Informazioni sui contenuti di sicurezza di macOS Catalina 10.15.1, dell'aggiornamento di sicurezza 2019-001 e dell'aggiornamento di sicurezza 2019-006

In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.1, dell'aggiornamento di sicurezza 2019-001 e dell'aggiornamento di sicurezza 2019-006.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Catalina 10.15.1, aggiornamento di sicurezza 2019-001 e aggiornamento di sicurezza 2019-006

Accounts

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8787: Steffen Klee di Secure Mobile Networking Lab della Technische Universität Darmstadt

Accounts

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: i trasferimenti AirDrop possono essere accettati in modo imprevisto se la modalità Tutti è attiva.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2019-8796: Allison Husain della UC Berkeley

AirDrop

Disponibile per: macOS Catalina 10.15

Impatto: i trasferimenti AirDrop possono essere accettati in modo imprevisto se la modalità Tutti è attiva.

Descrizione: un problema logico è stato risolto attraverso una migliore convalida.

CVE-2019-8796: Allison Husain della UC Berkeley

AMD

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8748: Lilang Wu e Moony Li di TrendMicro Mobile Security Research Team

apache_mod_php

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: diversi problemi presenti in PHP.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di PHP alla versione 7.3.8.

CVE-2019-11041

CVE-2019-11042

APFS

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8824: Mac in collaborazione con Zero Day Initiative di Trend Micro

App Store

Disponibile per: macOS Catalina 10.15

Impatto: un utente malintenzionato locale può essere in grado di accedere all'account di un utente connesso in precedenza senza credenziali valide.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Disponibile per: macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8716: Zhiyi Zhang di Codesafe Team di Legendsec del Qi'anxin Group, Zhuo Liang del Vulcan Team di Qihoo 360

Associated Domains

Disponibile per: macOS Catalina 10.15

Impatto: l'elaborazione non corretta degli URL potrebbe comportare l'esfiltrazione dei dati.

Descrizione: si verificava un problema durante l'analisi degli URL. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8788: Juha Lindstedt di Pakastin, Mirko Tanania, Rauli Rikama di Zero Keyboard Ltd

Audio

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8706: Yu Zhou di Ant-financial Light-Year Security Lab

Audio

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8785: Ian Beer di Google Project Zero

CVE-2019-8797: 08Tc3wBB in collaborazione con SSD Secure Disclosure

Audio

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8850: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Books

Disponibile per: macOS Catalina 10.15

Impatto: l'analisi di un file iBooks dannoso può determinare la divulgazione delle informazioni utente.

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2019-8789: Gertjan Franken di imec-DistriNet, KU Leuven

Contacts

Disponibile per: macOS Catalina 10.15

Impatto: l'elaborazione di un contatto dannoso può causare lo spoofing dell'interfaccia utente.

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2017-7152: Oliver Paukstadt di Thinking Objects GmbH (to.com)

CoreAudio

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: la riproduzione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8592: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

CoreAudio

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: l'elaborazione di un file video dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2019-8705: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

CoreMedia

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8825: rilevato da GWP-ASan in Google Chrome

CUPS

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8736: Pawel Gocyla di ING Tech Poland (ingtechpoland.com)

CUPS

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: l'elaborazione di una stringa dannosa può danneggiare la memoria heap.

Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8767: Stephen Zeisberg

CUPS

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.

Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida.

CVE-2019-8737: Pawel Gocyla di ING Tech Poland (ingtechpoland.com)

File Quarantine

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2019-8509: CodeColorist di Ant-Financial LightYear Labs

File System Events

Disponibile per: macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8798: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro

Foundation

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8746: natashenka e Samuel Groß di Google Project Zero

Graphics

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: l'esecuzione di uno shader dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2018-12152: Piotr Bania di Cisco Talos

CVE-2018-12153: Piotr Bania di Cisco Talos

CVE-2018-12154: Piotr Bania di Cisco Talos

Graphics Driver

Disponibile per: macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8784: Vasiliy Vasilyev e Ilya Finogeev di Webinar, LLC

Intel Graphics Driver

Disponibile per: macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8807: Yu Wang di Didi Research America

IOGraphics

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2019-8759: un altro programmatore di 360 Nirvan Team

iTunes

Disponibile per: macOS Catalina 10.15

Impatto: l'esecuzione del programma di installazione di iTunes in una directory non attendibile può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un problema di caricamento della libreria dinamica durante la configurazione di iTunes. Questo problema è stato risolto con una migliore ricerca dei percorsi.

CVE-2019-8801: Hou JingYi (@hjy79425575) di Qihoo 360 CERT

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Kernel

Disponibile per: macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2019-8794: 08Tc3wBB in collaborazione con SSD Secure Disclosure

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8717: Jann Horn di Google Project Zero

CVE-2019-8786: Wen Xu di Georgia Tech, stagista presso Microsoft Offensive Security Research

Kernel

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei pacchetti IPv6 che è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8744: Zhuo Liang di Qihoo 360 Vulcan Team

Kernel

Disponibile per: macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta attraverso un blocco migliore.

CVE-2019-8829: Jann Horn di Google Project Zero

libxml2

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: diversi problemi presenti in libxml2.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2019-8749: rilevato da OSS-Fuzz

CVE-2019-8756: rilevato da OSS-Fuzz

libxslt

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: diversi problemi presenti in libxslt.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.

CVE-2019-8750: rilevato da OSS-Fuzz

manpages

Disponibile per: macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: un utente malintenzionato può essere in grado di consentire l'esfiltrazione dei contenuti di un PDF codificato.

Descrizione: si verificava un problema nella gestione dei link nei PDF codificati. Il problema è stato risolto con l'aggiunta di una richiesta di conferma.

CVE-2019-8772: Jens Müller della Ruhr University Bochum, Fabian Ising della FH Münster University of Applied Sciences, Vladislav Mladenov della Ruhr University Bochum, Christian Mainka della Ruhr University Bochum, Sebastian Schinzel della FH Münster University of Applied Sciences e Jörg Schwenk della Ruhr University Bochum

PluginKit

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un utente locale può essere in grado di verificare l'esistenza di file arbitrari.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2019-8708: un ricercatore anonimo

PluginKit

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8715: un ricercatore anonimo

Screen Sharing Server

Disponibile per: macOS Catalina 10.15

Impatto: un utente che condivide lo schermo potrebbe non essere in grado di interrompere la condivisione.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8858: Saul van der Bijl di Saul's Place Counselling B.V.

System Extensions

Disponibile per: macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: si verificava un problema di convalida nella verifica delle autorizzazioni. Il problema è stato risolto con una migliore convalida delle autorizzazioni del processo.

CVE-2019-8805: Scott Knight (@sdotknight) di VMware Carbon Black TAU

UIFoundation

Disponibile per: macOS Catalina 10.15

Impatto: un documento HTML dannoso può eseguire il rendering degli iFrame con informazioni dell'utente riservate.

Descrizione: si verificava un problema multiorigine con gli elementi “iFrame”. è stato risolto attraverso un migliore monitoraggio delle origini di sicurezza.

CVE-2019-8754: Renee Trisberg di SpectX

UIFoundation

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-8745: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

UIFoundation

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8831: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

UIFoundation

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: l'analisi di un file di testo dannoso può determinare la divulgazione delle informazioni utente.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8761: Renee Trisberg di SpectX

Wi-Fi

Disponibile per: macOS Catalina 10.15

Impatto: un utente malintenzionato nel raggio di copertura del Wi-Fi potrebbe riuscire a visualizzare una piccola quantità di traffico di rete.

Descrizione: si verificava un problema logico nella gestione delle transizioni di stato. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-15126: Milos Cermak presso ESET

Altri riconoscimenti

CFNetwork

Ringraziamo Lily Chen di Google per l'assistenza.

Find My

Ringraziamo Amr Elseehy per l'assistenza.

Kernel

Ringraziamo Brandon Azad di Google Project Zero, Daniel Roethlisberger di Swisscom CSIRT e Jann Horn di Google Project Zero per l'assistenza.

libresolv

Ringraziamo enh di Google per l'assistenza.

Local Authentication

Ringraziamo Ryan Lopopolo per l'assistenza.

mDNSResponder

Ringraziamo Gregor Lang di e.solutions GmbH per l'assistenza.

Postfix

Ringraziamo Chris Barker di Puppet per l'assistenza.

python

Ringraziamo un ricercatore anonimo per l'assistenza.

VPN

Ringraziamo Royce Gawron di Second Son Consulting, Inc. per l'assistenza.