macOS Catalina 10.15.2、セキュリティアップデート 2019-002 Mojave、セキュリティアップデート 2019-007 High Sierra のセキュリティコンテンツについて

macOS Catalina 10.15.2、セキュリティアップデート 2019-002 Mojave、セキュリティアップデート 2019-007 High Sierra のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最近のリリースについては、「Apple セキュリティアップデート」ページに一覧形式でまとめています。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。

macOS Catalina 10.15.2、セキュリティアップデート 2019-002 Mojave、セキュリティアップデート 2019-007 High Sierra

2019 年 12 月 10 日リリース

ATS

対象 OS：macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響：悪意のあるアプリケーションに、制限されたファイルにアクセスされる可能性がある。

説明：制限を強化し、ロジックの脆弱性に対処しました。

CVE-2019-8837：Csaba Fitzl 氏 (@theevilbit)

2019 年 12 月 18 日に更新

Bluetooth

対象 OS：macOS Catalina 10.15

影響：アプリケーションが、制限されたメモリを読み取れる可能性がある。

説明：入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。

CVE-2019-8853：Qihoo 360 Alpha Lab の Jianjun Dai 氏

CallKit

対象 OS：macOS Catalina 10.15

影響：Siri を使ってかけた電話が、モバイル通信プランが 2 つ有効になっているデバイスで、間違ったプランを使ってかかってしまう場合がある。

説明：Siri で発信した通話の処理における API に脆弱性がありました。この問題は、ステート処理を改善することで解決されました。

CVE-2019-8856：TERRANCLE SARL の Fabrice TERRANCLE 氏

CFNetwork Proxies

対象 OS：macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響：アプリケーションに、昇格した権限を取得される可能性がある。

説明：この問題は、チェックを強化することで解決されました。

CVE-2019-8848：Qihoo 360 Vulcan Team の Zhuo Liang 氏

2019 年 12 月 18 日に更新

CFNetwork

対象 OS：macOS Catalina 10.15

影響：ネットワーク上で特権的な地位を悪用した攻撃者が、HSTS プリロードリストに事前登録されていない限定数のトップレベルドメインに対して、HSTS をバイパスできる可能性がある。

説明：制限を強化し、構成の問題に対処しました。

CVE-2019-8834：Rob Sayre 氏 (@sayrer)

2020 年 2 月 3 日に追加

CUPS

対象 OS：macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響：特定の構成において、リモートの攻撃者が任意のプリントジョブを送信できる場合がある。

説明：配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。

CVE-2019-8842：China Mobile の Niky1235 氏

2019 年 12 月 18 日に更新

CUPS

対象 OS：macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響：ネットワーク上で特権的な地位を悪用した攻撃者から、サービス運用妨害を受ける可能性がある。

説明：配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。

CVE-2019-8839：Security Research Labs の Stephan Zeisberg 氏

2019 年 12 月 18 日に更新

FaceTime

対象 OS：macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響：悪意のあるビデオを FaceTime で処理すると、任意のコードが実行される可能性がある。

説明：入力検証を強化することで、領域外読み込みに対処しました。

CVE-2019-8830：Google Project Zero の natashenka 氏

2019 年 12 月 18 日に更新

IOGraphics

対象 OS：macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響：Mac のスリープ解除直後にロックできない可能性がある。

説明：ステート管理を改善し、ロジックの問題に対処しました。

CVE-2019-8851：DoiT International の Vladik Khononov 氏

2020 年 2 月 3 日に追加

カーネル

対象 OS：macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響：アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

説明：脆弱なコードを削除することで、メモリ破損の脆弱性に対処しました。

CVE-2019-8833：Google Project Zero の Ian Beer 氏

2019 年 12 月 18 日に更新

カーネル

対象 OS：macOS High Sierra 10.13.6、macOS Mojave 10.14.6、macOS Catalina 10.15

影響：アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

説明：メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2019-8828：Cognite の Cim Stordal 氏

CVE-2019-8838：InfoSect の Silvio Cesare 博士

CVE-2019-8847：Apple

CVE-2019-8852：WaCai の pattern-f 氏 (@pattern_F_)

libexpat

対象 OS：macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響：悪意を持って作成された XML ファイルを解析すると、ユーザ情報が漏洩する可能性がある。

説明：この問題は、expat バージョン 2.2.8 にアップデートすることで解決されました。

CVE-2019-15903：Joonun Jang 氏

2019 年 12 月 18 日に更新

注

対象 OS：macOS Catalina 10.15

影響：リモートの攻撃者に、既存のファイルを上書きされる可能性がある。

説明：ディレクトリパスの処理における解析不備の脆弱性に、パス検証を強化することで対処しました。

CVE-2020-9782：カリフォルニア大学バークレー校の Allison Husain 氏

2020 年 4 月 4 日に追加

OpenLDAP

対象 OS：macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響：OpenLDAP に複数の脆弱性がある。

説明：OpenLDAP バージョン 2.4.28 にアップデートして、複数の脆弱性に対処しました。

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

2020 年 2 月 3 日に更新

セキュリティ

対象 OS：macOS High Sierra 10.13.6、macOS Mojave 10.14.6、macOS Catalina 10.15

影響：アプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

説明：メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2019-8832：Georgia Tech の SSLab の Insu Yun 氏

tcpdump

対象 OS：macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響：tcpdump に複数の脆弱性がある。

説明：tcpdump バージョン 4.9.3 および libpcap バージョン 1.9.1 にアップデートして、複数の脆弱性に対処しました。

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15166

CVE-2019-15167

2020 年 2 月 11 日に更新

Wi-Fi

対象 OS：macOS Mojave 10.14.6、macOS High Sierra 10.13.6

影響：Wi-Fi の通信範囲内にいる攻撃者が、少量のネットワークトラフィックを傍受できる可能性がある。

説明：ステート遷移の処理において、ロジックに脆弱性がありました。この問題は、ステート管理を改善することで解決されました。

CVE-2019-15126：ESET の Milos Cermak 氏

2020 年 2 月 27 日に追加

ご協力いただいたその他の方々

アカウント

カリフォルニア大学バークレー校の Allison Husain 氏、Kishan Bagaria 氏 (KishanBagaria.com) およびラフバラー大学の Tom Snelling 氏のご協力に感謝いたします。

2020 年 4 月 4 日に更新

Core Data

Google Project Zero の natashenka 氏のご協力に感謝いたします。

Finder

Csaba Fitzl 氏 (@theevilbit) のご協力に感謝いたします。

2019 年 12 月 18 日に追加

カーネル

Swisscom CSIRT の Daniel Roethlisberger 氏のご協力に感謝いたします。

2019 年 12 月 18 日に追加

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日： 2023 年 11 月 02 日