Zawartość związana z zabezpieczeniami w systemie macOS Mojave 10.14.5, uaktualnieniu zabezpieczeń 2019-003 High Sierra i uaktualnieniu zabezpieczeń 2019-003 Sierra
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Mojave 10.14.5, uaktualnieniu zabezpieczeń 2019-003 High Sierra i uaktualnieniu zabezpieczeń 2019-003 Sierra.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
System macOS Mojave 10.14.5, uaktualnienie zabezpieczeń 2019-003 High Sierra i uaktualnienie zabezpieczeń 2019-003 Sierra
Architektura dostępności
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2019-8603: Phoenhex i qwerty (@_niklasb, @qwertyoruiopz, @bkth_) w ramach programu Zero Day Initiative firmy Trend Micro
AMD
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8635: Lilang Wu i Moony Li z TrendMicro Mobile Security Research Team w ramach programu Zero Day Initiative firmy Trend Micro
Zapora sieciowa aplikacji
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2019-8590: brytyjska organizacja National Cyber Security Centre (NCSC)
Narzędzie archiwum
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2019-8640: Ash Fox z Fitbit Product Security
Bluetooth
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: z powodu błędnej konfiguracji protokołów parowania Bluetooth wersji Bluetooth Low Energy (BLE) kluczy bezpieczeństwa FIDO atakujący znajdujący się w bliskiej odległości może być w stanie przechwycić ruch Bluetooth podczas parowania
Opis: rozwiązano problem poprzez wyłączenie akcesoriów z niezabezpieczonymi połączeniami Bluetooth. Klienci korzystający z wersji Bluetooth Low Energy (BLE) klucza bezpieczeństwa Titan firmy Google powinni zapoznać się z czerwcowymi biuletynami systemu Android i zaleceniami Google oraz podjąć odpowiednie działania.
CVE-2019-2102: Matt Beaver i Erik Peterson z Microsoft Corp.
CoreAudio
Dostępne dla: macOS Sierra 10.12.6, macOS Mojave 10.14.4 i macOS High Sierra 10.13.6
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi błędów.
CVE-2019-8592: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
CoreAudio
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: przetworzenie złośliwie spreparowanego pliku filmu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8585: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
CoreText
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8582: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
Usługi biurka
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: złośliwa aplikacja może ominąć kontrolę przeprowadzaną przez funkcję Gatekeeper.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2019-8589: Andreas Clementi, Stefan Haselwanter i Peter Stelzhammer z organizacji AV-Comparatives
Obrazy dysków
Dostępne dla: macOS Sierra 10.12.6, macOS Mojave 10.14.4 i macOS High Sierra 10.13.6
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2019-8560: Nikita Pupyshev z Bauman Moscow State Technological University
EFI
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: użytkownik może zostać nieoczekiwanie zalogowany na konto innego użytkownika.
Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.
CVE-2019-8634: Jenny Sprenger i Maik Hoepfel
Sterownik graficzny Intel
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8616: Lilang Wu i Moony Li z Trend Micro Mobile Security Research Team w ramach programu Zero Day Initiative firmy Trend Micro
Sterownik graficzny Intel
Dostępne dla: macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8629: Arash Tohidi z firmy Solita Oy
IOAcceleratorFamily
Dostępne dla: systemu macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4456: Tyler Bohan z Cisco Talos
IOKit
Dostępne dla: macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Zagrożenie: użytkownik lokalny może być w stanie wczytać niepodpisane rozszerzenia jądra.
Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2019-8606: Phoenhex i qwerty (@_niklasb, @qwertyoruiopz, @bkth_) w ramach programu Zero Day Initiative firmy Trend Micro
Jądro
Dostępne dla: macOS Mojave 10.14.4 i macOS High Sierra 10.13.6
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2019-8633: Zhuo Liang z Qihoo 360 Vulcan Team
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2019-8525: Zhuo Liang i shrek_wzw z Qihoo 360 Nirvan Team
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.
Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8547: derrek (@derrekr6)
Jądro
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8576: Brandon Azad z Google Project Zero, Junho Jang i Hanul Choi z LINE Security Team
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2019-8591: Ned Williamson w ramach programu Google Project Zero
Wiadomości
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8573: natashenka z Google Project Zero
Wiadomości
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: użytkownicy usunięci z rozmowy iMessage mogą być nadal w stanie modyfikować stan.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8631: Jamie Bishop z Dynastic
Mikrokod
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: ładowanie portów, wypełnianie buforów i przechowywanie buforów na komputerach z mikroprocesorami korzystającymi z wykonywania spekulatywnego może pozwolić osobie atakującej z dostępem użytkownika lokalnego na ujawnienie informacji z sąsiedniego procesu (atak typu side-channel).
Opis: częściowo rozwiązano wiele problemów umożliwiających ujawnienie informacji przez poprawienie mikrokodu i wprowadzenie zmian w module planowania systemu operacyjnego w taki sposób, aby system był odizolowany od zawartości internetowej działającej w przeglądarce. Aby w pełni rozwiązać ten problem, można skorzystać z dodatkowych (opcjonalnych) zmian, które powodują domyślne wyłączenie mechanizmu Hyper-Threading i włączenie zmian mikrokodu dla wszystkich procesów. Szczegółowe informacje o tych zmianach znajdują się w artykule https://support.apple.com/pl-pl/HT210107.
CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco z firmy Intel; Lei Shi — Qihoo 360 CERT; Marina Minkin; Daniel Genkin z uczelni University of Michigan; Yuval Yarom z uczelni University of Adelaide
CVE-2018-12127: Brandon Falk z Microsoft Windows Platform Security Team; Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco z firmy Intel
CVE-2018-12130: Giorgi Maisuradze z grupy Microsoft Research; Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco z firmy Intel; Moritz Lipp, Michael Schwarz i Daniel Gruss z uczelni Graz University of Technology; Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos i Cristiano Giuffrida z grupy VUSec uczelni VU Amsterdam; Volodymyr Pikhur; Dan Horea Lutas z firmy BitDefender
CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco z firmy Intel; Moritz Lipp, Michael Schwarz i Daniel Gruss z uczelni Graz University of Technology
Zabezpieczenia
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8604: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro
SQLite
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.
CVE-2019-8577: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: złośliwie spreparowane zapytanie SQL może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8600: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: złośliwa aplikacja może odczytać pamięć zastrzeżoną.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8598: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: złośliwa aplikacja może zdobyć podwyższone uprawnienia.
Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2019-8602: Omer Gull z firmy Checkpoint Research
Przesyłanie strumieniowe pliku ZIP
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: lokalny użytkownik może być w stanie zmodyfikować chronione części systemu plików.
Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
sysdiagnose
Dostępne dla: macOS Sierra 10.12.6, macOS Mojave 10.14.4 i macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: błąd naprawiono przez poprawienie procedur obsługi procesów logicznych uprawnień.
CVE-2019-8574: Dayton Pidhirney (@_watbulb) z firmy Seekintoo (@seekintoo)
Obsługa paska Touch Bar
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8569: Viktor Oreshkin (@stek29)
WebKit
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-6237: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro, Liu Long z Qihoo 360 Vulcan Team
CVE-2019-8571: 01 w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8583: sakura z grupy Tencent Xuanwu Lab, jessica (@babyjess1ca_) z grupy Tencent Keen Lab, dwfault z grupy ADLab firmy Venustech
CVE-2019-8584: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8586: anonimowy badacz
CVE-2019-8587: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8594: Suyoung Lee i Sooel Son z firmy KAIST Web Security & Privacy Lab, HyungSeok Han i Sang Kil Cha z grupy SoftSec Lab firmy KAIST
CVE-2019-8595: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8596: Wen Xu z grupy SSLab uczelni Georgia Tech
CVE-2019-8597: 01 w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8601: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8608: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8609: Wen Xu z grupy SSLab uczelni Georgia Tech
CVE-2019-8610: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8611: Samuel Groß z Google Project Zero
CVE-2019-8615: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8619: Wen Xu z grupy SSLab uczelni Georgia Tech oraz Hanqing Zhao z Chaitin Security Research Lab
CVE-2019-8622: Samuel Groß z Google Project Zero
CVE-2019-8623: Samuel Groß z Google Project Zero
CVE-2019-8628: Wen Xu z grupy SSLab uczelni Georgia Tech oraz Hanqing Zhao z Chaitin Security Research Lab
WebKit
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8607: Junho Jang and Hanul Choi z grupy Security Team firmy LINE
Wi-Fi
Dostępne dla: systemu macOS Mojave 10.14.4
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może modyfikować stan sterownika.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8612: Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt
Dodatkowe podziękowania
CoreAudio
Dziękujemy za udzieloną pomoc: riusksk z VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro.
CoreFoundation
Dziękujemy za udzieloną pomoc: m4bln, Xiangqian Zhang, Huiming Liu z Tencent's Xuanwu Lab, Vozzie i Rami.
Jądro
Dziękujemy za udzieloną pomoc: Denis Kopyrin.
Oprogramowanie PackageKit
Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit).
Safari
Dziękujemy za udzieloną pomoc: Michael Ball z firmy Gradescope (Turnitin).
Preferencje systemowe
Dziękujemy anonimowemu badaczowi za pomoc.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.