Mengenai konten keamanan macOS Mojave 10.14.4, Pembaruan Keamanan 2019-002 High Sierra, Pembaruan Keamanan 2019-002 Sierra

Dokumen ini menjelaskan mengenai konten keamanan macOS Mojave 10.14.4, Pembaruan Keamanan 2019-002 High Sierra, Pembaruan Keamanan 2019-002 Sierra.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Mojave 10.14.4, Pembaruan Keamanan 2019-002 High Sierra, Pembaruan Keamanan 2019-002 Sierra

Dirilis 25 Maret 2019

802.1X

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Penyerang di posisi jaringan dengan hak istimewa mungkin dapat memintas lalu lintas jaringan

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2019-6203: Dominic White dari SensePost (@singe)

Entri ditambahkan 15 April 2019

Akun

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Memproses file vcf perusak berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

Entri ditambahkan 3 April 2019

APFS

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah logika muncul sehingga menyebabkan kerusakan memori. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2019-8534: Mac bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan 15 April 2019

AppleGraphicsControl

Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kelebihan buffer telah diatasi dengan meningkatkan validasi ukuran.

CVE-2019-8555: Zhiyi Zhang dari 360 ESG Codesafe Team, Zhuo Liang dan shrek_wzw dari Qihoo 360 Nirvan Team

Bom

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Aplikasi berbahaya dapat melewati pemeriksaan Gatekeeper

Deskripsi: Masalah ini telah diatasi dengan penanganan metadata file yang ditingkatkan.

CVE-2019-6239: Ian Moorhouse dan Michael Trimm

CFString

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Memproses string perusak berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah validasi telah diatasi dengan logika yang ditingkatkan.

CVE-2019-8516: Tim SWIPS dari Frifee Inc.

configd

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

Contacts

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8511: seorang peneliti anonim

CoreCrypto

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-8542: seorang peneliti anonim

DiskArbitration

Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dampak: Volume terenkripsi mungkin dapat dilepas dan dipasang kembali oleh pengguna yang berbeda tanpa meminta kata sandi

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2019-8522: Colin Meginnis (@falc420)

FaceTime

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Video pengguna tidak dapat dijeda pada saat panggilan FaceTime berlangsung jika mereka keluar dari aplikasi FaceTime saat panggilan berdering

Deskripsi: Masalah yang terjadi saat menjeda video FaceTime. Masalah tersebut telah diatasi dengan logik yang lebih baik.

CVE-2019-8550: Lauren Guzniczak dari Keystone Academy

Asisten Umpan Balik

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar

Deskripsi: Kondisi pacu telah diatasi dengan validasi tambahan.

CVE-2019-8565: CodeColorist dari Ant-Financial LightYear Labs

Asisten Umpan Balik

Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dampak: Aplikasi berbahaya dapat menimpa file arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2019-8521: CodeColorist dari Ant-Financial LightYear Labs

file

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Memproses file perusak yang berbahaya dapat mengungkapkan informasi pengguna

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-8906: Francisco Alonso

Entri diperbarui 15 April 2019

Driver Grafis

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII), dan Junzhi Lu dari Trend Micro Research yang bekerja dengan Trend Micro's Zero Day Initiative

iAP

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-8542: seorang peneliti anonim

IOGraphics

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Mac mungkin tidak mengunci saat melepas sambungan dari monitor eksternal

Deskripsi: Masalah penanganan kunci telah diatasi dengan penanganan kunci yang ditingkatkan.

CVE-2019-8533: peneliti anonim, James Eagan dari Télécom ParisTech, R. Scott Kemp dari MIT, dan Romke van Dijk dari Z-CERT

IOHIDFamily

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Pengguna lokal dapat menyebabkan sistem berhenti secara tiba-tiba atau membaca memori kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2019-8545: Adam Donenfeld (@doadam) dari Tim Zimperium zLabs

IOKit

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dampak: Pengguna lokal dapat membaca memori kernel

Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8504: seorang peneliti anonim

IOKit SCSI

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-8529: Juwei Lin (@panicaII) dari Trend Micro Research bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri diperbarui 15 April 2019

Kernel

Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dampak: Penyerang jarak jauh mungkin dapat menyebabkan penghentian sistem yang tidak terduga atau memori kernel yang rusak

Deskripsi: Kelebihan buffer telah diatasi dengan meningkatkan validasi ukuran.

CVE-2019-8527: Ned Williamson dari Google dan derrek (@derrekr6)

Kernel

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) dari Qihoo 360 Vulcan Team

Entri ditambahkan 3 April 2019

Kernel

Tersedia untuk: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Dampak: Memasang pembagian jaringan NFS yang dibuat berbahaya dapat mengakibatkan eksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-8508: Dr. Silvio Cesare dari InfoSect

Kernel

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2019-8514: Samuel Groß dari Google Project Zero

Kernel

Tersedia untuk: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8540: Weibo Wang (@ma1fan) dari Tim Qihoo 360 Nirvan

Kernel

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Pengguna lokal dapat membaca memori kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-7293: Ned Williamson dari Google

Kernel

Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

Deskripsi: Terjadi masalah pembacaan di luar batas yang mengakibatkan pengungkapan memori kernel. Masalah ini telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-6207: Weibo Wang dari Qihoo 360 Nirvan Team (@ma1fan)

CVE-2019-8510: Stefan Esser dari Antid0te UG

Message

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna

Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.

CVE-2019-8546: ChiYuan Chang

Modem CCL

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Masalah validasi input diatasi dengan penanganan memori yang lebih baik.

CVE-2019-8579: seorang peneliti anonim

Entri ditambahkan 15 April 2019

Catatan

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Pengguna lokal mungkin dapat melihat catatan terkunci pengguna

Deskripsi: Masalah akses telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2019-8537: Greg Walker (gregwalker.us)

PackageKit

Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8561: Jaron Bradley dari Crowdstrike

Perl

Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dampak: Beberapa masalah di Perl

Deskripsi: Beberapa masalah di Perl telah diatasi di pembaruan ini.

CVE-2018-12015: Jakub Wilk

CVE-2018-18311: Jayakrishna Menon

CVE-2018-18313: Eiichi Tsukata

Manajemen Daya

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Beberapa masalah validasi input muncul dalam kode yang dihasilkan MIG. Masalah tersebut telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8549: Mohamed Ghannam (@_simo36) dari SSD Secure Disclosure (ssd-disclosure.com)

QuartzCore

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Memproses data yang berbahaya dapat mengakibatkan aplikasi berhenti secara tiba-tiba

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-8507: Kai Lu dari Fortinet's FortiGuard Labs

Keamanan

Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2019-8526: Linus Henze (pinauten.de)

Keamanan

Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dampak: Aplikasi berbahaya mungkin dapat membaca memori yang dibatasi

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-8520: Antonio Groza, Pusat Keamanan Siber Nasional Inggris (NCSC)

Siri

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Sebuah aplikasi jahat mungkin dapat memulai permintaan Dikte tanpa otorisasi pengguna

Deskripsi: Masalah API muncul saat menangani permintaan dikte. Masalah ini telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8502: Luke Deshotels dari North Carolina State University, Jordan Beichler dari North Carolina State University, William Enck dari North Carolina State University, Costin Carabaș dari University POLITEHNICA of Bucharest, dan Răzvan Deaconescu dari University POLITEHNICA of Bucharest

Time Machine

Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dampak: Pengguna lokal mungkin dapat menjalankan perintah shell arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2019-8513: CodeColorist dari Ant-Financial LightYear Labs

TrueTypeScaler

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-8517: riusksk dari VulWar Corp bekerja dengan Trend Micro Zero Day Initiative

Wi-Fi

Tersedia untuk: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat mengubah status driver

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8564: Hugues Anguelkov selama bekerja magang di Quarkslab

Entri ditambahkan 15 April 2019

xar

Tersedia untuk: macOS Mojave 10.14.3

Dampak: Memproses paket perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang lebih baik.

CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)

Entri ditambahkan 15 April 2019

XPC

Tersedia untuk: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Dampak: Aplikasi berbahaya dapat menimpa file arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2019-8530: CodeColorist dari Ant-Financial LightYear Labs

Penghargaan tambahan

Akun

Kami ingin mengucapkan terima kasih kepada Milan Stute dari Secure Mobile Network Lab di Technische Universität Darmstadt atas bantuannya.

Buku

Kami ingin mengucapkan terima kasih kepada Yiğit Can YILMAZ (@yilmazcanyigit) atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada Brandon Azad dari Google Project Zero atas bantuannya.

Mail

Kami ingin mengucapkan terima kasih kepada Craig Young dari Tripwire VERT dan Hanno Böck atas bantuannya.

Time Machine

Kami ingin mengucapkan terima kasih kepada CodeColorist dari Ant-Financial LightYear Labs atas bantuannya.

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: