Informazioni sui contenuti di sicurezza di macOS Catalina 10.15

In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Catalina 10.15

Data di rilascio: 7 ottobre 2019

AMD

Disponibile per: MacBook (inizio 2015 e successivi), MacBook Air (metà 2012 e successivi), MacBook Pro (metà 2012 e successivi), Mac mini (fine 2012 e successivi), iMac (fine 2012 e successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e successivi)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8748: Lilang Wu e Moony Li di TrendMicro Mobile Security Research Team

apache_mod_php

Impatto: diversi problemi presenti in PHP.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di PHP alla versione 7.3.8.

CVE-2019-11041

CVE-2019-11042

Audio

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8706: Yu Zhou di Ant-financial Light-Year Security Lab

Voce aggiunta il 29 ottobre 2019

Audio

Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8850: anonimo in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 4 dicembre 2019

Libri

Impatto: l'analisi di un file iBooks dannoso può causare un'interruzione del servizio persistente.

Descrizione: un problema di esaurimento delle risorse è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8774: Gertjan Franken, imec-DistriNet di KU Leuven

Voce aggiunta il 29 ottobre 2019

CFNetwork

Impatto: l'elaborazione di contenuti web dannosi può causare un attacco di scripting cross-site.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8753: Łukasz Pilorz di Standard Chartered GBS Poland

Voce aggiunta il 29 ottobre 2019

CoreAudio

Impatto: l'elaborazione di un file video dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2019-8705: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

CoreAudio

Impatto: la riproduzione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8592: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 6 novembre 2019

CoreCrypto

Impatto: l'elaborazione di un input di grandi dimensioni può causare una negazione del servizio.

Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8741: Nicky Mouha di NIST

Voce aggiunta il 29 ottobre 2019

CoreMedia

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8825: rilevato da GWP-ASan in Google Chrome

Voce aggiunta il 29 ottobre 2019

Crash Reporter

Impatto: è possibile che l'impostazione “Condividi analisi Mac” non venga disabilitata quando un utente deseleziona l'interruttore per la condivisione delle informazioni di analisi.

Descrizione: si verificava una race condition durante la lettura e la scrittura delle preferenze dell'utente. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8757: William Cerniuk di Core Development, LLC

CUPS

Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione dell'input.

CVE-2019-8736: Pawel Gocyla di ING Tech Poland (ingtechpoland.com)

Voce aggiunta il 29 ottobre 2019

CUPS

Impatto: l'elaborazione di una stringa dannosa può danneggiare la memoria heap.

Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8767: Stephen Zeisberg

Voce aggiunta il 29 ottobre 2019

CUPS

Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2019-8737: Pawel Gocyla di ING Tech Poland (ingtechpoland.com)

Voce aggiunta il 29 ottobre 2019

dyld

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8776: Jann Horn di Google Project Zero

Voce aggiunta il 3 febbraio 2020

Quarantena dei file

Impatto: un'applicazione dannosa potrebbe elevare i privilegi.

Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2019-8509: CodeColorist di Ant-Financial LightYear Labs

Voce aggiunta il 29 ottobre 2019

Foundation

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8746: Natalie Silvanovich e Samuel Groß di Google Project Zero

Voce aggiunta il 29 ottobre 2019

Scheda grafica

Impatto: l'esecuzione di uno shader dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.

CVE-2018-12152: Piotr Bania di Cisco Talos

CVE-2018-12153: Piotr Bania di Cisco Talos

CVE-2018-12154: Piotr Bania di Cisco Talos

Voce aggiunta il 29 ottobre 2019

IOGraphics

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2019-8759: un altro programmatore di 360 Nirvan Team

Voce aggiunta il 29 ottobre 2019

Driver Intel Graphics

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8758: Lilang Wu e Moony Li di Trend Micro

IOGraphics

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2019-8755: Lilang Wu e Moony Li di Trend Micro

Kernel

Impatto: un'app locale può essere in grado di leggere un identificatore account persistente.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2019-8809: Apple

Voce aggiunta il 29 ottobre 2019

Kernel

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei pacchetti IPv6 che è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8744: Zhuo Liang di Qihoo 360 Vulcan Team

Voce aggiunta il 29 ottobre 2019

Kernel

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8717: Jann Horn di Google Project Zero

Kernel

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

Voce aggiornata il 29 ottobre 2019

libxml2

Impatto: diversi problemi presenti in libxml2.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.

CVE-2019-8749: rilevato da OSS-Fuzz

CVE-2019-8756: rilevato da OSS-Fuzz

Voce aggiunta il 29 ottobre 2019

libxslt

Impatto: diversi problemi presenti in libxslt.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.

CVE-2019-8750: rilevato da OSS-Fuzz

Voce aggiunta il 29 ottobre 2019

mDNSResponder

Impatto: un utente malintenzionato in prossimità fisica può essere in grado di osservare passivamente i nomi dei dispositivi nelle comunicazioni AWDL.

Descrizione: il problema è stato risolto sostituendo i nomi dei dispositivi con un identificatore casuale.

CVE-2019-8799: David Kreitschmann e Milan Stute di Secure Mobile Networking Lab della Technische Universität Darmstadt

Voce aggiunta il 29 ottobre 2019

Menu

Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8826: rilevato da GWP-ASan in Google Chrome

Voce aggiunta il 29 ottobre 2019

Note

Impatto: un utente locale può essere in grado di visualizzare le note bloccate di un utente.

Descrizione: i contenuti delle note bloccate talvolta erano mostrati nei risultati di ricerca. Il problema è stato risolto attraverso una migliore pulizia dei dati.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) della Virginia Polytechnic Institute and State University

PDFKit

Impatto: un utente malintenzionato può essere in grado di consentire l'esfiltrazione dei contenuti di un PDF codificato.

Descrizione: si verificava un problema nella gestione dei link nei PDF codificati. Il problema è stato risolto con l'aggiunta di una richiesta di conferma.

CVE-2019-8772: Jens Müller della Ruhr University Bochum, Fabian Ising della FH Münster University of Applied Sciences, Vladislav Mladenov della Ruhr University Bochum, Christian Mainka della Ruhr University Bochum, Sebastian Schinzel della FH Münster University of Applied Sciences e Jörg Schwenk della Ruhr University Bochum

PluginKit

Impatto: un utente locale può essere in grado di verificare l'esistenza di file arbitrari.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2019-8708: un ricercatore anonimo

Voce aggiunta il 29 ottobre 2019

PluginKit

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8715: un ricercatore anonimo

Voce aggiunta il 29 ottobre 2019

Sandbox

Impatto: un'applicazione dannosa può accedere a file con restrizioni.

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2019-8855: Apple

Voce aggiunta il 18 dicembre 2019

SharedFileList

Impatto: un'applicazione dannosa può essere in grado di accedere ai documenti recenti.

Descrizione: il problema è stato risolto attraverso una migliore logica dei permessi.

CVE-2019-8770: Stanislav Zinukhov di Parallels International GmbH

sips

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) e pjf di IceSword Lab di Qihoo 360

UIFoundation

Impatto: l'analisi di un file di testo dannoso può determinare la divulgazione delle informazioni utente.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8761: Paulos Yibelo di Limehats, Renee Trisberg di SpectX

Voce aggiornata il 10 agosto 2020

UIFoundation

Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-8745: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

UIFoundation

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8831: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 18 novembre 2019

WebKit

Impatto: l'accesso a un sito web dannoso può rivelare la cronologia di navigazione.

Descrizione: si verificava un problema nel disegnare gli elementi delle pagine web. Il problema è stato risolto attraverso una migliore logica.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Impatto: un utente potrebbe non riuscire a eliminare gli elementi della cronologia di navigazione.

Descrizione: “Cancella dati siti web e cronologia” non cancellava la cronologia. Il problema è stato risolto attraverso una migliore eliminazione dei dati.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Wi-Fi

Impatto: un dispositivo può essere monitorato passivamente attraverso l'indirizzo MAC Wi-Fi.

Descrizione: un problema di privacy dell'utente è stato risolto rimuovendo l'indirizzo MAC broadcast.

CVE-2019-8854: FuriousMacTeam della United States Naval Academy e la Mitre Cooperation, Ta-Lun Yen di UCCU Hacker

Voce aggiunta il 4 dicembre 2019 e aggiornata il 18 dicembre 2019

Altri riconoscimenti

AppleRTC

Ringraziamo Vitaly Cheptsov per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Audio

Ringraziamo riusksk di VulWar Corp che collabora con Zero Day Initiative di Trend Micro per l'assistenza.

Voce aggiunta il 29 ottobre 2019

boringssl

Ringraziamo Nimrod Aviram della Tel Aviv University, Robert Merget e Juraj Somorovsky della Ruhr University Bochum, Thijs Alkemade (@xnyhps) di Computest per l'assistenza.

Voce aggiunta l'8 ottobre 2019 e aggiornata il 29 ottobre 2019

curl

Ringraziamo Joseph Barisa dello School District di Philadelphia per l'assistenza.

Voce aggiunta il 3 febbraio 2020 e aggiornata l'11 febbraio 2020

Finder

Ringraziamo Csaba Fitzl (@theevilbit) per l'assistenza.

Gatekeeper

Ringraziamo Csaba Fitzl (@theevilbit) per l'assistenza.

Servizio di identificazione

Ringraziamo Yiğit Can YILMAZ (@yilmazcanyigit) per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Kernel

Ringraziamo Brandon Azad di Google Project Zero e Vlad Tsyrklevich per l'assistenza.

Voce aggiornata il 28 luglio 2020

Autenticazione locale

Ringraziamo Ryan Lopopolo per l'assistenza.

Voce aggiunta il 3 febbraio 2020

mDNSResponder

Ringraziamo Gregor Lang di e.solutions GmbH per l'assistenza.

Voce aggiunta il 29 ottobre 2019

python

Ringraziamo un ricercatore anonimo per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Importazione dei dati di Safari

Ringraziamo Kent Zoya per l'assistenza.

Sicurezza

Ringraziamo Pepijn Dutour Geerling (pepijn.io) e un ricercatore anonimo per l'assistenza.

Voce aggiunta il 18 novembre 2019

Protocollo SCEP (Simple Certificate Enrollment Protocol)

Ringraziamo un ricercatore anonimo per l'assistenza.

Siri

Ringraziamo Yuval Ron, Amichai Shulman ed Eli Biham del Technion - Israel Institute of Technology per l'assistenza.

Voce aggiunta il 4 dicembre 2019 e aggiornata il 18 dicembre 2019

Telefonia

Ringraziamo Phil Stokes di SentinelOne per l'assistenza.

VPN

Ringraziamo Royce Gawron di Second Son Consulting, Inc. per l'assistenza.

Voce aggiunta il 29 ottobre 2019

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: 13 agosto 2020