Informazioni sui contenuti di sicurezza di macOS Catalina 10.15.1, dell'aggiornamento di sicurezza 2019-001 per macOS e dell'aggiornamento di sicurezza 2019-006 per macOS

In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.1, dell'aggiornamento di sicurezza 2019-001 per macOS e dell'aggiornamento di sicurezza 2019-006 per macOS.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Catalina 10.15.1, aggiornamento di sicurezza 2019-001 per macOS e aggiornamento di sicurezza 2019-006 per macOS

Data di rilascio: 29 ottobre 2019

Account

Disponibile per: macOS Catalina 10.15

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8787: Steffen Klee di Secure Mobile Networking Lab della Technische Universität Darmstadt

App Store

Disponibile per: macOS Catalina 10.15

Impatto: un utente malintenzionato locale potrebbe essere in grado di accedere all'account di un utente connesso in precedenza senza credenziali valide.

Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Disponibile per: macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8716: Zhiyi Zhang di Codesafe Team di Legendsec del Qi'anxin Group, Zhuo Liang del Vulcan Team di Qihoo 360

Domini associati

Disponibile per: macOS Catalina 10.15

Impatto: l'elaborazione non corretta dell'URL potrebbe comportare l'esfiltrazione dei dati.

Descrizione: si verifica un problema nell'analisi degli URL. Il problema è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8788: Juha Lindstedt di Pakastin, Mirko Tanania, Rauli Rikama di Zero Keyboard Ltd

Audio

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8706: Yu Zhou di Ant-financial Light-Year Security Lab

Audio

Disponibile per: macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8785: Ian Beer di Google Project Zero

CVE-2019-8797: 08Tc3wBB in collaborazione con SSD Secure Disclosure

Libri

Disponibile per: macOS Catalina 10.15

Impatto: l'analisi di un file iBooks pericoloso può determinare la divulgazione delle informazioni utente.

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2019-8789: Gertjan Franken di imec-DistriNet, KU Leuven

Contatti

Disponibile per: macOS Catalina 10.15

Impatto: l'elaborazione di un contatto dannoso può causare lo spoofing dell'interfaccia utente.

Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.

CVE-2017-7152: Oliver Paukstadt di Thinking Objects GmbH (to.com)

CUPS

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.

Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore gestione dell'input.

CVE-2019-8736: Pawel Gocyla di ING Tech Poland (ingtechpoland.com)

CUPS

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: l'elaborazione di una stringa dannosa può danneggiare la memoria heap.

Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8767: Stephen Zeisberg

CUPS

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.

Descrizione: un problema di interruzione del servizio è stato risolto attraverso una migliore convalida.

CVE-2019-8737: Pawel Gocyla di ING Tech Poland (ingtechpoland.com)

Quarantena dei file

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un'applicazione dannosa potrebbe elevare i privilegi.

Descrizione: questo problema è stato risolto rimuovendo il codice vulnerabile.

CVE-2019-8509: CodeColorist di Ant-Financial LightYear Labs

Eventi File System

Disponibile per: macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8798: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro

Scheda grafica

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: l'esecuzione di uno shader pericoloso potrebbe comportare la chiusura inattesa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.

CVE-2018-12152: Piotr Bania di Cisco Talos

CVE-2018-12153: Piotr Bania di Cisco Talos

CVE-2018-12154: Piotr Bania di Cisco Talos

Driver della scheda grafica

Disponibile per: macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8784: Vasiliy Vasilyev e Ilya Finogeev di Webinar, LLC

Driver Intel Graphics

Disponibile per: macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8807: Yu Wang di Didi Research America

IOGraphics

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2019-8759: another di 360 Nirvan Team

iTunes

Disponibile per: macOS Catalina 10.15

Impatto: l'esecuzione del programma di installazione di iTunes in una directory non attendibile può causare l'esecuzione di codice arbitrario.

Descrizione: si verifica un problema di caricamento della libreria dinamica durante la configurazione di iTunes. Questo problema viene risolto con una migliore ricerca dei percorsi.

CVE-2019-8801: Hou JingYi (@hjy79425575) di Qihoo 360 CERT

Kernel

Disponibile per: macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2019-8794: 08Tc3wBB in collaborazione con SSD Secure Disclosure

Kernel

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8786: un ricercatore anonimo

Kernel

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei pacchetti IPv6 che è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8744: Zhuo Liang del Vulcan Team di Qihoo 360

libxml2

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: diversi problemi presenti in libxml2.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.

CVE-2019-8749: rilevato da OSS-Fuzz

CVE-2019-8756: rilevato da OSS-Fuzz

libxslt

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: diversi problemi presenti in libxslt.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida degli input.

CVE-2019-8750: rilevato da OSS-Fuzz

manpages

Disponibile per: macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.

Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PluginKit

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un utente locale può essere in grado di verificare l'esistenza di file arbitrari.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2019-8708: un ricercatore anonimo

PluginKit

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8715: un ricercatore anonimo

Estensioni di sistema

Disponibile per: macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: si verificava un problema di convalida nella verifica delle autorizzazioni. Il problema è stato risolto con una migliore convalida delle autorizzazioni del processo.

CVE-2019-8805: Scott Knight (@sdotknight) di VMware Carbon Black TAU

UIFoundation

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: l'analisi di un file di testo dannoso può determinare la divulgazione delle informazioni utente.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8761: Renee Trisberg di SpectX

Altri riconoscimenti

CFNetwork

Ringraziamo Lily Chen di Google per l'assistenza.

Kernel

Ringraziamo Brandon Azad di Google Project Zero e Jann Horn di Google Project Zero per l'assistenza.

libresolv

Ringraziamo enh di Google per l'assistenza.

Postfix

Ringraziamo Chris Barker di Puppet per l'assistenza.

Profili

Ringraziamo Csaba Fitzl (@theevilbit) per l'assistenza.

python

Ringraziamo un ricercatore anonimo per l'assistenza.

VPN

Ringraziamo Royce Gawron di Second Son Consulting, Inc. per l'assistenza.

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: