dengan penanganan memori yang ditingkatkan.
CVE-2019-8579: peneliti anonim
Catatan
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Pengguna lokal mungkin dapat melihat catatan terkunci pengguna
Deskripsi: Masalah akses telah diatasi dengan manajemen memori yang ditingkatkan.
CVE-2019-8537: Greg Walker (gregwalker.us)
PackageKit
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2019-8561: Jaron Bradley dari Crowdstrike
Perl
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Beberapa masalah di Perl
Deskripsi: Beberapa masalah di Perl telah diatasi di pembaruan ini.
CVE-2018-12015: Jakub Wilk
CVE-2018-18311: Jayakrishna Menon
CVE-2018-18313: Eiichi Tsukata
Manajemen Daya
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Beberapa masalah validasi input muncul dalam kode yang dihasilkan MIG. Masalah tersebut telah diatasi dengan validasi yang ditingkatkan.
CVE-2019-8549: Mohamed Ghannam (@_simo36) dari SSD Secure Disclosure (ssd-disclosure.com)
QuartzCore
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Memproses data yang berbahaya dapat mengakibatkan aplikasi berhenti secara tiba-tiba
Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
CVE-2019-8507: Kai Lu dari Fortinet's FortiGuard Labs
Sandbox
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2019-8618: Brandon Azad
Keamanan
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2019-8526: Linus Henze (pinauten.de)
Keamanan
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya mungkin dapat membaca memori yang dibatasi
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2019-8520: Antonio Groza, Pusat Keamanan Siber Nasional Inggris (NCSC)
Keamanan
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Sertifikat server radius yang tidak tepercaya mungkin akan dipercayai
Deskripsi: Masalah validasi muncul dalam Manajemen Trust Anchor. Masalah ini telah diatasi dengan validasi yang ditingkatkan.
CVE-2019-8531: peneliti anonim, tim QA dari SecureW2
Keamanan
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Sertifikat server radius yang tidak tepercaya mungkin akan dipercayai
Deskripsi: Masalah validasi muncul dalam Manajemen Trust Anchor. Masalah ini telah diatasi dengan validasi yang ditingkatkan.
CVE-2019-8531: peneliti anonim, tim QA dari SecureW2
Siri
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya mungkin dapat memulai permintaan Dikte tanpa otorisasi pengguna
Deskripsi: Masalah API muncul saat menangani permintaan dikte. Masalah ini telah diatasi dengan validasi yang ditingkatkan.
CVE-2019-8502: Luke Deshotels dari North Carolina State University, Jordan Beichler dari North Carolina State University, William Enck dari North Carolina State University, Costin Carabaș dari University POLITEHNICA of Bucharest, dan Răzvan Deaconescu dari University POLITEHNICA of Bucharest
Time Machine
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Pengguna lokal mungkin dapat menjalankan perintah shell arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2019-8513: CodeColorist dari Ant-Financial LightYear Labs
Dukungan Touch Bar
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2019-8569: Viktor Oreshkin (@stek29)
TrueTypeScaler
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2019-8517: riusksk dari VulWar Corp bekerja sama dengan Zero Day Initiative dari Trend Micro
Wi-Fi
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat mengubah status driver
Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.
CVE-2019-8564: Hugues Anguelkov selama bekerja magang di Quarkslab
Wi-Fi
Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat mengubah status driver
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2019-8612: Milan Stute dari Secure Mobile Networking Lab di Technische Universität Darmstadt
Wi-Fi
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Perangkat dapat dilacak secara pasif melalui alamat MAC Wi-Fi-nya
Deskripsi: Masalah privasi pengguna diatasi dengan menghapus alamat MAC siaran.
CVE-2019-8567: David Kreitschmann dan Milan Stute dari Secure Mobile Networking Lab di Technische Universität Darmstadt
xar
Tersedia untuk: macOS Mojave 10.14.3
Dampak: Memproses paket perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.
CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)
XPC
Tersedia untuk: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Dampak: Aplikasi berbahaya dapat menimpa file arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2019-8530: CodeColorist dari Ant-Financial LightYear Labs
Penghargaan tambahan
Akun
Kami ingin mengucapkan terima kasih kepada Milan Stute dari Secure Mobile Network Lab di Technische Universität Darmstadt atas bantuannya.
Buku
Kami ingin mengucapkan terima kasih kepada Yiğit Can YILMAZ (@yilmazcanyigit) atas bantuannya.
Kernel
Kami ingin mengucapkan terima kasih kepada Brandon Azad, Brandon Azad dari Google Project Zero, Daniel Roethlisberger dari Swisscom CSIRT, Raz Mashat (@RazMashat) dari SMA Ilan Ramon atas bantuan mereka.
Kami ingin mengucapkan terima kasih kepada Craig Young dari Tripwire VERT dan Hanno Böck atas bantuannya.
Time Machine
Kami ingin mengucapkan terima kasih kepada CodeColorist dari Ant-Financial LightYear Labs atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.