Informazioni sui contenuti di sicurezza di macOS Mojave 10.14.4, aggiornamento di sicurezza 2019-002 per macOS High Sierra e aggiornamento di sicurezza 2019-002 per macOS Sierra
In questo documento vengono descritti i contenuti di sicurezza di macOS Mojave 10.14.4, dell'aggiornamento di sicurezza 2019-002 per High Sierra e dell'aggiornamento di sicurezza 2019-002 per Sierra.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Mojave 10.14.4, aggiornamento di sicurezza 2019-002 per macOS High Sierra, aggiornamento di sicurezza 2019-002 per macOS Sierra
802.1X
Disponibile per: macOS Mojave 10.14.3
Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico di rete.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-6203: Dominic White di SensePost (@singe)
802.1X
Disponibile per: macOS High Sierra 10.13.6
Impatto: un certificato non attendibile di un server RADIUS può risultare attendibile.
Descrizione: si verificava un problema di convalida in Trust Anchor Management. Il problema è stato risolto attraverso una migliore convalida.
CVE-2019-8531: un ricercatore anonimo, QA team di SecureW2
Account
Disponibile per: macOS Mojave 10.14.3
Impatto: l'elaborazione di un file vcf dannoso può causare una negazione del servizio.
Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
APFS
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: si verificava un problema logico che provocava il danneggiamento della memoria. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8534: Mac in collaborazione con Zero Day Initiative di Trend Micro
AppleGraphicsControl
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.
Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.
CVE-2019-8555: Zhiyi Zhang di 360 ESG Codesafe Team, Zhuo Liang e shrek_wzw di Qihoo 360 Nirvan Team
Bom
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione dannosa può riuscire a bypassare i controlli di Gatekeeper.
Descrizione: questo problema è stato risolto con una migliore gestione dei metadati dei file.
CVE-2019-6239: Ian Moorhouse e Michael Trimm
CFString
Disponibile per: macOS Mojave 10.14.3
Impatto: l'elaborazione di una stringa dannosa può causare una negazione del servizio.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2019-8516: SWIPS Team di Frifee Inc.
configd
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione dannosa potrebbe elevare i privilegi.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Contatti
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8511: un ricercatore anonimo
CoreCrypto
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione dannosa potrebbe elevare i privilegi.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2019-8542: un ricercatore anonimo
DiskArbitration
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: un volume codificato può essere disattivato e riattivato da un altro utente senza richiedere la password.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8522: Colin Meginnis (@falc420)
FaceTime
Disponibile per: macOS Mojave 10.14.3
Impatto: non è possibile mettere in pausa il video di un utente durante una chiamata FaceTime se l'utente esce dall'app FaceTime mentre viene emesso il tono di chiamata.
Descrizione: esisteva un problema nella pausa dei video FaceTime. Questo problema è stato risolto attraverso una migliore logica.
CVE-2019-8550: Lauren Guzniczak di Keystone Academy
FaceTime
Disponibile per: macOS Mojave 10.14.3
Impatto: un utente malintenzionato locale può essere in grado di visualizzare i contatti dal blocco schermo.
Descrizione: un problema relativo al blocco schermo consentiva l'accesso ai contatti su un dispositivo bloccato. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8777: Abdullah H. AlJaber (@aljaber) di AJ.SA
Assistente Feedback
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione pericolosa può essere in grado di ottenere privilegi root.
Descrizione: una race condition è stata risolta con un'ulteriore convalida.
CVE-2019-8565: CodeColorist di Ant-Financial LightYear Labs
Assistente Feedback
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8521: CodeColorist di Ant-Financial LightYear Labs
file
Disponibile per: macOS Mojave 10.14.3
Impatto: l'elaborazione di un file dannoso potrebbe divulgare informazioni dell'utente.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2019-8906: Francisco Alonso
Driver della scheda grafica
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) e Junzhi Lu di Trend Micro Research in collaborazione con Zero Day Initiative di Trend Micro, Lilang Wu e Moony Li di Trend Micro
iAP
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione dannosa potrebbe elevare i privilegi.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2019-8542: un ricercatore anonimo
IOGraphics
Disponibile per: macOS Mojave 10.14.3
Impatto: un Mac potrebbe non essere in grado di bloccarsi quando viene scollegato da un monitor esterno.
Descrizione: un problema di gestione dei blocchi è stato risolto attraverso una migliore gestione dei blocchi.
CVE-2019-8533: un ricercatore anonimo, James Eagan di Télécom ParisTech, R. Scott Kemp di MIT e Romke van Dijk di Z-CERT
IOHIDFamily
Disponibile per: macOS Mojave 10.14.3
Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8545: Adam Donenfeld (@doadam) di Zimperium zLabs Team
IOKit
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: un utente locale può essere in grado di leggere la memoria del kernel.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8504: un ricercatore anonimo
IOKit SCSI
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8529: Juwei Lin (@panicaII) di Trend Micro Research in collaborazione con Zero Day Initiative di Trend Micro
Kernel
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impatto: un utente locale può essere in grado di leggere la memoria del kernel.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2018-4448: Brandon Azad
Kernel
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: un utente malintenzionato remoto può essere in grado di modificare i dati sul traffico di rete
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei pacchetti IPv6 che è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-5608: Apple
Kernel
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: un utente malintenzionato remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.
Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.
CVE-2019-8527: Ned Williamson di Google e derrek (@derrekr6)
Kernel
Disponibile per: macOS Mojave 10.14.3, macOS High Sierra 10.13.6
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) del Vulcan Team di Qihoo 360
Kernel
Disponibile per: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impatto: l'attivazione di una rete NFS condivisa dannosa potrebbe portare all'esecuzione di codice arbitrario con i privilegi di sistema.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2019-8508: Dr. Silvio Cesare di InfoSect
Kernel
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8514: Samuel Groß di Google Project Zero
Kernel
Disponibile per: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8540: Weibo Wang (@ma1fan) del Nirvan Team di Qihoo 360
Kernel
Disponibile per: macOS Mojave 10.14.3
Impatto: un utente locale può essere in grado di leggere la memoria del kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-7293: Ned Williamson di Google
Kernel
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-6207: Weibo Wang del Nirvan Team di Qihoo 360(@ma1fan)
CVE-2019-8510: Stefan Esser di Antid0te UG
Kernel
Disponibile per: macOS Mojave 10.14.3
Impatto: un utente malintenzionato remoto può causare una perdita di memoria.
Descrizione: si verificava un problema di lettura non nei limiti che causava la divulgazione della memoria del kernel. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8547: derrek (@derrekr6)
Kernel
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8525: Zhuo Liang e shrek_wzw del Nirvan Team di Qihoo 360
libmalloc
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impatto: un'applicazione dannosa può essere in grado di modificare parti protette del file system.
Descrizione: un problema di configurazione è stato risolto attraverso restrizioni aggiuntive.
CVE-2018-4433: Vitaly Cheptsov
Disponibile per: macOS Mojave 10.14.3
Impatto: l'elaborazione di un messaggio di posta dannoso può causare lo spoofing della firma S/MIME.
Descrizione: un problema nella gestione dei certificati S/MIME è stato risolto attraverso una migliore convalida dei certificati S/MIME.
CVE-2019-8642: Maya Sigal e Volker Roth della Freie Universität Berlin
Disponibile per: macOS Mojave 10.14.3
Impatto: un utente malintenzionato in una posizione privilegiata sulla rete può essere in grado di intercettare i contenuti delle email con crittografia S/MIME.
Descrizione: un problema nella gestione della codifica in Mail è stato risolto attraverso un migliore isolamento di MIME in Mail.
CVE-2019-8645: Maya Sigal e Volker Roth della Freie Universität Berlin
Messaggi
Disponibile per: macOS Mojave 10.14.3
Impatto: un utente locale può essere in grado di visualizzare informazioni riservate degli utenti.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.
CVE-2019-8546: ChiYuan Chang
Modem CCL
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8579: un ricercatore anonimo
Note
Disponibile per: macOS Mojave 10.14.3
Impatto: un utente locale può essere in grado di visualizzare le note bloccate di un utente.
Descrizione: un problema di accesso è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8537: Greg Walker (gregwalker.us)
PackageKit
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: un'applicazione dannosa potrebbe rendere più elevati i privilegi.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2019-8561: Jaron Bradley di Crowdstrike
Perl
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: diversi problemi presenti in Perl.
Descrizione: in questo aggiornamento vengono risolti diversi problemi di Perl.
CVE-2018-12015: Jakub Wilk
CVE-2018-18311: Jayakrishna Menon
CVE-2018-18313: Eiichi Tsukata
Gestione dell'energia
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificavano diversi problemi di convalida dell'input nel codice generato da MIG. Questi problemi sono stati risolti con una migliore convalida.
CVE-2019-8549: Mohamed Ghannam (@_simo36) di SSD Secure Disclosure (ssd-disclosure.com)
QuartzCore
Disponibile per: macOS Mojave 10.14.3
Impatto: l'elaborazione di dati dannosi può causare l'arresto improvviso dell'applicazione.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.
CVE-2019-8507: Kai Lu di FortiGuard Labs di Fortinet
Sandbox
Disponibile per: macOS Mojave 10.14.3
Impatto: un processo sandbox può essere in grado di eludere le restrizioni della sandbox.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2019-8618: Brandon Azad
Sicurezza
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8526: Linus Henze (pinauten.de)
Sicurezza
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: un'applicazione dannosa può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2019-8520: Antonio Groza, National Cyber Security Centre (NCSC) del Regno Unito
Sicurezza
Disponibile per: macOS Mojave 10.14.3
Impatto: un certificato non attendibile di un server RADIUS può risultare attendibile.
Descrizione: si verificava un problema di convalida in Trust Anchor Management. Il problema è stato risolto attraverso una migliore convalida.
CVE-2019-8531: un ricercatore anonimo, QA team di SecureW2
Sicurezza
Disponibile per: macOS Mojave 10.14.3
Impatto: un certificato non attendibile di un server RADIUS può risultare attendibile.
Descrizione: si verificava un problema di convalida in Trust Anchor Management. Il problema è stato risolto attraverso una migliore convalida.
CVE-2019-8531: un ricercatore anonimo, QA team di SecureW2
Siri
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione dannosa può causare l'avvio di una richiesta di dettatura senza l'autorizzazione dell'utente.
Descrizione: si verificava un problema dell'API nella gestione delle richieste di dettatura. Il problema è stato risolto attraverso una migliore convalida.
CVE-2019-8502: Luke Deshotels della North Carolina State University, Jordan Beichler della North Carolina State University, William Enck della North Carolina State University, Costin Carabaş e Răzvan Deaconescu dell'Università Politehnica di Bucarest
Time Machine
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: un utente locale può essere in grado di eseguire comandi shell arbitrari.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8513: CodeColorist di Ant-Financial LightYear Security Lab
Supporto per la Touch Bar
Disponibile per: macOS Mojave 10.14.3
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8569: Viktor Oreshkin (@stek29)
TrueTypeScaler
Disponibile per: macOS Mojave 10.14.3
Impatto: l'elaborazione di un font dannoso può causare la divulgazione della memoria dei processi.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2019-8517: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
Wi-Fi
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impatto: un utente malintenzionato in una posizione di rete privilegiata può modificare lo stato dei driver.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2019-8564: Hugues Anguelkov durante un tirocinio presso Quarkslab
Wi-Fi
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impatto: un utente malintenzionato in una posizione di rete privilegiata può modificare lo stato dei driver.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8612: Milan Stute di Secure Mobile Networking Lab della Technische Universität Darmstadt
Wi-Fi
Disponibile per: macOS Mojave 10.14.3
Impatto: un dispositivo può essere monitorato passivamente attraverso l'indirizzo MAC Wi-Fi.
Descrizione: un problema di privacy dell'utente è stato risolto rimuovendo l'indirizzo MAC broadcast.
CVE-2019-8567: David Kreitschmann e Milan Stute del Secure Mobile Networking Lab della Technische Universität Darmstadt
xar
Disponibile per: macOS Mojave 10.14.3
Impatto: l'elaborazione di un pacchetto dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)
XPC
Disponibile per: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8530: CodeColorist di Ant-Financial LightYear Labs
Altri riconoscimenti
Account
Ringraziamo Milan Stute del Secure Mobile Networking Lab della Technische Universität Darmstadt per l'assistenza.
Libri
Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.
Kernel
Ringraziamo Brandon Azad, Brandon Azad di Google Project Zero, Daniel Roethlisberger di Swisscom CSIRT, Raz Mashat (@RazMashat) della Ilan Ramon High School per l'assistenza.
Ringraziamo Craig Young di Tripwire VERT e Hanno Böck per l'assistenza.
Time Machine
Ringraziamo CodeColorist di Ant-Financial LightYear Labs per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.