Mengenai konten keamanan macOS Catalina 10.15.1, Pembaruan Keamanan 2019-001, dan Pembaruan Keamanan 2019-006

Dokumen ini menjelaskan konten keamanan macOS Catalina 10.15.1, Pembaruan Keamanan 2019-001, dan Pembaruan Keamanan 2019-006.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Catalina 10.15.1, Pembaruan Keamanan 2019-001, Pembaruan Keamanan 2019-006

Dirilis 29 Oktober 2019

Akun

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Penyerang jarak jauh dapat membocorkan memori

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2019-8787: Steffen Klee dari Secure Mobile Networking Lab di Technische Universität Darmstadt

Entri diperbarui pada 11 Februari 2020

AMD

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8748: Lilang Wu dan Moony Li dari Tim Riset Keamanan Ponsel TrendMicro

Entri ditambahkan pada 11 Februari 2020

apache_mod_php

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Beberapa masalah di PHP

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke PHP versi 7.3.8.

CVE-2019-11041

CVE-2019-11042

Entri ditambahkan pada 11 Februari 2020

APFS

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2019-8824: Mac bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 11 Februari 2020

App Store

Tersedia untuk: macOS Catalina 10.15

Dampak: Penyerang lokal mungkin dapat masuk ke akun yang sebelumnya diakses pengguna tanpa kredensial yang valid.

Deskripsi: Masalah autentikasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8716: Zhiyi Zhang dari Tim Codesafe Legendsec di Qi'anxin Group, Zhuo Liang dari Tim Vulcan Qihoo 360

Domain Terkait

Tersedia untuk: macOS Catalina 10.15

Dampak: Pemrosesan URL yang tidak semestinya dapat mengakibatkan eksfiltrasi data

Deskripsi: Masalah muncul saat menguraikan URL. Masalah ini telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8788: Juha Lindstedt dari Pakastin, Mirko Tanania, Rauli Rikama dari Zero Keyboard Ltd

Audio

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2019-8706: Yu Zhou dari Ant-financial Light-Year Security Lab

Audio

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8785: Ian Beer dari Google Project Zero

CVE-2019-8797: 08Tc3wBB bekerja sama dengan SSD Secure Disclosure

Entri diperbarui pada 11 Februari 2020

Audio

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Pemrosesan file audio berbahaya dapat mengungkap memori terbatas

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2019-8850: Peneliti anonim bekerja sama dengan Zero Day Initiative Trend Micro

Entri diperbarui pada 18 Desember 2019

Buku

Tersedia untuk: macOS Catalina 10.15

Dampak: Menguraikan file iBooks perusak berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.

CVE-2019-8789: Gertjan Franken dari imec-DistriNet, KU Leuven

Kontak

Tersedia untuk: macOS Catalina 10.15

Dampak: Memproses kontak berbahaya dapat mengakibatkan pemalsuan UI

Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2017-7152: Oliver Paukstadt dari Thinking Objects GmbH (to.com)

CoreAudio

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Memutar file audio yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-8592: riusksk dari VulWar Corp bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 6 November 2019

CoreAudio

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Memproses film perusak berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8705: riusksk dari VulWar Corp bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 11 Februari 2020

CoreMedia

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2019-8825: Ditemukan oleh GWP-ASan di Google Chrome

Entri ditambahkan pada 11 Februari 2020

CUPS

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna

Deskripsi: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-8736: Pawel Gocyla dari ING Tech Poland (ingtechpoland.com)

CUPS

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Memproses string berbahaya dapat mengakibatkan semakin banyaknya kerusakan

Deskripsi: Masalah penggunaan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8767: Stephen Zeisberg

CUPS

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Penyerang di posisi dengan hak istimewa mungkin dapat melakukan penolakan layanan

Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8737: Pawel Gocyla dari ING Tech Poland (ingtechpoland.com)

Karantina File

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2019-8509: CodeColorist dari Ant-Financial LightYear Labs

Aktivitas Sistem File

Tersedia untuk: macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8798: ABC Research s.r.o. bekerja sama dengan Zero Day Initiative dari Trend Micro

Foundation

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Penyerang jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2019-8746: Natalie Silvanovich dan Samuel Groß dari Google Project Zero

Entri ditambahkan pada 11 Februari 2020

Grafis

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Memproses shader berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2018-12152: Piotr Bania dari Cisco Talos

CVE-2018-12153: Piotr Bania dari Cisco Talos

CVE-2018-12154: Piotr Bania dari Cisco Talos

Driver Grafis

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8784: Vasiliy Vasilyev dan Ilya Finogeev dari Webinar, LLC

Driver Intel Graphics

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8807: Yu Wang dari Didi Research America

IOGraphics

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-8759: Anggota 360 Nirvan Team lainnya

iTunes

Tersedia untuk: macOS Catalina 10.15

Dampak: Menjalankan penginstal iTunes di direktori tidak tepercaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah pemuatan perpustakaan dinamis muncul dalam pengaturan iTunes. Masalah ini telah diatasi melalui pencarian jalur yang ditingkatkan.

CVE-2019-8801: Hou JingYi (@hjy79425575) dari Qihoo 360 CERT

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Entri ditambahkan pada 11 Februari 2020

Kernel

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2019-8794: 08Tc3wBB bekerja sama dengan SSD Secure Disclosure

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8717: Jann Horn dari Google Project Zero

CVE-2019-8786: Wen Xu dari Georgia Tech, Microsoft Offensive Security Research Intern

Entri diperbarui pada 18 November 2019, diperbarui pada 11 Februari 2020

Kernel

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

Deskripsi: Masalah kerusakan memori terjadi saat menangani paket IPv6. Masalah ini telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2019-8744: Zhuo Liang dari Qihoo 360 Vulcan Team

Kernel

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kerentanan kerusakan memori telah diatasi melalui penguncian yang ditingkatkan.

CVE-2019-8829: Jann Horn dari Google Project Zero

Entri ditambahkan pada 6 November 2019

libxml2

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Berbagai masalah di libxml2

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-8749: ditemukan oleh OSS-Fuzz

CVE-2019-8756: ditemukan oleh OSS-Fuzz

libxslt

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Beberapa masalah di libxslt

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-8750: ditemukan oleh OSS-Fuzz

manpages

Tersedia untuk: macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar

Deskripsi: Masalah validasi telah diatasi dengan logika yang ditingkatkan.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Penyerang mungkin dapat mengambil konten dari PDF yang dienkripsi

Deskripsi: Masalah muncul saat menangani tautan di PDF yang dienkripsi. Masalah ini telah diatasi dengan menambahkan perintah konfirmasi.

CVE-2019-8772: Jens Müller dari Ruhr University Bochum, Fabian Ising dari FH Münster University of Applied Sciences, Vladislav Mladenov dari Ruhr University Bochum, Christian Mainka dari Ruhr University Bochum, Sebastian Schinzel dari FH Münster University of Applied Sciences, dan Jörg Schwenk dari Ruhr University Bochum

Entri ditambahkan pada 11 Februari 2020

PluginKit

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Pengguna lokal dapat memeriksa keberadaan file arbitrer

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2019-8708: peneliti anonim

PluginKit

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8715: peneliti anonim

Server Berbagi Layar

Tersedia untuk: macOS Catalina 10.15

Dampak: Pengguna yang berbagi layar mungkin tidak dapat mengakhiri aktivitas berbagi layar

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2019-8858: Saul van der Bijl dari Saul's Place Counseling B.V.

Entri ditambahkan pada 18 Desember 2019

Ekstensi Sistem

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah validasi muncul dalam verifikasi hak. Masalah ini telah diatasi dengan validasi hak proses yang ditingkatkan.

CVE-2019-8805: Scott Knight (@sdotknight) dari VMware Carbon Black TAU

UIFoundation

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Memproses file teks perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-8745: riusksk dari VulWar Corp bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 11 Februari 2020

UIFoundation

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8831: riusksk dari VulWar Corp bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan pada 11 Februari 2020

UIFoundation

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Menguraikan file teks perusak berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2019-8761: Renee Trisberg dari SpectX

Wi-Fi

Tersedia untuk: macOS Catalina 10.15

Dampak: Penyerang dalam jangkauan Wi-Fi mungkin dapat melihat sejumlah kecil lalu lintas jaringan

Deskripsi: Masalah logika muncul saat menangani transisi kondisi. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2019-15126: Milos Cermak di ESET

Entri ditambahkan pada 11 Februari 2020

Penghargaan tambahan

CFNetwork

Kami ingin mengucapkan terima kasih kepada Lily Chen dari Google atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada Brandon Azad dari Google Project Zero, Daniel Roethlisberger dari Swisscom CSIRT, Jann Horn dari Google Project Zero atas bantuan mereka.

Entri diperbarui 6 November 2019

libresolv

Kami ingin mengucapkan terima kasih kepada enh di Google atas bantuannya.

Pengesahan Lokal

Kami ingin mengucapkan terima kasih kepada Ryan Lopopolo atas bantuannya.

Entri ditambahkan pada 11 Februari 2020

mDNSResponder

Kami ingin mengucapkan terima kasih kepada Gregor Lang dari e.solutions GmbH atas bantuan mereka.

Entri ditambahkan pada 11 Februari 2020

Postfix

Kami ingin mengucapkan terima kasih kepada Chris Barker dari Puppet atas bantuannya.

python

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

VPN

Kami ingin mengucapkan terima kasih kepada Royce Gawron dari Second Son Consulting, Inc. atas bantuannya.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: