Mengenai konten keamanan macOS Catalina 10.15.1, Pembaruan Keamanan 2019-001, dan Pembaruan Keamanan 2019-006

Dokumen ini menjelaskan konten keamanan macOS Catalina 10.15.1, Pembaruan Keamanan 2019-001, dan Pembaruan Keamanan 2019-006.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

macOS Catalina 10.15.1, Pembaruan Keamanan 2019-001, Pembaruan Keamanan 2019-006

Accounts

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Penyerang jarak jauh dapat membocorkan memori

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2019-8787: Steffen Klee dari Secure Mobile Networking Lab di Technische Universität Darmstadt

Accounts

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Transfer AirDrop mungkin diterima secara tak terduga saat dalam mode Semua Orang

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8796: Allison Husain dari UC Berkeley

AirDrop

Tersedia untuk: macOS Catalina 10.15

Dampak: Transfer AirDrop mungkin diterima secara tak terduga saat dalam mode Semua Orang

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8796: Allison Husain dari UC Berkeley

AMD

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8748: Lilang Wu dan Moony Li dari Tim Riset Keamanan Ponsel TrendMicro

apache_mod_php

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Beberapa masalah di PHP

Deskripsi: Beberapa masalah telah diatasi dengan memperbarui ke PHP versi 7.3.8.

CVE-2019-11041

CVE-2019-11042

APFS

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2019-8824: Mac bekerja sama dengan Zero Day Initiative dari Trend Micro

App Store

Tersedia untuk: macOS Catalina 10.15

Dampak: Penyerang lokal mungkin dapat masuk ke akun yang sebelumnya diakses pengguna tanpa kredensial yang valid.

Deskripsi: Masalah autentikasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8716: Zhiyi Zhang dari Tim Codesafe Legendsec di Qi'anxin Group, Zhuo Liang dari Tim Vulcan Qihoo 360

Associated Domains

Tersedia untuk: macOS Catalina 10.15

Dampak: Pemrosesan URL yang tidak semestinya dapat mengakibatkan eksfiltrasi data

Deskripsi: Masalah muncul saat menguraikan URL. Masalah ini telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8788: Juha Lindstedt dari Pakastin, Mirko Tanania, Rauli Rikama dari Zero Keyboard Ltd

Audio

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2019-8706: Yu Zhou dari Ant-financial Light-Year Security Lab

Audio

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8785: Ian Beer dari Google Project Zero

CVE-2019-8797: 08Tc3wBB bekerja sama dengan SSD Secure Disclosure

Audio

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Pemrosesan file audio berbahaya dapat mengungkap memori terbatas

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2019-8850: Anonim bekerja sama dengan Zero Day Initiative Trend Micro

Books

Tersedia untuk: macOS Catalina 10.15

Dampak: Menguraikan file iBooks perusak berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah validasi muncul saat menangani symlink. Masalah ini telah diatasi dengan validasi symlink yang ditingkatkan.

CVE-2019-8789: Gertjan Franken dari imec-DistriNet, KU Leuven

Contacts

Tersedia untuk: macOS Catalina 10.15

Dampak: Memproses kontak berbahaya dapat mengakibatkan pemalsuan UI

Deskripsi: Masalah antarmuka pengguna yang tidak konsisten telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2017-7152: Oliver Paukstadt dari Thinking Objects GmbH (to.com)

CoreAudio

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Memutar file audio yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-8592: riusksk dari VulWar Corp bekerja sama dengan Zero Day Initiative dari Trend Micro

CoreAudio

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Memproses film perusak berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8705: riusksk dari VulWar Corp bekerja sama dengan Zero Day Initiative dari Trend Micro

CoreMedia

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2019-8825: Ditemukan oleh GWP-ASan di Google Chrome

CUPS

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Penyerang di posisi jaringan dengan hak istimewa dapat membocorkan informasi rahasia milik pengguna

Deskripsi: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-8736: Pawel Gocyla dari ING Tech Poland (ingtechpoland.com)

CUPS

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Memproses string berbahaya dapat mengakibatkan semakin banyaknya kerusakan

Deskripsi: Masalah penggunaan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8767: Stephen Zeisberg

CUPS

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Penyerang dalam posisi dengan hak istimewa mungkin dapat melakukan penolakan serangan layanan

Deskripsi: Masalah penolakan layanan telah diatasi dengan validasi yang ditingkatkan.

CVE-2019-8737: Pawel Gocyla dari ING Tech Poland (ingtechpoland.com)

File Quarantine

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2019-8509: CodeColorist dari Ant-Financial LightYear Labs

File System Events

Tersedia untuk: macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8798: ABC Research s.r.o. bekerja sama dengan Zero Day Initiative dari Trend Micro

Foundation

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Penyerang jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2019-8746: natashenka dan Samuel Groß dari Google Project Zero

Graphics

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Memproses shader berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2018-12152: Piotr Bania dari Cisco Talos

CVE-2018-12153: Piotr Bania dari Cisco Talos

CVE-2018-12154: Piotr Bania dari Cisco Talos

Graphics Driver

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8784: Vasiliy Vasilyev dan Ilya Finogeev dari Webinar, LLC

Intel Graphics Driver

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8807: Yu Wang dari Didi Research America

IOGraphics

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Pengguna lokal dapat mengakibatkan sistem berhenti secara tiba-tiba atau membaca memori kernel

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-8759: Anggota 360 Nirvan Team lainnya

iTunes

Tersedia untuk: macOS Catalina 10.15

Dampak: Menjalankan penginstal iTunes di direktori tidak tepercaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah pemuatan perpustakaan dinamis muncul dalam pengaturan iTunes. Masalah ini telah diatasi melalui pencarian jalur yang ditingkatkan.

CVE-2019-8801: Hou JingYi (@hjy79425575) dari Qihoo 360 CERT

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Kernel

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi mungkin dapat membaca memori yang dibatasi

Deskripsi: Masalah validasi telah diatasi dengan pembersihan input yang ditingkatkan.

CVE-2019-8794: 08Tc3wBB bekerja sama dengan SSD Secure Disclosure

Kernel

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8717: Jann Horn dari Google Project Zero

CVE-2019-8786: Wen Xu dari Georgia Tech, Microsoft Offensive Security Research Intern

Kernel

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Aplikasi berbahaya mungkin dapat menentukan tata letak memori kernel

Deskripsi: Masalah kerusakan memori terjadi saat menangani paket IPv6. Masalah ini telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2019-8744: Zhuo Liang dari Qihoo 360 Vulcan Team

Kernel

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kerentanan kerusakan memori telah diatasi melalui penguncian yang ditingkatkan.

CVE-2019-8829: Jann Horn dari Google Project Zero

libxml2

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Beberapa masalah di libxml2

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-8749: ditemukan oleh OSS-Fuzz

CVE-2019-8756: ditemukan oleh OSS-Fuzz

libxslt

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Beberapa masalah di libxslt

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2019-8750: ditemukan oleh OSS-Fuzz

manpages

Tersedia untuk: macOS High Sierra 10.13.6, macOS Catalina 10.15

Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa dasar

Deskripsi: Masalah validasi telah diatasi dengan logika yang ditingkatkan.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Penyerang mungkin dapat mengambil konten dari PDF yang dienkripsi

Deskripsi: Masalah muncul saat menangani tautan di PDF yang dienkripsi. Masalah ini telah diatasi dengan menambahkan perintah konfirmasi.

CVE-2019-8772: Jens Müller dari Ruhr University Bochum, Fabian Ising dari FH Münster University of Applied Sciences, Vladislav Mladenov dari Ruhr University Bochum, Christian Mainka dari Ruhr University Bochum, Sebastian Schinzel dari FH Münster University of Applied Sciences, dan Jörg Schwenk dari Ruhr University Bochum

PluginKit

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Pengguna lokal mungkin dapat memeriksa keberadaan file arbitrer

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2019-8708: peneliti anonim

PluginKit

Tersedia untuk: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8715: peneliti anonim

Screen Sharing Server

Tersedia untuk: macOS Catalina 10.15

Dampak: Pengguna yang berbagi layar mungkin tidak dapat mengakhiri aktivitas berbagi layar

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2019-8858: Saul van der Bijl dari Saul's Place Counseling B.V.

System Extensions

Tersedia untuk: macOS Catalina 10.15

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah validasi muncul dalam verifikasi hak. Masalah ini telah diatasi dengan validasi hak proses yang ditingkatkan.

CVE-2019-8805: Scott Knight (@sdotknight) dari VMware Carbon Black TAU

UIFoundation

Tersedia untuk: macOS Catalina 10.15

Dampak: Dokumen HTML berbahaya mungkin dapat memberi iframe informasi pengguna yang sensitif

Deskripsi: Masalah lintas sumber muncul pada elemen "iframe". Masalah ini telah diatasi dengan peningkatan pelacakan sumber keamanan.

CVE-2019-8754: Renee Trisberg dari SpectX

UIFoundation

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Memproses file teks perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2019-8745: riusksk dari VulWar Corp bekerja sama dengan Zero Day Initiative dari Trend Micro

UIFoundation

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2019-8831: riusksk dari VulWar Corp bekerja sama dengan Zero Day Initiative dari Trend Micro

UIFoundation

Tersedia untuk: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Dampak: Menguraikan file teks perusak berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2019-8761: Renee Trisberg dari SpectX

Wi-Fi

Tersedia untuk: macOS Catalina 10.15

Dampak: Penyerang dalam jangkauan Wi-Fi mungkin dapat melihat sejumlah kecil lalu lintas jaringan

Deskripsi: Masalah logika muncul saat menangani transisi kondisi. Masalah ini telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2019-15126: Milos Cermak di ESET

Penghargaan tambahan

CFNetwork

Kami ingin mengucapkan terima kasih kepada Lily Chen dari Google atas bantuannya.

Find My

Kami ingin mengucapkan terima kasih kepada Amr Elseehy atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada Brandon Azad dari Google Project Zero, Daniel Roethlisberger dari Swisscom CSIRT, Jann Horn dari Google Project Zero atas bantuannya.

libresolv

Kami ingin mengucapkan terima kasih kepada enh di Google atas bantuannya.

Local Authentication

Kami ingin mengucapkan terima kasih kepada Ryan Lopopolo atas bantuannya.

mDNSResponder

Kami ingin mengucapkan terima kasih kepada Gregor Lang dari e.solutions GmbH atas bantuannya.

Postfix

Kami ingin mengucapkan terima kasih kepada Chris Barker dari Puppet atas bantuannya.

python

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

VPN

Kami ingin mengucapkan terima kasih kepada Royce Gawron dari Second Son Consulting, Inc. atas bantuannya.