Informazioni sui contenuti di sicurezza di macOS Catalina 10.15.1, dell'aggiornamento di sicurezza 2019-001 e dell'aggiornamento di sicurezza 2019-006
In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.1, dell'aggiornamento di sicurezza 2019-001 e dell'aggiornamento di sicurezza 2019-006.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Catalina 10.15.1, aggiornamento di sicurezza 2019-001 e aggiornamento di sicurezza 2019-006
Accounts
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8787: Steffen Klee di Secure Mobile Networking Lab della Technische Universität Darmstadt
Accounts
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: i trasferimenti AirDrop possono essere accettati in modo imprevisto se la modalità Tutti è attiva.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2019-8796: Allison Husain della UC Berkeley
AirDrop
Disponibile per: macOS Catalina 10.15
Impatto: i trasferimenti AirDrop possono essere accettati in modo imprevisto se la modalità Tutti è attiva.
Descrizione: un problema logico è stato risolto attraverso una migliore convalida.
CVE-2019-8796: Allison Husain della UC Berkeley
AMD
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8748: Lilang Wu e Moony Li di TrendMicro Mobile Security Research Team
apache_mod_php
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: diversi problemi presenti in PHP.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di PHP alla versione 7.3.8.
CVE-2019-11041
CVE-2019-11042
APFS
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8824: Mac in collaborazione con Zero Day Initiative di Trend Micro
App Store
Disponibile per: macOS Catalina 10.15
Impatto: un utente malintenzionato locale può essere in grado di accedere all'account di un utente connesso in precedenza senza credenziali valide.
Descrizione: un problema di autenticazione è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleGraphicsControl
Disponibile per: macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2019-8817: Arash Tohidi
AppleGraphicsControl
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8716: Zhiyi Zhang di Codesafe Team di Legendsec del Qi'anxin Group, Zhuo Liang del Vulcan Team di Qihoo 360
Associated Domains
Disponibile per: macOS Catalina 10.15
Impatto: l'elaborazione non corretta degli URL potrebbe comportare l'esfiltrazione dei dati.
Descrizione: si verificava un problema durante l'analisi degli URL. Il problema è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8788: Juha Lindstedt di Pakastin, Mirko Tanania, Rauli Rikama di Zero Keyboard Ltd
Audio
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: l'elaborazione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8706: Yu Zhou di Ant-financial Light-Year Security Lab
Audio
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8785: Ian Beer di Google Project Zero
CVE-2019-8797: 08Tc3wBB in collaborazione con SSD Secure Disclosure
Audio
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: l'elaborazione di un file audio pericoloso può divulgare la memoria con restrizioni.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8850: anonimo in collaborazione con Zero Day Initiative di Trend Micro
Books
Disponibile per: macOS Catalina 10.15
Impatto: l'analisi di un file iBooks dannoso può determinare la divulgazione delle informazioni utente.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2019-8789: Gertjan Franken di imec-DistriNet, KU Leuven
Contacts
Disponibile per: macOS Catalina 10.15
Impatto: l'elaborazione di un contatto dannoso può causare lo spoofing dell'interfaccia utente.
Descrizione: un problema di interfaccia utente non coerente è stato risolto con una migliore gestione dello stato.
CVE-2017-7152: Oliver Paukstadt di Thinking Objects GmbH (to.com)
CoreAudio
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: la riproduzione di un file audio dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8592: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
CoreAudio
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: l'elaborazione di un file video dannoso può causare la divulgazione della memoria dei processi.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.
CVE-2019-8705: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
CoreMedia
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: l'elaborazione di contenuti web dannosi può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8825: rilevato da GWP-ASan in Google Chrome
CUPS
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: un malintenzionato in una posizione privilegiata nella rete potrebbe essere in grado di divulgare informazioni riservate degli utenti.
Descrizione: un problema di convalida dell'input è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8736: Pawel Gocyla di ING Tech Poland (ingtechpoland.com)
CUPS
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: l'elaborazione di una stringa dannosa può danneggiare la memoria heap.
Descrizione: un problema di consumo della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8767: Stephen Zeisberg
CUPS
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.
Descrizione: un problema di negazione del servizio è stato risolto attraverso una migliore convalida.
CVE-2019-8737: Pawel Gocyla di ING Tech Poland (ingtechpoland.com)
File Quarantine
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: un'applicazione dannosa può essere in grado di elevare i privilegi.
Descrizione: il problema è stato risolto rimuovendo il codice vulnerabile.
CVE-2019-8509: CodeColorist di Ant-Financial LightYear Labs
File System Events
Disponibile per: macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8798: ABC Research s.r.o. in collaborazione con Zero Day Initiative di Trend Micro
Foundation
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2019-8746: natashenka e Samuel Groß di Google Project Zero
Graphics
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: l'esecuzione di uno shader dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2018-12152: Piotr Bania di Cisco Talos
CVE-2018-12153: Piotr Bania di Cisco Talos
CVE-2018-12154: Piotr Bania di Cisco Talos
Graphics Driver
Disponibile per: macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8784: Vasiliy Vasilyev e Ilya Finogeev di Webinar, LLC
Intel Graphics Driver
Disponibile per: macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8807: Yu Wang di Didi Research America
IOGraphics
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2019-8759: un altro programmatore di 360 Nirvan Team
iTunes
Disponibile per: macOS Catalina 10.15
Impatto: l'esecuzione del programma di installazione di iTunes in una directory non attendibile può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un problema di caricamento della libreria dinamica durante la configurazione di iTunes. Questo problema è stato risolto con una migliore ricerca dei percorsi.
CVE-2019-8801: Hou JingYi (@hjy79425575) di Qihoo 360 CERT
Kernel
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Kernel
Disponibile per: macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2019-8794: 08Tc3wBB in collaborazione con SSD Secure Disclosure
Kernel
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8717: Jann Horn di Google Project Zero
CVE-2019-8786: Wen Xu di Georgia Tech, stagista presso Microsoft Offensive Security Research
Kernel
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: si verificava un problema di danneggiamento della memoria nella gestione dei pacchetti IPv6 che è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8744: Zhuo Liang di Qihoo 360 Vulcan Team
Kernel
Disponibile per: macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: una vulnerabilità al danneggiamento della memoria è stata risolta attraverso un blocco migliore.
CVE-2019-8829: Jann Horn di Google Project Zero
libxml2
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: diversi problemi presenti in libxml2.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2019-8749: rilevato da OSS-Fuzz
CVE-2019-8756: rilevato da OSS-Fuzz
libxslt
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: diversi problemi presenti in libxslt.
Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore convalida dell'input.
CVE-2019-8750: rilevato da OSS-Fuzz
manpages
Disponibile per: macOS High Sierra 10.13.6, macOS Catalina 10.15
Impatto: un'applicazione dannosa può essere in grado di ottenere privilegi root.
Descrizione: un problema di convalida è stato risolto attraverso una migliore logica.
CVE-2019-8802: Csaba Fitzl (@theevilbit)
PDFKit
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: un utente malintenzionato può essere in grado di consentire l'esfiltrazione dei contenuti di un PDF codificato.
Descrizione: si verificava un problema nella gestione dei link nei PDF codificati. Il problema è stato risolto con l'aggiunta di una richiesta di conferma.
CVE-2019-8772: Jens Müller della Ruhr University Bochum, Fabian Ising della FH Münster University of Applied Sciences, Vladislav Mladenov della Ruhr University Bochum, Christian Mainka della Ruhr University Bochum, Sebastian Schinzel della FH Münster University of Applied Sciences e Jörg Schwenk della Ruhr University Bochum
PluginKit
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: un utente locale può essere in grado di verificare l'esistenza di file arbitrari.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2019-8708: un ricercatore anonimo
PluginKit
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8715: un ricercatore anonimo
Screen Sharing Server
Disponibile per: macOS Catalina 10.15
Impatto: un utente che condivide lo schermo potrebbe non essere in grado di interrompere la condivisione.
Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-8858: Saul van der Bijl di Saul's Place Counselling B.V.
System Extensions
Disponibile per: macOS Catalina 10.15
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: si verificava un problema di convalida nella verifica delle autorizzazioni. Il problema è stato risolto con una migliore convalida delle autorizzazioni del processo.
CVE-2019-8805: Scott Knight (@sdotknight) di VMware Carbon Black TAU
UIFoundation
Disponibile per: macOS Catalina 10.15
Impatto: un documento HTML dannoso può eseguire il rendering degli iFrame con informazioni dell'utente riservate.
Descrizione: si verificava un problema multiorigine con gli elementi “iFrame”. è stato risolto attraverso un migliore monitoraggio delle origini di sicurezza.
CVE-2019-8754: Renee Trisberg di SpectX
UIFoundation
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: l'elaborazione di un file di testo dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.
CVE-2019-8745: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
UIFoundation
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-8831: riusksk di VulWar Corp in collaborazione con Zero Day Initiative di Trend Micro
UIFoundation
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Impatto: l'analisi di un file di testo dannoso può determinare la divulgazione delle informazioni utente.
Descrizione: il problema è stato risolto attraverso migliori controlli.
CVE-2019-8761: Renee Trisberg di SpectX
Wi-Fi
Disponibile per: macOS Catalina 10.15
Impatto: un utente malintenzionato nel raggio di copertura del Wi-Fi potrebbe riuscire a visualizzare una piccola quantità di traffico di rete.
Descrizione: si verificava un problema logico nella gestione delle transizioni di stato. Il problema è stato risolto attraverso una migliore gestione dello stato.
CVE-2019-15126: Milos Cermak presso ESET
Altri riconoscimenti
CFNetwork
Ringraziamo Lily Chen di Google per l'assistenza.
Find My
Ringraziamo Amr Elseehy per l'assistenza.
Kernel
Ringraziamo Brandon Azad di Google Project Zero, Daniel Roethlisberger di Swisscom CSIRT e Jann Horn di Google Project Zero per l'assistenza.
libresolv
Ringraziamo enh di Google per l'assistenza.
Local Authentication
Ringraziamo Ryan Lopopolo per l'assistenza.
mDNSResponder
Ringraziamo Gregor Lang di e.solutions GmbH per l'assistenza.
Postfix
Ringraziamo Chris Barker di Puppet per l'assistenza.
python
Ringraziamo un ricercatore anonimo per l'assistenza.
VPN
Ringraziamo Royce Gawron di Second Son Consulting, Inc. per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.