Informazioni sui contenuti di sicurezza di macOS Catalina 10.15.2, dell'aggiornamento di sicurezza 2019-002 per Mojave e dell'aggiornamento di sicurezza 2019-007 per High Sierra

In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.2, dell'aggiornamento di sicurezza 2019-002 per Mojave e dell'aggiornamento di sicurezza 2019-007 per High Sierra.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Catalina 10.15.2, aggiornamento di sicurezza 2019-002 per Mojave, aggiornamento di sicurezza 2019-007 per High Sierra

ATS

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione dannosa può accedere a file con restrizioni.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Bluetooth

Disponibile per: macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2019-8853: Jianjun Dai dell'Alpha Lab di Qihoo 360

CallKit

Disponibile per: macOS Catalina 10.15

Impatto: le chiamate effettuate con Siri potrebbero essere avviate usando il piano cellulare sbagliato sui dispositivi con due piani attivi.

Descrizione: si verificava un problema dell'API nella gestione delle chiamate in uscita avviate con Siri. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8856: Fabrice TERRANCLE di TERRANCLE SARL

Proxy CFNetwork

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8848: Zhuo Liang del Vulcan Team di Qihoo 360

CFNetwork

Disponibile per: macOS Catalina 10.15

Impatto: un utente malintenzionato in una posizione di rete privilegiata potrebbe riuscire a bypassare il protocollo HSTS per un numero limitato di specifici domini di primo livello precedentemente non presenti nell'elenco di precaricamento HSTS.

Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.

CVE-2019-8834: Rob Sayre (@sayrer)

CUPS

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: in alcune configurazioni, un utente malintenzionato remoto potrebbe essere in grado di inviare processi di stampa arbitrari.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-8842: Niky1235 di China Mobile

CUPS

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-8839: Stephan Zeisberg di Security Research Labs

FaceTime

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: l'elaborazione di video dannosi su FaceTime può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8830: natashenka di Google Project Zero

IOGraphics

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un Mac può non bloccarsi immediatamente alla riattivazione.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8851: Vladik Khononov di DoiT International

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso la rimozione del codice vulnerabile.

CVE-2019-8833: Ian Beer di Google Project Zero

Kernel

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8828: Cim Stordal di Cognite

CVE-2019-8838: Dr. Silvio Cesare di InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) di WaCai

libexpat

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: l'analisi di un file XML pericoloso può determinare la divulgazione delle informazioni utente.

Descrizione: il problema è stato risolto con l'aggiornamento di expat alla versione 2.2.8.

CVE-2019-15903: Joonun Jang

Note

Disponibile per: macOS Catalina 10.15

Impatto: un utente malintenzionato collegato in remoto può essere in grado di sovrascrivere i file esistenti.

Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.

CVE-2020-9782: Allison Husain della UC Berkeley

OpenLDAP

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: diversi problemi presenti in OpenLDAP.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di OpenLDAP alla versione 2.4.28.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Sicurezza

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8832: Insu Yun di SSLab del Georgia Tech

tcpdump

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: diversi problemi presenti in tcpdump.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di tcpdump alla versione 4.9.3 e di libpcap alla versione 1.9.1.

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15166

CVE-2019-15167

Wi-Fi

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: un utente malintenzionato nel raggio di copertura del Wi-Fi potrebbe riuscire a visualizzare una piccola quantità di traffico di rete.

Descrizione: si verificava un problema logico nella gestione delle transizioni di stato. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-15126: Milos Cermak presso ESET

Altri riconoscimenti

Account

Ringraziamo Allison Husain della UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling della Loughborough University per l'assistenza.

Core Data

Ringraziamo natashenka di Google Project Zero per l'assistenza.

Finder

Ringraziamo Csaba Fitzl (@theevilbit) per l'assistenza.

Kernel

Ringraziamo Daniel Roethlisberger di Swisscom CSIRT per l'assistenza.