Informazioni sui contenuti di sicurezza di macOS Catalina 10.15

In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Catalina 10.15

Data di rilascio: 7 ottobre 2019

AMD

Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8748: Lilang Wu e Moony Li di Trend Micro Mobile Security Research Team

apache_mod_php

Impatto: diversi problemi presenti in PHP

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di PHP alla versione 7.3.8.

CVE-2019-11041

CVE-2019-11042

Audio

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8706: Yu Zhou di Ant-Financial Light-Year Security Lab

Voce aggiunta il 29 ottobre 2019

Audio

Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8850: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il mercoledì 4 dicembre 2019

Libri

Impatto: l'analisi di un file iBooks dannoso può causare un'interruzione del servizio persistente.

Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8774: Gertjan Franken imec-DistriNet di KU Leuven

Voce aggiunta il 29 ottobre 2019

CFNetwork

Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8753: Łukasz Pilorz di Standard Chartered GBS Poland

Voce aggiunta il 29 ottobre 2019

CoreAudio

Impatto: l'elaborazione di un file video dannoso può causare la divulgazione della memoria dei processi

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2019-8705: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

CoreAudio

Impatto: la riproduzione di un file audio dannoso può causare l'esecuzione di codice arbitrario

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8592: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 6 novembre 2019

CoreCrypto

Impatto: l'elaborazione di un input di grandi dimensioni può portare a un'interruzione del servizio

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8741: Nicky Mouha di NIST

Voce aggiunta il 29 ottobre 2019

CoreMedia

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8825: rilevato da GWP-ASan in Google Chrome

Voce aggiunta il 29 ottobre 2019

Crash Reporter

Impatto: è possibile che l'impostazione “Condividi analisi Mac” non venga disabilitata quando un utente deseleziona l'interruttore per la condivisione delle informazioni di analisi

Descrizione: si verificava una race condition durante la lettura e la scrittura delle preferenze dell'utente. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8757: William Cerniuk di Core Development, LLC

CUPS

Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione dell'input.

CVE-2019-8736: Pawel Gocyla di ING Tech Poland (ingtechpoland.com)

Voce aggiunta il 29 ottobre 2019

CUPS

Impatto: l'elaborazione di una stringa dannosa può danneggiare la memoria heap.

Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8767: Stephen Zeisberg

Voce aggiunta il 29 ottobre 2019

CUPS

Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2019-8737: Pawel Gocyla di ING Tech Poland (ingtechpoland.com)

Voce aggiunta il 29 ottobre 2019

Quarantena dei file

Impatto: un'applicazione dannosa potrebbe elevare i privilegi.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2019-8509: CodeColorist di Ant-Financial Light-Year Labs

Voce aggiunta il 29 ottobre 2019

Foundation

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8746: Natalie Silvanovich e Samuel Groß di Google Project Zero

Voce aggiunta il 29 ottobre 2019

Scheda grafica

Impatto: l'esecuzione di uno shader dannoso può comportare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.

CVE-2018-12152: Piotr Bania di Cisco Talos

CVE-2018-12153: Piotr Bania di Cisco Talos

CVE-2018-12154: Piotr Bania di Cisco Talos

Voce aggiunta il 29 ottobre 2019

IOGraphics

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2019-8759: another di 360 Nirvan Team

Voce aggiunta il 29 ottobre 2019

Driver Intel Graphics

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8758: Lilang Wu e Moony Li di Trend Micro

IOGraphics

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2019-8755: Lilang Wu e Moony Li di Trend Micro

Kernel

Impatto: un'app locale può essere in grado di leggere un identificatore account persistente

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2019-8809: Apple

Voce aggiunta il 29 ottobre 2019

Kernel

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei pacchetti IPv6 che è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8744: Zhuo Liang del Vulcan Team di Qihoo 360

Voce aggiunta il 29 ottobre 2019

Kernel

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8717: Jann Horn di Google Project Zero

Kernel

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

Voce aggiornata il 29 ottobre 2019

libxml2

Impatto: diversi problemi presenti in libxml2

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.

CVE-2019-8749: rilevato da OSS-Fuzz

CVE-2019-8756: rilevato da OSS-Fuzz

Voce aggiunta il 29 ottobre 2019

libxslt

Impatto: diversi problemi presenti in libxslt

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.

CVE-2019-8750: rilevato da OSS-Fuzz

Voce aggiunta il 29 ottobre 2019

mDNSResponder

Impatto: un utente malintenzionato in prossimità fisica può essere in grado di osservare passivamente i nomi dei dispositivi nelle comunicazioni AWDL

Descrizione: il problema è stato risolto sostituendo i nomi dei dispositivi con un identificatore casuale.

CVE-2019-8799: David Kreitschmann e Milan Stute di Secure Mobile Networking Lab presso Technische Universität Darmstadt

Voce aggiunta il 29 ottobre 2019

Menu

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8826: rilevato da GWP-ASan in Google Chrome

Voce aggiunta il 29 ottobre 2019

Note

Impatto: un utente locale può essere in grado di visualizzare le note bloccate di un utente

Descrizione: i contenuti delle note bloccate talvolta erano mostrati nei risultati di ricerca. Il problema è stato risolto attraverso una migliore pulizia dei dati.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) della Virginia Polytechnic Institute and State University

PDFKit

Impatto: un utente malintenzionato può essere in grado di esfiltrare i contenuti di un PDF codificato

Descrizione: si verificava un problema nella gestione dei link nei PDF codificati. Il problema è stato risolto con l'aggiunta di una richiesta di conferma.

CVE-2019-8772: Jens Müller della Ruhr University Bochum, Fabian Ising della FH Münster University of Applied Sciences, Vladislav Mladenov della Ruhr University Bochum, Christian Mainka della Ruhr University Bochum, Sebastian Schinzel della FH Münster University of Applied Sciences e Jörg Schwenk della Ruhr University Bochum

PluginKit

Impatto: un utente locale può essere in grado di verificare l'esistenza di file arbitrari

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2019-8708: un ricercatore anonimo

Voce aggiunta il 29 ottobre 2019

PluginKit

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8715: un ricercatore anonimo

Voce aggiunta il 29 ottobre 2019

Sandbox

Impatto: un'applicazione dannosa può accedere a file con restrizioni

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2019-8855: Apple

Voce aggiunta mercoledì 18 dicembre 2019

SharedFileList

Impatto: un'applicazione dannosa può essere in grado di accedere ai documenti recenti

Descrizione: il problema è stato risolto attraverso una migliore logica dei permessi.

CVE-2019-8770: Stanislav Zinukhov di Parallels International GmbH

sips

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) e pjf di IceSword Lab di Qihoo 360

UIFoundation

Impatto: l'analisi di un file di testo dannoso può determinare la divulgazione delle informazioni utente

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8761: Renee Trisberg di SpectX

Voce aggiunta martedì 29 ottobre 2019

UIFoundation

Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-8745: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

UIFoundation

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8831: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta lunedì 18 novembre 2019

WebKit

Impatto: l'accesso a un sito web dannoso può rivelare la cronologia di navigazione

Descrizione: si verificava un problema nel disegnare gli elementi delle pagine web. Il problema è stato risolto attraverso una migliore logica.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Impatto: un utente potrebbe non essere in grado di eliminare gli elementi della cronologia di navigazione

Descrizione: “Cancella dati siti web e cronologia” non cancellava la cronologia. Il problema è stato risolto attraverso una migliore eliminazione dei dati.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Wi-Fi

Impatto: un dispositivo può essere monitorato passivamente attraverso l'indirizzo MAC Wi-Fi.

Descrizione: un problema di privacy dell'utente è stato risolto rimuovendo l'indirizzo MAC broadcast.

CVE-2019-8854: FuriousMacTeam della United States Naval Academy e Mitre Cooperation, Ta-Lun Yen di UCCU Hacker

Voce aggiunta mercoledì 4 dicembre 2019 e aggiornata mercoledì 18 dicembre 2019

Altri riconoscimenti

AppleRTC

Ringraziamo Vitaly Cheptsov per l'assistenza.

Voce aggiunta martedì 29 ottobre 2019

Audio

Ringraziamo riusksk di VulWar Corp che collabora con Zero Day Initiative di Trend Micro per l'assistenza.

Voce aggiunta martedì 29 ottobre 2019

boringssl

Ringraziamo Nimrod Aviram dell'Università di Tel Aviv, Robert Merget e Juraj Somorovsky della Ruhr-Universität Bochum, Thijs Alkemade (@xnyhps) di Computest per l'assistenza.

Voce aggiunta l'8 ottobre 2019 e aggiornata il 29 ottobre 2019

Finder

Ringraziamo Csaba Fitzl (@theevilbit) per l'assistenza.

Gatekeeper

Ringraziamo Csaba Fitzl (@theevilbit) per l'assistenza.

Identity Service

Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Kernel

Ringraziamo Brandon Azad di Google Project Zero per l'assistenza.

Voce aggiunta il 29 ottobre 2019

mDNSResponder

Ringraziamo Gregor Lang di e.solutions GmbH per l'assistenza.

Voce aggiunta il 29 ottobre 2019

python

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta martedì 29 ottobre 2019

Importazione dei dati di Safari

Ringraziamo Kent Zoya per l'assistenza.

Sicurezza

Ringraziamo Pepijn Dutour Geerling (pepijn.io), un ricercatore anonimo, per l'assistenza.

Voce aggiunta lunedì 18 novembre 2019

Protocollo SCEP (Simple Certificate Enrollment Protocol)

Ringraziamo un ricercatore anonimo per l'assistenza.

Siri

Vorremmo ringraziare Yuval Ron, Amichai Shulman ed Eli Biham del Technion of Israel Institute of Technology per l'assistenza.

Voce aggiunta mercoledì 4 dicembre 2019 e aggiornata mercoledì 18 dicembre 2019

Telefonia

Ringraziamo Phil Stokes di SentinelOne per l'assistenza.

VPN

Ringraziamo Royce Gawron di Second Son Consulting, Inc. per l'assistenza.

Voce aggiunta martedì 29 ottobre 2019

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: dicembre 31, 2019