Zawartość związana z zabezpieczeniami w systemie macOS Mojave 10.14.4, uaktualnieniu zabezpieczeń 2019-002 High Sierra i uaktualnieniu zabezpieczeń 2019-002 Sierra

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

Wydano 25 marca 2019 r.

802.1X

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie przechwycić ruch sieciowy.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-6203: Dominic White z SensePost (@singe)

Wpis dodano 15 kwietnia 2019 r.

Konta

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanego pliku VCF mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

Wpis dodano 3 kwietnia 2019 r.

APFS

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: występował błąd logiczny powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2019-8534: Mac w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 15 kwietnia 2019 r.

AppleGraphicsControl

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.

CVE-2019-8555: Zhiyi Zhang z 360 ESG Codesafe Team, Zhuo Liang i shrek_wzw z Qihoo 360 Nirvan Team

Bom

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może ominąć kontrolę przeprowadzaną przez funkcję Gatekeeper.

Opis: ten problem rozwiązano przez poprawienie sposobu obsługi metadanych.

CVE-2019-6239: Ian Moorhouse i Michael Trimm

CFString

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanego ciągu znaków mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2019-8516: SWIPS Team z Frifee Inc.

configd

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

Kontakty

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2019-8511: anonimowy badacz

CoreCrypto

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8542: anonimowy badacz

DiskArbitration

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: zaszyfrowany wolumin może zostać odmontowany i zamontowany ponownie przez innego użytkownika bez monitu o podanie hasła.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-8522: Colin Meginnis (@falc420)

FaceTime

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: obraz wideo przedstawiający użytkownika może nie zostać wstrzymany w połączeniu FaceTime, jeśli użytkownik opuści aplikację FaceTime po nadejściu połączenia przychodzącego.

Opis: w procedurze wstrzymywania obrazu wideo w aplikacji FaceTime wstępował błąd. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.

CVE-2019-8550: Lauren Guzniczak z Keystone Academy

Asystent opinii

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto sytuację wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2019-8565: CodeColorist z Ant-Financial LightYear Labs

Asystent opinii

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2019-8521: CodeColorist z Ant-Financial LightYear Labs

Protokół file

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować ujawnienie informacji o użytkowniku.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8906: Francisco Alonso

Wpis uaktualniono 15 kwietnia 2019 r.

Sterowniki graficzne

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) i Junzhi Lu z Trend Micro Research w ramach programu Zero Day Initiative firmy Trend Micro

iAP

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8542: anonimowy badacz

IOGraphics

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: komputer Mac może się nie blokować po odłączeniu od monitora zewnętrznego.

Opis: rozwiązano błąd obsługi blokady przez poprawienie mechanizmu obsługi blokady.

CVE-2019-8533: anonimowy badacz, James Eagan z Télécom ParisTech, R. Scott Kemp z MIT i Romke van Dijk z Z-CERT

IOHIDFamily

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2019-8545: Adam Donenfeld (@doadam) z the Zimperium zLabs Team

IOKit

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8504: anonimowy badacz

IOKit SCSI

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8529: Juwei Lin (@panicaII) z Trend Micro Research w ramach programu Zero Day Initiative firmy Trend Micro

Wpis uaktualniono 15 kwietnia 2019 r.

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.

CVE-2019-8527: Ned Williamson z Google i derrek (@derrekr6)

Jądro

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) z Qihoo 360 Vulcan Team

Wpis dodano 3 kwietnia 2019 r.

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS Mojave 10.14.3

Zagrożenie: zamontowanie złośliwie spreparowanego udziału sieciowego NFS może doprowadzić do wykonania dowolnego kodu z uprawnieniami systemowymi.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8508: Dr. Silvio Cesare z InfoSect

Jądro

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-8514: Samuel Groß z Google Project Zero

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8540: Weibo Wang (@ma1fan) z Qihoo 360 Nirvan Team

Jądro

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-7293: Ned Williamson z Google

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-6207: Weibo Wang z Qihoo 360 Nirvan Team (@ma1fan)

CVE-2019-8510: Stefan Esser z Antid0te UG

Wiadomości

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: użytkownik lokalny może wyświetlić poufne informacje użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2019-8546: ChiYuan Chang

Modem — CCL

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.

CVE-2019-8579: anonimowy badacz

Wpis dodano 15 kwietnia 2019 r.

Notatki

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: użytkownik lokalny może wyświetlić zablokowane notatki użytkownika.

Ten problem rozwiązano przez poprawienie procedur zarządzania pamięcią.

CVE-2019-8537: Greg Walker (gregwalker.us)

Oprogramowanie PackageKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2019-8561: Jaron Bradley z Crowdstrike

Perl

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: liczne błędy w oprogramowaniu Perl.

Opis: w oprogramowaniu Perl występowało wiele błędów, które zostały naprawione w tym uaktualnieniu.

CVE-2018-12015: Jakub Wilk

CVE-2018-18311: Jayakrishna Menon

CVE-2018-18313: Eiichi Tsukata

Zarządzanie energią

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: w kodzie wygenerowanym przez program MIG występowały liczne błędy walidacji danych wejściowych. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8549: Mohamed Ghannam (@_simo36) z SSD Secure Disclosure (ssd-disclosure.com)

QuartzCore

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwych danych może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8507: Kai Lu z Fortinet's FortiGuard Labs

Zabezpieczenia

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2019-8526: Linus Henze (pinauten.de)

Zabezpieczenia

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8520: Antonio Groza, brytyjska organizacja National Cyber Security Centre (NCSC)

Siri

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie inicjować żądanie funkcji Dyktowanie bez autoryzacji użytkownika.

Opis: w procedurze obsługi żądań dyktowania występował błąd interfejsu API. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2019-8502: Luke Deshotels z uczelni North Carolina State University, Jordan Beichler z uczelni North Carolina State University, William Enck z uczelni North Carolina State University, Costin Carabaș z uczelni University POLITEHNICA of Bucharest i Răzvan Deaconescu z uczelni University POLITEHNICA of Bucharest

Time Machine

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: użytkownik lokalny może wykonywać dowolne polecenia powłoki.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2019-8513: CodeColorist z Ant-Financial LightYear Labs

TrueTypeScaler

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8517: riusksk z VulWar Corp współpracujący Trend Micro Zero Day Initiative

Wi-Fi

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może modyfikować stan sterownika.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2019-8564: Hugues Anguelkov podczas stażu w Quarkslab

Wpis dodano 15 kwietnia 2019 r.

xar

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanego pakietu może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)

Wpis dodano 15 kwietnia 2019 r.

Usługi XPC

Dostępne dla: systemów macOS Sierra 10.12.6, macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2019-8530: CodeColorist z Ant-Financial LightYear Labs

Konta

Dziękujemy za udzieloną pomoc: Milan Stute z Secure Mobile Networking Lab z Technische Universität Darmstadt.

Książki

Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).

Jądro

Dziękujemy za udzieloną pomoc: Brandon Azad z Google Project Zero.

Mail

Dziękujemy za udzieloną pomoc: Craig Young z Tripwire VERT i Hanno Böck.

Time Machine

Dziękujemy za udzieloną pomoc: CodeColorist z Ant-Financial LightYear Labs.