Informazioni sui contenuti di sicurezza di macOS Catalina 10.15.2, dell'aggiornamento di sicurezza 2019-002 per Mojave e dell'aggiornamento di sicurezza 2019-007 per High Sierra
In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.2, dell'aggiornamento di sicurezza 2019-002 per Mojave e dell'aggiornamento di sicurezza 2019-007 per High Sierra.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Catalina 10.15.2, aggiornamento di sicurezza 2019-002 per Mojave, aggiornamento di sicurezza 2019-007 per High Sierra
ATS
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: un'applicazione dannosa può accedere a file con restrizioni.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2019-8837: Csaba Fitzl (@theevilbit)
Bluetooth
Disponibile per: macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2019-8853: Jianjun Dai dell'Alpha Lab di Qihoo 360
CallKit
Disponibile per: macOS Catalina 10.15
Impatto: le chiamate effettuate con Siri potrebbero essere avviate usando il piano cellulare sbagliato sui dispositivi con due piani attivi.
Descrizione: si verificava un problema dell'API nella gestione delle chiamate in uscita avviate con Siri. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8856: Fabrice TERRANCLE di TERRANCLE SARL
Proxy CFNetwork
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8848: Zhuo Liang del Vulcan Team di Qihoo 360
CFNetwork
Disponibile per: macOS Catalina 10.15
Impatto: un utente malintenzionato in una posizione di rete privilegiata potrebbe riuscire a bypassare il protocollo HSTS per un numero limitato di specifici domini di primo livello precedentemente non presenti nell'elenco di precaricamento HSTS.
Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.
CVE-2019-8834: Rob Sayre (@sayrer)
CUPS
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: in alcune configurazioni, un utente malintenzionato remoto potrebbe essere in grado di inviare processi di stampa arbitrari.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2019-8842: Niky1235 di China Mobile
CUPS
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2019-8839: Stephan Zeisberg di Security Research Labs
FaceTime
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: l'elaborazione di video dannosi su FaceTime può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8830: natashenka di Google Project Zero
IOGraphics
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: un Mac può non bloccarsi immediatamente alla riattivazione.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8851: Vladik Khononov di DoiT International
Kernel
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso la rimozione del codice vulnerabile.
CVE-2019-8833: Ian Beer di Google Project Zero
Kernel
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8828: Cim Stordal di Cognite
CVE-2019-8838: Dr. Silvio Cesare di InfoSect
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) di WaCai
libexpat
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: l'analisi di un file XML pericoloso può determinare la divulgazione delle informazioni utente.
Descrizione: il problema è stato risolto con l'aggiornamento di expat alla versione 2.2.8.
CVE-2019-15903: Joonun Jang
Note
Disponibile per: macOS Catalina 10.15
Impatto: un utente malintenzionato collegato in remoto può essere in grado di sovrascrivere i file esistenti.
Descrizione: un problema di analisi nella gestione dei percorsi di directory è stato risolto attraverso una migliore convalida dei percorsi.
CVE-2020-9782: Allison Husain della UC Berkeley
OpenLDAP
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: diversi problemi presenti in OpenLDAP.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di OpenLDAP alla versione 2.4.28.
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
Sicurezza
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8832: Insu Yun di SSLab del Georgia Tech
tcpdump
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: diversi problemi presenti in tcpdump.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di tcpdump alla versione 4.9.3 e di libpcap alla versione 1.9.1.
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
Wi-Fi
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: un utente malintenzionato nel raggio di copertura del Wi-Fi potrebbe riuscire a visualizzare una piccola quantità di traffico di rete.
Descrizione: si verificava un problema logico nella gestione delle transizioni di stato. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-15126: Milos Cermak presso ESET
Altri riconoscimenti
Account
Ringraziamo Allison Husain della UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling della Loughborough University per l'assistenza.
Core Data
Ringraziamo natashenka di Google Project Zero per l'assistenza.
Finder
Ringraziamo Csaba Fitzl (@theevilbit) per l'assistenza.
Kernel
Ringraziamo Daniel Roethlisberger di Swisscom CSIRT per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.