Informazioni sui contenuti di sicurezza di macOS Catalina 10.15.4, dell'aggiornamento di sicurezza 2020-002 per Mojave e dell'aggiornamento di sicurezza 2020-002 per High Sierra

In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.4, dell'aggiornamento di sicurezza 2020-002 per Mojave e dell'aggiornamento di sicurezza 2020-002 per High Sierra.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Catalina 10.15.4, aggiornamento di sicurezza 2020-002 per Mojave, aggiornamento di sicurezza 2020-002 per High Sierra

Data di rilascio: 24 marzo 2020

Assistenza HSSPI Apple

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3903: Proteas del Nirvan Team di Qihoo 360

Voce aggiornata il 1° maggio 2020

AppleGraphicsControl

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione dello stato.

CVE-2020-3904: Proteas del Nirvan Team di Qihoo 360

AppleMobileFileIntegrity

Disponibile per: macOS Catalina 10.15.3

Impatto: un'applicazione può essere in grado di utilizzare autorizzazioni arbitrarie.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-3883: Linus Henze (pinauten.de)

Bluetooth

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Impatto: un utente locale può causare l'arresto imprevisto del sistema o leggere la memoria del kernel.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3907: Yu Wang di Didi Research America

CVE-2020-3908: Yu Wang di Didi Research America

CVE-2020-3912: Yu Wang di Didi Research America

Bluetooth

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3892: Yu Wang di Didi Research America

CVE-2020-3893: Yu Wang di Didi Research America

CVE-2020-3905: Yu Wang di Didi Research America

Bluetooth

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2019-8853: Jianjun Dai dell'Alpha Lab di Qihoo 360

Cronologia chiamate

Disponibile per: macOS Catalina 10.15.3

Impatto: un'applicazione dannosa può accedere alla cronologia chiamate di un utente.

Descrizione: questo problema è stato risolto con una nuova autorizzazione.

CVE-2020-9776: Benjamin Randazzo (@____benjamin)

CoreBluetooth

Disponibile per: macOS Catalina 10.15.3

Impatto: un malintenzionato collegato in remoto può essere in grado di divulgare informazioni riservate degli utenti

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-9828: Jianjun Dai dell'Alpha Lab di Qihoo 360

Voce aggiunta il 13 maggio 2020

CoreFoundation

Disponibile per: macOS Catalina 10.15.3

Impatto: un'applicazione dannosa potrebbe elevare i privilegi.

Descrizione: si verificava un problema di autorizzazioni che è stato risolto attraverso una migliore convalida dell'autorizzazione.

CVE-2020-3913: Timo Christ di Avira Operations GmbH & Co. KG

CUPS

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida.

CVE-2020-3898: Stephan Zeisberg (github.com/stze) di Security Research Labs (srlabs.de)

Voce aggiunta l'8 aprile 2020

FaceTime

Disponibile per: macOS Catalina 10.15.3

Impatto: un utente locale può essere in grado di visualizzare informazioni riservate degli utenti.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-3881: Yuval Ron, Amichai Shulman ed Eli Biham di Technion - Israel Institute of Technology

Icone

Disponibile per: macOS Catalina 10.15.3

Impatto: un'applicazione dannosa può riuscire a identificare quali altre applicazioni ha installato l'utente.

Descrizione: il problema è stato risolto attraverso una migliore gestione delle cache delle icone.

CVE-2020-9773: Chilik Tamir di Zimperium zLabs

Driver Intel Graphics

Disponibile per: macOS Catalina 10.15.3

Impatto: un'applicazione dannosa potrebbe divulgare una memoria con restrizioni.

Descrizione: un problema di divulgazione delle informazioni è stato risolto attraverso una migliore gestione dello stato.

CVE-2019-14615: Wenjian HE della Hong Kong University of Science and Technology, Wei Zhang della Hong Kong University of Science and Technology, Sharad Sinha dell'Indian Institute of Technology Goa e Sanjeev Das della University of North Carolina

IOHIDFamily

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3919: un ricercatore anonimo

IOThunderboltFamily

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3851: Xiaolong Bai e Min (Spark) Zheng di Alibaba Inc. e Luyi Xing dell'Indiana University Bloomington

Kernel

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3914: pattern-f (@pattern_F_) di WaCai

Kernel

Disponibile per: macOS Catalina 10.15.3

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi kernel.

Descrizione: diversi problemi di danneggiamento della memoria sono stati risolti attraverso una migliore gestione dello stato.

CVE-2020-9785: Proteas del Nirvan Team di Qihoo 360

libxml2

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Impatto: diversi problemi presenti in libxml2.

Descrizione: un overflow del buffer è stato risolto attraverso un migliore controllo dei limiti.

CVE-2020-3909: LGTM.com

CVE-2020-3911: rilevato da OSS-Fuzz

libxml2

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.3

Impatto: diversi problemi presenti in libxml2.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2020-3910: LGTM.com

Mail

Disponibile per: macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Impatto: un utente malintenzionato collegato in remoto può causare l'esecuzione di codice javascript arbitrario.

Descrizione: un problema di injection è stato risolto attraverso una migliore convalida.

CVE-2020-3884: Apple

Stampa

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.3

Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.

Descrizione: un problema di gestione dei percorsi è stato risolto attraverso una migliore convalida.

CVE-2020-3915: un ricercatore anonimo con iDefense Labs (https://vcp.idefense.com/), HyungSeok Han (DaramG) @ Theori in collaborazione con Zero Day Initiative di Trend Micro

Voce aggiunta il 1° maggio 2020

Safari

Disponibile per: macOS Catalina 10.15.3

Impatto: l'attività di navigazione privata di un utente può essere inaspettatamente salvata in Tempo di utilizzo.

Descrizione: si verificava un problema nella gestione delle schede che visualizzano video picture-in-picture. Il problema è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-9775: Andrian (@retroplasma), Marat Turaev, Marek Wawro (futurefinance.com) e Sambor Wawro della STO64 School, Cracovia, Polonia

Voce aggiunta il 13 maggio 2020

Sandbox

Disponibile per: macOS Catalina 10.15.3

Impatto: un utente locale può essere in grado di visualizzare informazioni riservate degli utenti.

Descrizione: un problema di accesso è stato risolto attraverso ulteriori restrizioni della sandbox.

CVE-2020-3918: Augusto Alvarez di Outcourse Limited

Voce aggiunta l'8 aprile 2020

sudo

Disponibile per: macOS Catalina 10.15.3

Impatto: un utente malintenzionato può eseguire comandi come un utente non esistente.

Descrizione: il problema è stato risolto con l'aggiornamento alla versione sudo 1.8.31.

CVE-2019-19232

sysdiagnose

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Impatto: un'applicazione può attivare una diagnosi di sistema.

Descrizione: il problema è stato risolto attraverso migliori controlli.

CVE-2020-9786: Dayton Pidhirney (@_watbulb) di Seekintoo (@seekintoo)

Voce aggiunta il 4 aprile 2020

TCC

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.3

Impatto: un'applicazione dannosa potrebbe riuscire a bypassare l'accesso forzato alla firma del codice.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2020-3906: Patrick Wardle di Jamf

Time Machine

Disponibile per: macOS Catalina 10.15.3

Impatto: un utente locale può essere in grado di leggere file arbitrari.

Descrizione: un problema logico è stato risolto attraverso una migliore gestione dello stato.

CVE-2020-3889: Lasse Trolle Borup di Danish Cyber Defence

Vim

Disponibile per: macOS Catalina 10.15.3

Impatto: diversi problemi presenti in Vim.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento alla versione 8.1.1850.

CVE-2020-9769: Steve Hahn di LinkedIn

WebKit

Disponibile per: macOS Catalina 10.15.3

Impatto: alcuni siti web potrebbero non essere apparsi nelle Preferenze di Safari.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

Voce aggiunta l'8 aprile 2020

Altri riconoscimenti

CoreText

Ringraziamo un ricercatore anonimo per l'assistenza.

Audio FireWire

Ringraziamo Xiaolong Bai e Min (Spark) Zheng di Alibaba Inc. e Luyi Xing dell'Indiana University Bloomington per l'assistenza.

FontParser

Ringraziamo Matthew Denton di Google Chrome per l'assistenza.

Install Framework Legacy

Ringraziamo Pris Sears di Virginia Tech, Tom Lynch di UAL Creative Computing Institute e un ricercatore anonimo per l'assistenza.

LinkPresentation

Ringraziamo Travis per l'assistenza.

OpenSSH

Ringraziamo un ricercatore anonimo per l'assistenza.

rapportd

Ringraziamo Alexander Heinrich (@Sn0wfreeze) della Technische Universität Darmstadt per l'assistenza.

Sidecar

Ringraziamo Rick Backley (@rback_sec) per l'assistenza.

sudo

Ringraziamo Giorgio Oppo (linkedin.com/in/giorgio-oppo/) per l'assistenza.

Voce aggiunta il 4 aprile 2020

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: