Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Mojave 10.14.6, aggiornamento di sicurezza 2019-004 per macOS High Sierra e aggiornamento di sicurezza 2019-004 per macOS Sierra
Data di rilascio: 22 luglio 2019
AppleGraphicsControl
Disponibile per: macOS Mojave 10.14.5
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2019-8693: Arash Tohidi di Solita
autofs
Disponibile per: macOS Sierra 10.12.6, macOS Mojave 10.14.5 e macOS High Sierra 10.13.6
Impatto: l'estrazione di un file zip contenente un link simbolico a un endpoint in un montaggio NFS controllato da un utente malintenzionato può bypassare Gatekeeper.
Descrizione: il problema è stato risolto con ulteriori controlli da parte di Gatekeeper sui file montati attraverso una rete condivisa.
CVE-2019-8656: Filippo Cavallarin
Bluetooth
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.5
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2018-19860
Bluetooth
Disponibile per: macOS Sierra 10.12.6, macOS Mojave 10.14.5 e macOS High Sierra 10.13.6
Impatto: un utente malintenzionato in una posizione di rete privilegiata può essere in grado di intercettare il traffico Bluetooth (Key Negotiation of Bluetooth - KNOB).
Descrizione: esisteva un problema di convalida dell'input relativo al Bluetooth. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-9506: Daniele Antonioli di SUTD, Singapore, Dr. Nils Ole Tippenhauer di CISPA, Germania, e Prof. Kasper Rasmussen della University of Oxford, Inghilterra
Le modifiche a questo problema limitano CVE-2020-10135.
Voce aggiunta il 13 agosto 2019 e aggiornata il 25 giugno 2020
Carbon Core
Disponibile per: macOS Mojave 10.14.5
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8661: natashenka di Google Project Zero
Core Data
Disponibile per: macOS Mojave 10.14.5
Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8646: natashenka di Google Project Zero
Core Data
Disponibile per: macOS Mojave 10.14.5
Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8660: Samuel Groß e natashenka di Google Project Zero
CUPS
Disponibile per: macOS Sierra 10.12.6, macOS Mojave 10.14.5 e macOS High Sierra 10.13.6
Impatto: un malintenzionato in una posizione privilegiata in rete può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8675: Stephan Zeisberg (github.com/stze) di Security Research Labs (srlabs.de)
CVE-2019-8696: Stephan Zeisberg (github.com/stze) di Security Research Labs (srlabs.de)
Voce aggiunta il 14 agosto 2019 e aggiornata il 17 settembre 2019
Gestione disco
Disponibile per: macOS Mojave 10.14.5
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8539: ccpwd in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 17 settembre 2019
Gestione disco
Disponibile per: macOS Mojave 10.14.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8697: ccpwd in collaborazione con Zero Day Initiative di Trend Micro
FaceTime
Disponibile per: macOS Mojave 10.14.5
Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8648: Tao Huang e Tielei Wang di Team Pangu
Trovati nelle app
Disponibile per: macOS Mojave 10.14.5
Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8663: natashenka di Google Project Zero
Game Center
Disponibile per: macOS Mojave 10.14.5
Impatto: un utente locale potrebbe riuscire a leggere un identificatore account persistente.
Descrizione: questo problema è stato risolto con una nuova autorizzazione.
CVE-2019-8702: Min (Spark) Zheng e Xiaolong Bai di Alibaba Inc.
Voce aggiunta il 24 febbraio 2020
Grapher
Disponibile per: macOS Mojave 10.14.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8695: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
Driver della scheda grafica
Disponibile per: macOS Mojave 10.14.5 e macOS High Sierra 10.13.6
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2019-8691: Aleksandr Tarasikov (@astarasikov), Arash Tohidi di Solita, Lilang Wu e Moony Li del Mobile Security Research Team di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
CVE-2019-8692: Lilang Wu e Moony Li del Mobile Security Research Team di Trend Micro in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiornata il 25 luglio 2019
Heimdal
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.5
Impatto: un problema in Samba può consentire a utenti malintenzionati di eseguire azioni non autorizzate intercettando le comunicazioni tra i servizi.
Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.
CVE-2018-16860: Isaac Boukris e Andrew Bartlett di Samba Team e Catalyst
IOAcceleratorFamily
Disponibile per: macOS Mojave 10.14.5
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8694: Arash Tohidi di Solita
libxslt
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.5
Impatto: un utente malintenzionato collegato in remoto può essere in grado di visualizzare dati sensibili.
Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-13118: rilevato da OSS-Fuzz
QuickLook
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.5
Impatto: un utente malintenzionato può attivare una vulnerabilità use-after-free in un'applicazione deserializzando un NSDictionary non attendibile.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8662: natashenka e Samuel Groß di Google Project Zero
Safari
Disponibile per: macOS Mojave 10.14.5
Impatto: l'accesso a un sito web dannoso può causare lo spoofing della barra degli indirizzi.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2019-8670: Tsubasa FUJII (@reinforchu)
Sicurezza
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8697: ccpwd in collaborazione con Zero Day Initiative di Trend Micro
sips
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) e pjf di IceSword Lab di Qihoo 360
Voce aggiunta l'8 ottobre 2019
Siri
Disponibile per: macOS Mojave 10.14.5
Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8646: natashenka di Google Project Zero
Time Machine
Disponibile per: macOS Mojave 10.14.5
Impatto: lo stato di crittografia di un backup di Time Machine potrebbe non essere corretto.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2019-8667: Roland Kletzing di cyber:con GmbH
UIFoundation
Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.5
Impatto: l'analisi di un documento Microsoft Office dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8657: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: macOS Mojave 10.14.5
Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.
Descrizione: si verificava un problema logico nella gestione dei caricamenti dei documenti. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8690: Sergei Glazunov di Google Project Zero
WebKit
Disponibile per: macOS Mojave 10.14.5
Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.
Descrizione: si verificava un problema logico nella gestione dei caricamenti simultanei delle pagine. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8649: Sergei Glazunov di Google Project Zero
WebKit
Disponibile per: macOS Mojave 10.14.5
Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8658: akayn in collaborazione con Zero Day Initiative di Trend Micro
WebKit
Disponibile per: macOS Mojave 10.14.5
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.
CVE-2019-8644: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro
CVE-2019-8666: Zongming Wang (王宗明) e Zhe Jin (金哲) del Chengdu Security Response Center di Qihoo 360 Technology Co. Ltd.
CVE-2019-8669: akayn in collaborazione con Zero Day Initiative di Trend Micro
CVE-2019-8671: Apple
CVE-2019-8672: Samuel Groß di Google Project Zero
CVE-2019-8673: Soyeon Park e Wen Xu di SSLab del Georgia Tech
CVE-2019-8676: Soyeon Park e Wen Xu di SSLab del Georgia Tech
CVE-2019-8677: Jihui Lu di Tencent KeenLab
CVE-2019-8678: un ricercatore anonimo, Anthony Lai (@darkfloyd1014) di Knownsec, Ken Wong (@wwkenwong) di VXRL, Jeonghoon Shin (@singi21a) di Theori, Johnny Yu (@straight_blast) di VX Browser Exploitation Group, Chris Chan (@dr4g0nfl4me) di VX Browser Exploitation Group, Phil Mok (@shadyhamsters) di VX Browser Exploitation Group, Alan Ho (@alan_h0) di Knownsec e Byron Wai di VX Browser Exploitation
CVE-2019-8679: Jihui Lu di Tencent KeenLab
CVE-2019-8680: Jihui Lu di Tencent KeenLab
CVE-2019-8681: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro
CVE-2019-8683: lokihardt di Google Project Zero
CVE-2019-8684: lokihardt di Google Project Zero
CVE-2019-8685: akayn, Dongzhuo Zhao in collaborazione con ADLab di Venustech, Ken Wong (@wwkenwong) di VXRL, Anthony Lai (@darkfloyd1014) di VXRL ed Eric Lung (@Khlung1) di VXRL
CVE-2019-8686: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro
CVE-2019-8687: Apple
CVE-2019-8688: Insu Yun di SSLab del Georgia Tech
CVE-2019-8689: lokihardt di Google Project Zero
Altri riconoscimenti
Classroom
Ringraziamo Jeff Johnson di underpassapp.com per l'assistenza.
Game Center
Ringraziamo Min (Spark) Zheng and Xiaolong Bai di Alibaba Inc. per l'assistenza.