Informazioni sui contenuti di sicurezza di macOS Catalina 10.15.2, sull'aggiornamento di sicurezza 2019-002 per Mojave e sull'aggiornamento di sicurezza 2019-007 High Sierra

In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.2, dell'aggiornamento di sicurezza 2019-002 per Mojave e dell'aggiornamento di sicurezza 2019-007 per High Sierra.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Catalina 10.15.2, aggiornamento di sicurezza 2019-002 per Mojave, aggiornamento di sicurezza 2019-007 per High Sierra

Data di rilascio: martedì 10 dicembre 2019

ATS

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione dannosa può accedere a file con restrizioni

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Voce aggiornata mercoledì 18 dicembre 2019

Bluetooth

Disponibile per: macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2019-8853: Jianjun Dai di Qihoo 360 Alpha Lab

CallKit

Disponibile per: macOS Catalina 10.15

Impatto: le chiamate effettuate con Siri potrebbero essere avviate usando il piano cellulare sbagliato sui dispositivi con due piani attivi

Descrizione: si verificava un problema dell'API nella gestione delle chiamate in uscita avviate con Siri. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-8856: Fabrice TERRANCLE di TERRANCLE SARL

Proxy CFNetwork

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2019-8848: Zhuo Liang del Vulcan Team di Qihoo 360

Voce aggiornata mercoledì 18 dicembre 2019

CUPS

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: in alcune configurazioni, un utente malintenzionato in remoto potrebbe essere in grado di inviare processi di stampa arbitrari

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-8842: Niky1235 di China Mobile

Voce aggiornata mercoledì 18 dicembre 2019

CUPS

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un utente malintenzionato in una posizione privilegiata potrebbe causare un'interruzione del servizio.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2019-8839: Stephan Zeisberg di Security Research Labs

Voce aggiornata mercoledì 18 dicembre 2019

FaceTime

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: l'elaborazione di video dannosi su FaceTime può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2019-8830: Natalie Silvanovich di Google Project Zero

Voce aggiornata mercoledì 18 dicembre 2019

Kernel

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso la rimozione del codice vulnerabile.

CVE-2019-8833: Ian Beer di Google Project Zero

Voce aggiornata mercoledì 18 dicembre 2019

Kernel

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8828: Cim Stordal di Cognite

CVE-2019-8838: Dr. Silvio Cesare di InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) di WaCai

libexpat

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impatto: l'analisi di un file XML dannoso può determinare la divulgazione delle informazioni utente

Descrizione: il problema è stato risolto con l'aggiornamento di expat alla versione 2.2.8.

CVE-2019-15903: Joonun Jang

Voce aggiornata mercoledì 18 dicembre 2019

OpenLDAP

Disponibile per: macOS Catalina 10.15

Impatto: diversi problemi presenti in OpenLDAP

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di OpenLDAP alla versione 2.4.28.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Sicurezza

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-8832: Insu Yun di SSLab del Georgia Tech

tcpdump

Disponibile per: macOS Catalina 10.15

Impatto: diversi problemi presenti in tcpdump.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di tcpdump alla versione 4.9.3 e di libpcap alla versione 1.9.1

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

CVE-2019-15166

CVE-2019-15167

Altri riconoscimenti

Account

Ringraziamo Kishan Bagaria (KishanBagaria.com) e Tom Snelling di Loughborough University per l'assistenza.

Core Data

Ringraziamo Natalie Silvanovich di Google Project Zero per l'assistenza.

Finder

Ringraziamo Csaba Fitzl (@theevilbit) per l'assistenza.

Voce aggiunta mercoledì 18 dicembre 2019

Kernel

Ringraziamo Daniel Roethlisberger di Swisscom CSIRT per l'assistenza.

Voce aggiunta mercoledì 18 dicembre 2019

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: