Informazioni sui contenuti di sicurezza di macOS Mojave 10.14.6, aggiornamento di sicurezza 2019-004 per macOS High Sierra e aggiornamento di sicurezza 2019-004 per macOS Sierra

In questo documento vengono descritti i contenuti di sicurezza di macOS Mojave 10.14.6, dell'aggiornamento di sicurezza 2019-004 per macOS High Sierra e dell'aggiornamento di sicurezza 2019-004 per macOS Sierra.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle nuove versioni alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, visita la pagina relativa alla sicurezza dei prodotti Apple.

macOS Mojave 10.14.6, aggiornamento di sicurezza 2019-004 per macOS High Sierra e aggiornamento di sicurezza 2019-004 per macOS Sierra

Data di rilascio: 22 luglio 2019

AppleGraphicsControl

Disponibile per: macOS Mojave 10.14.5

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2019-8693: Arash Tohidi di Solita

autofs

Disponibile per: macOS Sierra 10.12.6, macOS Mojave 10.14.5 e macOS High Sierra 10.13.6

Impatto: l'estrazione di un file zip contenente un link simbolico a un endpoint in un montaggio NFS controllato da un malintenzionato può bypassare Gatekeeper.

Descrizione: il problema è stato risolto con ulteriori controlli da parte di Gatekeeper sui file attivati attraverso una condivisione di rete.

CVE-2019-8656: Filippo Cavallarin

Bluetooth

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.5

Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2018-19860

Carbon Core

Disponibile per: macOS Mojave 10.14.5

Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8661: Natalie Silvanovich di Google Project Zero

Core Data

Disponibile per: macOS Mojave 10.14.5

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8646: Natalie Silvanovich di Google Project Zero

Core Data

Disponibile per: macOS Mojave 10.14.5

Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8660: Samuel Groß e Natalie Silvanovich di Google Project Zero

Gestione disco

Disponibile per: macOS Mojave 10.14.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8697: ccpwd in collaborazione con Zero Day Initiative di Trend Micro

FaceTime

Disponibile per: macOS Mojave 10.14.5

Impatto: un malintenzionato collegato in remoto può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8648: Tao Huang e Tielei Wang di Team Pangu

Trovati nelle app

Disponibile per: macOS Mojave 10.14.5

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8663: Natalie Silvanovich di Google Project Zero

Foundation

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.5

Impatto: un malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8641: Samuel Groß e Natalie Silvanovich di Google Project Zero

Grapher

Disponibile per: macOS Mojave 10.14.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8695: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

Driver della scheda grafica

Disponibile per: macOS Mojave 10.14.5 e macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2019-8691: Aleksandr Tarasikov (@astarasikov), Arash Tohidi di Solita, Lilang Wu e Moony Li di Trend Micro Mobile Security Research Team in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8692: Lilang Wu e Moony Li di Trend Micro Mobile Security Research Team in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiornata il 25 luglio 2019

Heimdal

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.5

Impatto: un problema in Samba può consentire ai malintenzionati di eseguire azioni non autorizzate intercettando le comunicazioni tra i servizi.

Descrizione: questo problema è stato risolto attraverso migliori controlli in modo da evitare azioni non autorizzate.

CVE-2018-16860: Isaac Boukris e Andrew Bartlett del Samba Team e Catalyst

IOAcceleratorFamily

Disponibile per: macOS Mojave 10.14.5

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8694: Arash Tohidi di Solita

libxslt

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.5

Impatto: un malintenzionato collegato in remoto può essere in grado di visualizzare informazioni riservate

Descrizione: un overflow dello stack è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-13118: rilevato da OSS-Fuzz

QuickLook

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.5

Impatto: un malintenzionato può attivare una vulnerabilità use-after-free in un'applicazione deserializzando un NSDictionary non registrato.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8662: Natalie Silvanovich e Samuel Groß di Google Project Zero

Safari

Disponibile per: macOS Mojave 10.14.5

Impatto: l'accesso a un sito web dannoso può causare lo spoofing della barra degli indirizzi.

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2019-8670: Tsubasa FUJII (@reinforchu)

Sicurezza

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8697: ccpwd in collaborazione con Zero Day Initiative di Trend Micro

Siri

Disponibile per: macOS Mojave 10.14.5

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8646: Natalie Silvanovich di Google Project Zero

Time Machine

Disponibile per: macOS Mojave 10.14.5

Impatto: lo stato di crittografia di un backup di Time Machine potrebbe non essere corretto.

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2019-8667: Roland Kletzing di cyber:con GmbH

UIFoundation

Disponibile per: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 e macOS Mojave 10.14.5

Impatto: l'analisi di un documento Microsoft Office dannoso può causare una chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8657: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: macOS Mojave 10.14.5

Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.

Descrizione: si verificava un problema logico nella gestione dei caricamenti dei documenti. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8690: Sergei Glazunov di Google Project Zero

WebKit

Disponibile per: macOS Mojave 10.14.5

Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.

Descrizione: si verificava un problema logico nella gestione dei caricamenti simultanei delle pagine. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8649: Sergei Glazunov di Google Project Zero

WebKit

Disponibile per: macOS Mojave 10.14.5

Impatto: l'elaborazione di contenuti web dannosi può causare cross-site scripting universale.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8658: akayn in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: macOS Mojave 10.14.5

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione della memoria.

CVE-2019-8644: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8666: Zongming Wang (王宗明) e Zhe Jin (金哲) del Chengdu Security Response Center di Qihoo 360 Technology Co. Ltd.

CVE-2019-8669: akayn in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8671: Apple

CVE-2019-8672: Samuel Groß di Google Project Zero

CVE-2019-8673: Soyeon Park e Wen Xu di SSLab presso Georgia Tech

CVE-2019-8676: Soyeon Park e Wen Xu di SSLab presso Georgia Tech

CVE-2019-8677: Jihui Lu di Tencent KeenLab

CVE-2019-8678: un ricercatore anonimo, Anthony Lai (@darkfloyd1014) di Knownsec, Ken Wong (@wwkenwong) di VXRL, Jeonghoon Shin (@singi21a) di Theori, Johnny Yu (@straight_blast) di VX Browser Exploitation Group, Chris Chan (@dr4g0nfl4me) di VX Browser Exploitation Group, Phil Mok (@shadyhamsters) di VX Browser Exploitation Group, Alan Ho (@alan_h0) di Knownsec e Byron Wai di VX Browser Exploitation

CVE-2019-8679: Jihui Lu di Tencent KeenLab

CVE-2019-8680: Jihui Lu di Tencent KeenLab

CVE-2019-8681: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8683: lokihardt di Google Project Zero

CVE-2019-8684: lokihardt di Google Project Zero

CVE-2019-8685: akayn, Dongzhuo Zhao in collaborazione con ADLab di Venustech, Ken Wong (@wwkenwong) di VXRL, Anthony Lai (@darkfloyd1014) di VXRL ed Eric Lung (@Khlung1) di VXRL

CVE-2019-8686: G. Geshev in collaborazione con Zero Day Initiative di Trend Micro

CVE-2019-8687: Apple

CVE-2019-8688: Insu Yun di SSLab presso Georgia Tech

CVE-2019-8689: lokihardt di Google Project Zero

Altri riconoscimenti

Classroom

Ringraziamo Jeff Johnson Inc. di underpassapp.com per l'assistenza.

Game Center

Ringraziamo Min (Spark) Zheng and Xiaolong Bai di Alibaba Inc. per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: