Informazioni sui contenuti di sicurezza di macOS Catalina 10.15

In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Catalina 10.15

Data di rilascio: 7 ottobre 2019

AMD

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8748: Lilang Wu e Moony Li di TrendMicro Mobile Security Research Team

apache_mod_php

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: diversi problemi presenti in PHP

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di PHP alla versione 7.3.8.

CVE-2019-11041

CVE-2019-11042

CoreAudio

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: l'elaborazione di un file video dannoso può causare la divulgazione della memoria dei processi.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2019-8705: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

Crash Reporter

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: l'impostazione “Condividi analisi Mac” potrebbe non venire disabilitata quando un utente deseleziona l'interruttore per condividere le informazioni di analisi.

Descrizione: si verificava una race condition durante la lettura e la scrittura delle preferenze dell'utente. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8757: William Cerniuk di Core Development, LLC

Driver Intel Graphics

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8758: Lilang Wu e Moony Li di Trend Micro

IOGraphics

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2019-8755: Lilang Wu e Moony Li di Trend Micro

Kernel

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8717: Jann Horn di Google Project Zero

Kernel

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8781: Linus Henze (pinauten.de)

Note

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: un utente locale può essere in grado di visualizzare le note bloccate di un utente.

Descrizione: i contenuti delle note bloccate talvolta erano mostrati nei risultati di ricerca. Il problema è stato risolto attraverso una migliore pulizia dei dati.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) della Virginia Polytechnic Institute and State University

PDFKit

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: un utente malintenzionato potrebbe riuscire a esfiltrare i contenuti di un PDF codificato.

Descrizione: si verificava un problema nella gestione dei link nei PDF codificati. Il problema è stato risolto con l'aggiunta di una richiesta di conferma.

CVE-2019-8772: Jens Müller della Ruhr University Bochum, Fabian Ising della FH Münster University of Applied Sciences, Vladislav Mladenov della Ruhr University Bochum, Christian Mainka della Ruhr University Bochum, Sebastian Schinzel della FH Münster University of Applied Sciences e Jörg Schwenk della Ruhr University Bochum

SharedFileList

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: un'applicazione dannosa può essere in grado di accedere ai documenti recenti.

Descrizione: il problema è stato risolto attraverso una migliore gestione della logica dei permessi.

CVE-2019-8770: Stanislav Zinukhov di Parallels International GmbH

sips

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) e pjf di IceSword Lab of Qihoo 360

UIFoundation

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-8745: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro

WebKit

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: l'accesso a un sito web pericoloso può rivelare la cronologia di navigazione.

Descrizione: si verificava un problema nel disegnare gli elementi delle pagine web. Descrizione: il problema è stato risolto attraverso una migliore logica.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Disponibile per: MacBook (inizio 2015 e modelli successivi), MacBook Air (metà 2012 e modelli successivi), MacBook Pro (metà 2012 e modelli successivi), Mac mini (fine 2012 e modelli successivi), iMac (fine 2012 e modelli successivi), iMac Pro (tutti i modelli), Mac Pro (fine 2013 e modelli successivi)

Impatto: un utente potrebbe non essere in grado di eliminare gli elementi della cronologia di navigazione.

Descrizione: “Cancella dati siti web e cronologia” non cancellava la cronologia. Il problema è stato risolto attraverso una migliore eliminazione dei dati.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Altri riconoscimenti

Finder

Ringraziamo Csaba Fitzl (@theevilbit) per l'assistenza.

Gatekeeper

Ringraziamo Csaba Fitzl (@theevilbit) per l'assistenza.

Importazione dei dati di Safari

Ringraziamo Kent Zoya per l'assistenza.

Protocollo SCEP (Simple Certificate Enrollment Protocol)

Ringraziamo un ricercatore anonimo per l'assistenza.

Telefonia

Ringraziamo Phil Stokes di SentinelOne per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: