Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Catalina 10.15
Data di rilascio: 7 ottobre 2019
AMD
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8748: Lilang Wu e Moony Li di TrendMicro Mobile Security Research Team
apache_mod_php
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: diversi problemi presenti in PHP.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di PHP alla versione 7.3.8.
CVE-2019-11041
CVE-2019-11042
Audio
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8706: Yu Zhou di Ant-financial Light-Year Security Lab
Voce aggiunta il 29 ottobre 2019
Audio
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8850: anonimo in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 4 dicembre 2019
Libri
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: l'analisi di un file iBooks dannoso può causare un'interruzione del servizio persistente.
Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8774: Gertjan Franken, imec-DistriNet di KU Leuven
Voce aggiunta il 29 ottobre 2019
CFNetwork
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8753: Łukasz Pilorz di Standard Chartered GBS Poland
Voce aggiunta il 29 ottobre 2019
CoreAudio
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: l'elaborazione di un file video dannoso può causare la divulgazione della memoria dei processi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2019-8705: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
CoreAudio
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: la riproduzione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8592: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 6 novembre 2019
CoreCrypto
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: l'elaborazione di un input di grandi dimensioni può causare una negazione del servizio.
Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8741: Nicky Mouha di NIST
Voce aggiunta il 29 ottobre 2019
CoreMedia
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8825: rilevato da GWP-ASan in Google Chrome
Voce aggiunta il 29 ottobre 2019
Crash Reporter
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: è possibile che l'impostazione “Condividi analisi Mac” non venga disabilitata quando un utente deseleziona l'interruttore per la condivisione delle informazioni di analisi.
Descrizione: si verificava una race condition durante la lettura e la scrittura delle preferenze dell'utente. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8757: William Cerniuk di Core Development, LLC
CUPS
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione dell'input.
CVE-2019-8736: Pawel Gocyla di ING Tech Poland (ingtechpoland.com)
Voce aggiunta il 29 ottobre 2019
CUPS
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: l'elaborazione di una stringa dannosa può danneggiare la memoria heap.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8767: Stephen Zeisberg
Voce aggiunta il 29 ottobre 2019
CUPS
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.
Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.
CVE-2019-8737: Pawel Gocyla di ING Tech Poland (ingtechpoland.com)
Voce aggiunta il 29 ottobre 2019
dyld
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8776: Jann Horn di Google Project Zero
Voce aggiunta il 3 febbraio 2020
Quarantena dei file
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'applicazione dannosa potrebbe elevare i privilegi.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2019-8509: CodeColorist di Ant-Financial LightYear Labs
Voce aggiunta il 29 ottobre 2019
Foundation
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8746: Natalie Silvanovich e Samuel Groß di Google Project Zero
Voce aggiunta il 29 ottobre 2019
Scheda grafica
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: l'esecuzione di uno shader dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.
CVE-2018-12152: Piotr Bania di Cisco Talos
CVE-2018-12153: Piotr Bania di Cisco Talos
CVE-2018-12154: Piotr Bania di Cisco Talos
Voce aggiunta il 29 ottobre 2019
IOGraphics
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2019-8759: un altro programmatore di 360 Nirvan Team
Voce aggiunta il 29 ottobre 2019
Driver Intel Graphics
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8758: Lilang Wu e Moony Li di Trend Micro
IOGraphics
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2019-8755: Lilang Wu e Moony Li di Trend Micro
Kernel
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'app locale può essere in grado di leggere un identificatore account persistente.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2019-8809: Apple
Voce aggiunta il 29 ottobre 2019
Kernel
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei pacchetti IPv6 che è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8744: Zhuo Liang di Qihoo 360 Vulcan Team
Voce aggiunta il 29 ottobre 2019
Kernel
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8717: Jann Horn di Google Project Zero
Kernel
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
CVE-2019-8781: Linus Henze (pinauten.de)
Voce aggiornata il 29 ottobre 2019
libxml2
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: diversi problemi presenti in libxml2.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.
CVE-2019-8749: rilevato da OSS-Fuzz
CVE-2019-8756: rilevato da OSS-Fuzz
Voce aggiunta il 29 ottobre 2019
libxslt
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: diversi problemi presenti in libxslt.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.
CVE-2019-8750: rilevato da OSS-Fuzz
Voce aggiunta il 29 ottobre 2019
mDNSResponder
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un utente malintenzionato in prossimità fisica può essere in grado di osservare passivamente i nomi dei dispositivi nelle comunicazioni AWDL.
Descrizione: il problema è stato risolto sostituendo i nomi dei dispositivi con un identificatore casuale.
CVE-2019-8799: David Kreitschmann e Milan Stute di Secure Mobile Networking Lab della Technische Universität Darmstadt
Voce aggiunta il 29 ottobre 2019
Menu
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8826: rilevato da GWP-ASan in Google Chrome
Voce aggiunta il 29 ottobre 2019
Note
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un utente locale può essere in grado di visualizzare le note bloccate di un utente.
Descrizione: i contenuti delle note bloccate talvolta erano mostrati nei risultati di ricerca. Il problema è stato risolto attraverso una migliore pulizia dei dati.
CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) della Virginia Polytechnic Institute and State University
PDFKit
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un utente malintenzionato può essere in grado di consentire l'esfiltrazione dei contenuti di un PDF codificato.
Descrizione: si verificava un problema nella gestione dei link nei PDF codificati. Il problema è stato risolto con l'aggiunta di una richiesta di conferma.
CVE-2019-8772: Jens Müller della Ruhr University Bochum, Fabian Ising della FH Münster University of Applied Sciences, Vladislav Mladenov della Ruhr University Bochum, Christian Mainka della Ruhr University Bochum, Sebastian Schinzel della FH Münster University of Applied Sciences e Jörg Schwenk della Ruhr University Bochum
PluginKit
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un utente locale può essere in grado di verificare l'esistenza di file arbitrari.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2019-8708: un ricercatore anonimo
Voce aggiunta il 29 ottobre 2019
PluginKit
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8715: un ricercatore anonimo
Voce aggiunta il 29 ottobre 2019
Sandbox
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'applicazione dannosa può accedere a file con restrizioni.
Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.
CVE-2019-8855: Apple
Voce aggiunta il 18 dicembre 2019
SharedFileList
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'applicazione dannosa può essere in grado di accedere ai documenti recenti.
Descrizione: il problema è stato risolto attraverso una migliore logica dei permessi.
CVE-2019-8770: Stanislav Zinukhov di Parallels International GmbH
sips
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) e pjf di IceSword Lab di Qihoo 360
UIFoundation
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: l'analisi di un file di testo dannoso può determinare la divulgazione delle informazioni utente.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8761: Paulos Yibelo di Limehats, Renee Trisberg di SpectX
Voce aggiornata il 10 agosto 2020
UIFoundation
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2019-8745: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
UIFoundation
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8831: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
Voce aggiunta il 18 novembre 2019
WebKit
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: l'accesso a un sito web dannoso può rivelare la cronologia di navigazione.
Descrizione: si verificava un problema nel disegnare gli elementi delle pagine web. Il problema è stato risolto attraverso una migliore logica.
CVE-2019-8769: Piérre Reimertz (@reimertz)
WebKit
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un utente potrebbe non riuscire a eliminare gli elementi della cronologia di navigazione.
Descrizione: “Cancella dati siti web e cronologia” non cancellava la cronologia. Il problema è stato risolto attraverso una migliore eliminazione dei dati.
CVE-2019-8768: Hugo S. Diaz (coldpointblue)
Wi-Fi
Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)
Impatto: un dispositivo può essere monitorato passivamente attraverso l'indirizzo MAC Wi-Fi.
Descrizione: un problema di privacy dell'utente è stato risolto rimuovendo l'indirizzo MAC broadcast.
CVE-2019-8854: FuriousMacTeam della United States Naval Academy e la Mitre Cooperation, Ta-Lun Yen di UCCU Hacker
Voce aggiunta il 4 dicembre 2019 e aggiornata il 18 dicembre 2019
Altri riconoscimenti
AppleRTC
Ringraziamo Vitaly Cheptsov per l'assistenza.
Voce aggiunta il 29 ottobre 2019
Audio
Ringraziamo riusksk di VulWar Corp che collabora con Zero Day Initiative di Trend Micro per l'assistenza.
Voce aggiunta il 29 ottobre 2019
boringssl
Ringraziamo Nimrod Aviram della Tel Aviv University, Robert Merget e Juraj Somorovsky della Ruhr University Bochum, Thijs Alkemade (@xnyhps) di Computest per l'assistenza.
Voce aggiunta l'8 ottobre 2019 e aggiornata il 29 ottobre 2019
curl
Ringraziamo Joseph Barisa dello School District di Philadelphia per l'assistenza.
Voce aggiunta il 3 febbraio 2020 e aggiornata l'11 febbraio 2020
Finder
Ringraziamo Csaba Fitzl (@theevilbit) per l'assistenza.
Gatekeeper
Ringraziamo Csaba Fitzl (@theevilbit) per l'assistenza.
Servizio di identificazione
Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.
Voce aggiunta il 29 ottobre 2019
Kernel
Ringraziamo Brandon Azad di Google Project Zero e Vlad Tsyrklevich per l'assistenza.
Voce aggiornata il 28 luglio 2020
Autenticazione locale
Ringraziamo Ryan Lopopolo per l'assistenza.
Voce aggiunta il 3 febbraio 2020
mDNSResponder
Ringraziamo Gregor Lang di e.solutions GmbH per l'assistenza.
Voce aggiunta il 29 ottobre 2019
python
Ringraziamo un ricercatore anonimo per l'assistenza.
Voce aggiunta il 29 ottobre 2019
Importazione dei dati di Safari
Ringraziamo Kent Zoya per l'assistenza.
Sicurezza
Ringraziamo Pepijn Dutour Geerling (pepijn.io) e un ricercatore anonimo per l'assistenza.
Voce aggiunta il 18 novembre 2019
Protocollo SCEP (Simple Certificate Enrollment Protocol)
Ringraziamo un ricercatore anonimo per l'assistenza.
Siri
Ringraziamo Yuval Ron, Amichai Shulman ed Eli Biham del Technion - Israel Institute of Technology per l'assistenza.
Voce aggiunta il 4 dicembre 2019 e aggiornata il 18 dicembre 2019
Telefonia
Ringraziamo Phil Stokes di SentinelOne per l'assistenza.
VPN
Ringraziamo Royce Gawron di Second Son Consulting, Inc. per l'assistenza.
Voce aggiunta il 29 ottobre 2019