macOS Catalina 10.15 のセキュリティコンテンツについて

macOS Catalina 10.15 のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最近のリリースについては、「Apple セキュリティアップデート」ページに一覧形式でまとめています。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。

macOS Catalina 10.15

2019 年 10 月 7 日リリース

AMD

対象モデル：MacBook (Early 2015 以降)、MacBook Air (Mid 2012 以降)、MacBook Pro (Mid 2012 以降)、Mac mini (Late 2012 以降)、iMac (Late 2012 以降)、iMac Pro (全モデル)、Mac Pro (Late 2013 以降)

影響：アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

説明：メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2019-8748: TrendMicro Mobile Security Research Team の Lilang Wu 氏および Moony Li 氏

apache_mod_php

影響：PHP に複数の脆弱性がある。

説明：PHP をバージョン 7.3.8 にアップデートすることで、複数の脆弱性に対処しました。

CVE-2019-11041

CVE-2019-11042

Audio

影響：悪意を持って作成されたオーディオファイルを処理すると、任意のコードが実行される可能性がある。

説明：ステート管理を改善し、メモリ破損の脆弱性に対処しました。

CVE-2019-8706：Ant-Financial Light-Year Security Lab の Yu Zhou 氏

2019 年 10 月 29 日に追加

Audio

影響：悪意を持って作成されたオーディオファイルを処理すると、制限されたメモリが漏洩する可能性がある。

説明：入力検証を強化することで、領域外読み込みに対処しました。

CVE-2019-8850：Trend Micro Zero Day Initiative に協力する匿名の研究者

2019 年 12 月 4 日に追加

Books

影響：悪意を持って作成された iBooks ファイルを解析すると、執拗なサービス運用妨害を受ける可能性がある。

説明：入力検証を強化し、リソース枯渇の問題に対処しました。

CVE-2019-8774：ルーベン・カトリック大学 imec-DistriNet の Gertjan Franken 氏

2019 年 10 月 29 日に追加

CFNetwork

影響：悪意を持って作成された Web コンテンツを処理すると、クロスサイトスクリプティング攻撃につながるおそれがある。

説明：この問題は、チェックを強化することで解決されました。

CVE-2019-8753：Standard Chartered GBS Poland の Łukasz Pilorz 氏

2019 年 10 月 29 日に追加

CoreAudio

影響：悪意を持って作成されたムービーを処理すると、プロセスメモリが漏洩する可能性がある。

説明：検証を強化し、メモリ破損の脆弱性に対処しました。

CVE-2019-8705：Trend Micro の Zero Day Initiative に協力する VulWar Corp の riusksk 氏

CoreAudio

影響：悪意のあるオーディオファイルを再生すると、任意のコードが実行される可能性がある。

説明：入力検証を強化し、メモリ破損の脆弱性に対処しました。

CVE-2019-8592：Trend Micro の Zero Day Initiative に協力する VulWar Corp の riusksk 氏

2019 年 11 月 6 日に追加

CoreCrypto

影響：大量の入力を処理すると、サービス運用妨害を受ける可能性がある。

説明：入力検証を強化し、サービス運用妨害の脆弱性に対処しました。

CVE-2019-8741：NIST の Nicky Mouha 氏

2019 年 10 月 29 日に追加

CoreMedia

影響：悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。

説明：ステート管理を改善し、メモリ破損の脆弱性に対処しました。

CVE-2019-8825：Google Chrome の GWP-ASan により検出

2019 年 10 月 29 日に追加

Crash Reporter

影響：解析データを共有するかどうかを切り替える「Mac 解析を共有」の選択を解除しても、この設定が無効にならない場合がある。

説明：ユーザ環境設定の読み書きの際に、競合状態 (race condition) の脆弱性がありました。この問題は、ステート処理を改善することで解決されました。

CVE-2019-8757：Core Development, LLC の William Cerniuk 氏

CUPS

影響：ネットワーク上の特権的な地位を利用した攻撃者が、重要なユーザ情報を漏洩させる可能性がある。

説明：入力検証を強化し、入力検証の脆弱性に対処しました。

CVE-2019-8736：ING Tech Poland (ingtechpoland.com) の Pawel Gocyla 氏

2019 年 10 月 29 日に追加

CUPS

影響：悪意を持って作成された文字列を処理すると、ヒープ破損が起きる可能性がある。

説明：メモリ処理を強化し、メモリ消費の脆弱性に対処しました。

CVE-2019-8767：Stephen Zeisberg 氏

2019 年 10 月 29 日に追加

CUPS

影響：ネットワーク上で特権的な地位を悪用した攻撃者から、サービス運用妨害を受ける可能性がある。

説明：検証を強化し、サービス運用妨害の脆弱性に対処しました。

CVE-2019-8737：ING Tech Poland (ingtechpoland.com) Pawel Gocyla 氏

2019 年 10 月 29 日に追加

dyld

影響：アプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

説明：メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2019-8776：Google Project Zero の Jann Horn 氏

2020 年 2 月 3 日に追加

File Quarantine

影響：悪意のあるアプリケーションに権限を昇格される可能性がある。

説明：この問題は、脆弱なコードを削除することで解決されました。

CVE-2019-8509：Ant-Financial LightYear Labs の CodeColorist 氏

2019 年 10 月 29 日に追加

Foundation

影響：リモートの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。

説明：入力検証を強化することで、領域外読み込みに対処しました。

CVE-2019-8746：Google Project Zero の natashenka 氏および Samuel Groß 氏

2019 年 10 月 29 日に追加

Graphics

影響：悪意のあるシェーダーを処理すると、アプリケーションが予期せず終了したり、任意のコードが実行されたりする可能性がある。

説明：入力検証を強化し、複数のメモリ破損の脆弱性に対処しました。

CVE-2018-12152：Cisco Talos の Piotr Bania 氏

CVE-2018-12153：Cisco Talos の Piotr Bania 氏

CVE-2018-12154：Cisco Talos の Piotr Bania 氏

2019 年 10 月 29 日に追加

IOGraphics

影響：ローカルユーザにシステムを突然終了されたり、カーネルメモリを読み取られる可能性がある。

説明：配列境界チェック機能を改善することで、領域外読み込みの脆弱性に対処しました。

CVE-2019-8759：360 Nirvan Team の another 氏

2019 年 10 月 29 日に追加

Intel Graphics Driver

影響：アプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

説明：メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2019-8758：Trend Micro の Lilang Wu 氏および Moony Li 氏

IOGraphics

影響：悪意のあるアプリケーションが、カーネルメモリのレイアウトを判断できる可能性がある。

説明：制限を強化し、ロジックの脆弱性に対処しました。

CVE-2019-8755：Trend Micro の Lilang Wu 氏および Moony Li 氏

Kernel

影響：アプリケーションに、昇格した権限を取得される可能性がある。

説明：この問題は、エンタイトルメントを改善することで解決されました。

CVE-2019-8703：匿名の研究者

2021 年 3 月 16 日に追加

Kernel

影響：ローカルの App が、永続的なアカウント識別子を読み取れる可能性がある。

説明：ロジックを改良し、検証の脆弱性に対処しました。

CVE-2019-8809：Apple

2019 年 10 月 29 日に追加

Kernel

影響：悪意のあるアプリケーションが、カーネルメモリのレイアウトを判断できる可能性がある。

説明：IPv6 パケットの処理に、メモリ破損の脆弱性が存在します。この問題はメモリ管理を改善することで解決されました。

CVE-2019-8744：Qihoo 360 Vulcan Team の Zhuo Liang 氏

2019 年 10 月 29 日に追加

Kernel

影響：アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

説明：メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2019-8717：Google Project Zero の Jann Horn 氏

Kernel

影響：アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

説明：ステート管理を改善し、メモリ破損の脆弱性に対処しました。

CVE-2019-8709：derrek (@derrekr6) derrek (@derrekr6) 氏

CVE-2019-8781：Linus Henze 氏 (pinauten.de)

2019 年 10 月 29 日に更新

libxml2

影響：libxml2 に複数の脆弱性がある。

説明：入力検証を強化し、複数のメモリ破損の脆弱性に対処しました。

CVE-2019-8749：OSS-Fuzz により検出

CVE-2019-8756：OSS-Fuzz により検出

2019 年 10 月 29 日に追加

libxslt

影響：libxslt に複数の脆弱性がある。

説明：入力検証を強化し、複数のメモリ破損の脆弱性に対処しました。

CVE-2019-8750：OSS-Fuzz により検出

2019 年 10 月 29 日に追加

mDNSResponder

影響：物理的に近くにいる攻撃者が、AWDL 通信でデバイスの名前をパッシブに観察できる場合がある。

説明：この問題は、デバイス名をランダムな識別子に置き換えることで解決されました。

CVE-2019-8799：ダルムシュタット工科大学 Secure Mobile Networking Lab の David Kreitschmann 氏および Milan Stute 氏

2019 年 10 月 29 日に追加

Menus

影響：悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。

説明：ステート管理を改善し、メモリ破損の脆弱性に対処しました。

CVE-2019-8826：Google Chrome の GWP-ASan により検出

2019 年 10 月 29 日に追加

Notes

影響：ローカルユーザが、ユーザがロックしたメモを閲覧できる可能性がある。

説明：ロックされたメモの内容が、検索結果に表示される場合がありました。この問題は、データのクリーンアップを改善することで解決されました。

CVE-2019-8730：バージニア工科大学の Jamie Blumberg 氏 (@jamie_blumberg)

PDFKit

影響：攻撃者が、暗号化された PDF の内容を密かに抽出できる可能性がある。

説明：暗号化された PDF 内のリンクの処理に脆弱性がありました。この問題は、確認メッセージを追加することで解決されました。

CVE-2019-8772：ルール大学ボーフムの Jens Müller 氏、ミュンスター応用科学大学 (FH Münster University of Applied Sciences) の Fabian Ising 氏、ルール大学ボーフムの Vladislav Mladenov 氏、ルール大学ボーフムの Christian Mainka 氏、ミュンスター応用科学大学の Sebastian Schinzel 氏、ルール大学ボーフムの Jörg Schwenk 氏

PluginKit

影響：ローカルユーザが、任意のファイルの存在を確認できる可能性がある。

説明：制限を強化し、ロジックの脆弱性に対処しました。

CVE-2019-8708：匿名の研究者

2019 年 10 月 29 日に追加

PluginKit

影響：アプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

説明：メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2019-8715：匿名の研究者

2019 年 10 月 29 日に追加

Sandbox

影響：悪意のあるアプリケーションに、制限されたファイルにアクセスされる可能性がある。

説明：サンドボックスの制限を追加で設けて、アクセス関連の脆弱性に対処しました。

CVE-2019-8855：Apple

2019 年 12 月 18 日に追加

SharedFileList

影響：悪意のあるアプリケーションが、最近開いた書類にアクセスできる可能性がある。

説明：アクセス権のロジックを改善することで、この問題を解決しました。

CVE-2019-8770：Parallels International GmbH の Stanislav Zinukhov 氏

sips

影響：アプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

説明：メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2019-8701：Qihoo 360 の IceSword Lab の Simon Huang 氏 (@HuangShaomang)、Rong Fan 氏 (@fanrong1992)、pjf 氏

UIFoundation

影響：悪意を持って作成されたテキストファイルを解析すると、ユーザ情報が漏洩する可能性がある。

説明：この問題は、チェックを強化することで解決されました。

CVE-2019-8761：SpectX の Renee Trisberg 氏

2020 年 8 月 10 日に更新、2021 年 7 月 21 日に更新

UIFoundation

影響：悪意を持って作成されたテキストファイルを処理すると、任意のコードが実行される可能性がある。

説明：配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。

CVE-2019-8745：Trend Micro の Zero Day Initiative に協力する VulWar Corp の riusksk 氏

UIFoundation

影響：アプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

説明：メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2019-8831：Trend Micro の Zero Day Initiative に協力する VulWar Corp の riusksk 氏

2019 年 11 月 18 日に追加

WebKit

影響：悪意を持って作成された Web サイトにアクセスすると、閲覧履歴が漏洩する可能性がある。

説明：Web ページ要素の描画処理に脆弱性がありました。この問題は、ロジックを改善することで解決されました。

CVE-2019-8769：Piérre Reimertz 氏 (@reimertz)

WebKit

影響：ユーザが閲覧履歴の項目を削除できない場合がある。

説明：「履歴と Web サイトデータを消去」で履歴が消去されませんでした。この問題は、データの削除を改善することで解決されました。

CVE-2019-8768：Hugo S. Diaz 氏 (coldpointblue)

Wi-Fi

影響：デバイスが Wi-Fi MAC アドレスでパッシブに追跡される可能性がある。

説明：ブロードキャスト MAC アドレスを削除し、ユーザのプライバシーにかかわる問題に対処しました。

CVE-2019-8854：United States Naval Academy および Mitre Cooperation の FuriousMacTeam、UCCU Hacker の Ta-Lun Yen 氏

2019 年 12 月 4 日に追加、2019 年 12 月 18 日に更新

ご協力いただいたその他の方々

AppleRTC

Vitaly Cheptsov 氏のご協力に感謝いたします。

2019 年 10 月 29 日に追加

Audio

Trend Micro の Zero Day Initiative に協力する VulWar Corp の riusksk 氏のご協力に感謝いたします。

2019 年 10 月 29 日に追加

boringssl

テルアビブ大学の Nimrod Aviram 氏、ルール大学ボーフムの Robert Merget 氏、ルール大学ボーフムの Juraj Somorovsky 氏、Computest の Thijs Alkemade 氏 (@xnyhps) のご協力に感謝いたします。

2019 年 10 月 8 日に追加、2019 年 10 月 29 日に更新

curl

The School District of Philadelphia (フィラデルフィアの学区) の Joseph Barisa 氏のご協力に感謝いたします。

2020 年 2 月 3 日に追加、2020 年 2 月 11 日に更新

Finder

Csaba Fitzl 氏 (@theevilbit) のご協力に感謝いたします。

Gatekeeper

Csaba Fitzl 氏 (@theevilbit) のご協力に感謝いたします。

Identity Service

Yiğit Can YILMAZ 氏 (@yilmazcanyigit) のご協力に感謝いたします。

2019 年 10 月 29 日に追加

Kernel

Google Project Zero の Brandon Azad 氏、Vlad Tsyrklevich 氏のご協力に感謝いたします。

2020 年 7 月 28 日に更新

Local Authentication

Ryan Lopopolo 氏のご協力に感謝いたします。

2020 年 2 月 3 日に追加

mDNSResponder

e.solutions GmbH の Gregor Lang 氏のご協力に感謝いたします。

2019 年 10 月 29 日に追加

python

匿名の研究者のご協力に感謝いたします。

2019 年 10 月 29 日に追加

Safari Data Importing

Kent Zoya 氏のご協力に感謝いたします。

Security

Pepijn Dutour Geerling 氏 (pepijn.io)、匿名の研究者のご協力に感謝いたします。

2019 年 11 月 18 日に追加

Simple certificate enrollment protocol (SCEP)

匿名の研究者のご協力に感謝いたします。

Siri

Israel Institute of Technology の Technion の Yuval Ron 氏、Amichai Shulman 氏、および Eli Biham 氏のご協力に感謝いたします。

2019 年 12 月 4 日に追加、2019 年 12 月 18 日に更新

Telephony

SentinelOne の Phil Stokes 氏のご協力に感謝いたします。

VPN

Second Son Consulting, Inc. の Royce Gawron 氏のご協力に感謝いたします。

2019 年 10 月 29 日に追加

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日： 2023 年 11 月 06 日