Mengenai konten keamanan macOS Catalina 10.15.1, Pembaruan Keamanan 2019-001, dan Pembaruan Keamanan 2019-006

Dokumen ini menjelaskan konten keamanan macOS Catalina 10.15.1, Pembaruan Keamanan 2019-001, dan Pembaruan Keamanan 2019-006.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Catalina 10.15.1, Pembaruan Keamanan 2019-001, Pembaruan Keamanan 2019-006

Dirilis 29 Oktober 2019

Akun

Tersedia untuk: macOS Catalina 10.15

Dampak: Penyerang jarak jauh dapat membocorkan memori

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2019-8787: Steffen Klee dari Secure Mobile Networking Lab di Technische Universität Darmstadt

App Store

Tersedia untuk: macOS Catalina 10.15

Dampak: Penyerang lokal mungkin dapat masuk ke akun yang sebelumnya diakses pengguna tanpa kredensial yang valid.

Deskripsi: Masalah autentikasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8716: Zhiyi Zhang dari Tim Codesafe Legendsec di Qi'anxin Group, Zhuo Liang dari Tim Vulcan Qihoo 360

Domain Terkait

Tersedia untuk: macOS Catalina 10.15

Dampak: Pemrosesan URL yang tidak semestinya dapat mengakibatkan eksfiltrasi data

Deskripsi: Masalah muncul saat menguraikan URL Masalah ini telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8788: Juha Lindstedt dari Pakastin, Mirko Tanania, Rauli Rikama dari Zero Keyboard Ltd

Audio

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2019-8706: Yu Zhou dari Ant-financial Light-Year Security Lab

Audio

Tersedia untuk: macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8785: Ian Beer dari Google Project Zero

CVE-2019-8797: 08Tc3wBB bekerja sama dengan SSD Secure Disclosure

Buku

Tersedia untuk: macOS Catalina 10.15

Dampak: Menguraikan file iBooks perusak berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.

CVE-2019-8789: Gertjan Franken dari imec-DistriNet, KU Leuven

Kontak

Tersedia untuk: macOS Catalina 10.15

Dampak: Memproses kontak berbahaya dapat mengakibatkan pemalsuan UI

Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2017-7152: Oliver Paukstadt dari Thinking Objects GmbH (to.com)

CUPS

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna

Deskripsi: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-8736: Pawel Gocyla dari ING Tech Poland (ingtechpoland.com)

CUPS

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Memproses string berbahaya dapat mengakibatkan semakin banyaknya kerusakan

Deskripsi: Masalah penggunaan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8767: Stephen Zeisberg

CUPS

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Penyerang di posisi dengan hak istimewa mungkin dapat melakukan penolakan layanan

Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8737: Pawel Gocyla dari ING Tech Poland (ingtechpoland.com)

Karantina File

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2019-8509: CodeColorist dari Ant-Financial LightYear Labs

Aktivitas Sistem File

Tersedia untuk: macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8798: ABC Research s.r.o. Bekerja sama dengan Zero Day Initiative dari Trend Micro

Grafis

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Memproses shader berbahaya dapat mengakibatkan penghentian aplikasi tidak terduga atau eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2018-12152: Piotr Bania dari Cisco Talos

CVE-2018-12153: Piotr Bania dari Cisco Talos

CVE-2018-12154: Piotr Bania dari Cisco Talos

Driver Grafis

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8784: Vasiliy Vasilyev dan Ilya Finogeev dari Webinar, LLC

Driver Intel Graphics

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8807: Yu Wang dari Didi Research America

IOGraphics

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-8759: Anggota 360 Nirvan Team lainnya

iTunes

Tersedia untuk: macOS Catalina 10.15

Dampak: Menjalankan penginstal iTunes di direktori tidak tepercaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah pemuatan perpustakaan dinamis muncul dalam pengaturan iTunes. Masalah ini telah diatasi dengan pencarian jalur yang lebih baik.

CVE-2019-8801: Hou JingYi (@hjy79425575) dari Qihoo 360 CERT

Kernel

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2019-8794: 08Tc3wBB bekerja sama dengan SSD Secure Disclosure

Kernel

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8786: peneliti anonim

Kernel

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

Deskripsi: Masalah kerusakan memori terjadi saat menangani paket IPv6. Masalah ini telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2019-8744: Zhuo Liang dari Qihoo 360 Vulcan Team

libxml2

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Berbagai masalah di libxml2

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-8749: ditemukan oleh OSS-Fuzz

CVE-2019-8756: ditemukan oleh OSS-Fuzz

libxslt

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Berbagai masalah di libxslt

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-8750: ditemukan oleh OSS-Fuzz

manpages

Tersedia untuk: macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar

Deskripsi: Masalah validasi telah diatasi dengan logika yang ditingkatkan.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PluginKit

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Pengguna lokal dapat memeriksa keberadaan file arbitrer

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2019-8708: peneliti anonim

PluginKit

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8715: peneliti anonim

Ekstensi Sistem

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah validasi muncul dalam verifikasi hak. Masalah ini telah diatasi dengan validasi hak proses yang ditingkatkan.

CVE-2019-8805: Scott Knight (@sdotknight) dari VMware Carbon Black TAU

UIFoundation

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Menguraikan file teks perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2019-8761: Renee Trisberg dari SpectX

Penghargaan tambahan

CFNetwork

Kami ingin mengucapkan terima kasih kepada Lily Chen dari Google atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada Brandon Azad dari Google Project Zero dan Jann Horn dari Google Project Zero atas bantuannya.

libresolv

Kami ingin mengucapkan terima kasih kepada enh di Google atas bantuannya.

Postfix

Kami ingin mengucapkan terima kasih kepada Chris Barker dari Puppet atas bantuannya.

Profil

Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) atas bantuannya.

python

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

VPN

Kami ingin mengucapkan terima kasih kepada Royce Gawron dari Second Son Consulting, Inc. atas bantuannya.

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: