macOS Catalina 10.15.2、セキュリティアップデート 2019-002 Mojave、セキュリティアップデート 2019-007 High Sierra のセキュリティコンテンツについて

macOS Catalina 10.15.2、セキュリティアップデート 2019-002 Mojave、セキュリティアップデート 2019-007 High Sierra のセキュリティコンテンツについて説明します。

Apple セキュリティアップデートについて

Apple では、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最近のリリースについては、「Apple セキュリティアップデート」ページに一覧形式でまとめています。

Apple のセキュリティ関連の文書では、可能な場合、脆弱性の CVE-ID に言及しています。

セキュリティについて詳しくは、Apple 製品のセキュリティに関するページを参照してください。

macOS Catalina 10.15.2、セキュリティアップデート 2019-002 Mojave、セキュリティアップデート 2019-007 High Sierra

2019 年 12 月 10 日リリース

ATS

対象 OS:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響:悪意のあるアプリケーションに、制限されたファイルにアクセスされる可能性がある。

説明:制限を強化し、ロジックの脆弱性に対処しました。

CVE-2019-8837:Csaba Fitzl 氏 (@theevilbit)

2019 年 12 月 18 日に更新

Bluetooth

対象 OS:macOS Catalina 10.15

影響:アプリケーションが、制限されたメモリを読み取れる可能性がある。

説明:入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。

CVE-2019-8853:Qihoo 360 Alpha Lab の Jianjun Dai 氏

CallKit

対象 OS:macOS Catalina 10.15

影響:Siri を使ってかけた電話が、モバイル通信プランが 2 つ有効になっているデバイスで、間違ったプランを使ってかかってしまう場合がある。

説明:Siri で発信した通話の処理における API に脆弱性がありました。この問題は、ステート処理を改善することで解決されました。

CVE-2019-8856:TERRANCLE SARL の Fabrice TERRANCLE 氏

CFNetwork Proxies

対象 OS:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響:アプリケーションに、昇格した権限を取得される可能性がある。

説明:この問題は、チェックを強化することで解決されました。

CVE-2019-8848:Qihoo 360 Vulcan Team の Zhuo Liang 氏

2019 年 12 月 18 日に更新

CUPS

対象 OS:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響:特定の構成において、リモートの攻撃者が任意のプリントジョブを送信できる場合がある。

説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。

CVE-2019-8842:China Mobile の Niky1235 氏

2019 年 12 月 18 日に更新

CUPS

対象 OS:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響:ネットワーク上で特権的な地位を悪用した攻撃者から、サービス運用妨害を受ける可能性がある。

説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。

CVE-2019-8839:Security Research Labs の Stephan Zeisberg 氏

2019 年 12 月 18 日に更新

FaceTime

対象 OS:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響:悪意のあるビデオを FaceTime で処理すると、任意のコードが実行される可能性がある。

説明:入力検証を強化することで、領域外読み込みに対処しました。

CVE-2019-8830:Google Project Zero の Natalie Silvanovich 氏

2019 年 12 月 18 日に更新

カーネル

対象 OS:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

説明:脆弱なコードを削除することで、メモリ破損の脆弱性に対処しました。

CVE-2019-8833:Google Project Zero の Ian Beer 氏

2019 年 12 月 18 日に更新

カーネル

対象 OS:macOS High Sierra 10.13.6、macOS Mojave 10.14.6、macOS Catalina 10.15

影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2019-8828:Cognite の Cim Stordal 氏

CVE-2019-8838:InfoSect の Silvio Cesare 博士

CVE-2019-8847:Apple

CVE-2019-8852:WaCai の pattern-f 氏 (@pattern_F_)

libexpat

対象 OS:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影響:悪意を持って作成された XML ファイルを解析すると、ユーザ情報が漏洩する可能性がある。

説明:この問題は、expat バージョン 2.2.8 にアップデートすることで解決されました。

CVE-2019-15903:Joonun Jang 氏

2019 年 12 月 18 日に更新

OpenLDAP

対象 OS:macOS Catalina 10.15

影響:OpenLDAP に複数の脆弱性がある。

説明:OpenLDAP バージョン 2.4.28 にアップデートして、複数の脆弱性に対処しました。

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

セキュリティ

対象 OS:macOS High Sierra 10.13.6、macOS Mojave 10.14.6、macOS Catalina 10.15

影響:アプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。

説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

CVE-2019-8832:Georgia Tech の SSLab の Insu Yun 氏

tcpdump

対象 OS:macOS Catalina 10.15

影響:tcpdump に複数の脆弱性がある。

説明:tcpdump バージョン 4.9.3 および libpcap バージョン 1.9.1 にアップデートして、複数の脆弱性に対処しました。

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

CVE-2019-15166

CVE-2019-15167

ご協力いただいたその他の方々

アカウント

Kishan Bagaria 氏 (KishanBagaria.com) およびラフバラー大学の Tom Snelling 氏のご協力に感謝いたします。

Core Data

Google Project Zero の Natalie Silvanovich 氏のご協力に感謝いたします。

Finder

Csaba Fitzl 氏 (@theevilbit) のご協力に感謝いたします。

2019 年 12 月 18 日に追加

カーネル

Swisscom CSIRT の Daniel Roethlisberger 氏のご協力に感謝いたします。

2019 年 12 月 18 日に追加

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: