Zawartość związana z zabezpieczeniami w systemie macOS Mojave 10.14.5, uaktualnieniu zabezpieczeń 2019-003 High Sierra i uaktualnieniu zabezpieczeń 2019-003 Sierra

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Mojave 10.14.5, uaktualnieniu zabezpieczeń 2019-003 High Sierra i uaktualnieniu zabezpieczeń 2019-003 Sierra.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

System macOS Mojave 10.14.5, uaktualnienie zabezpieczeń 2019-003 High Sierra i uaktualnienie zabezpieczeń 2019-003 Sierra

Wydano 13 maja 2019 r.

Architektura dostępności

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2019-8603: Phoenhex i qwerty (@_niklasb, @qwertyoruiopz, @bkth_) w ramach programu Zero Day Initiative firmy Trend Micro

AMD

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8635: Lilang Wu i Moony Li z TrendMicro Mobile Security Research Team w ramach programu Zero Day Initiative firmy Trend Micro

Zapora sieciowa aplikacji

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2019-8590: brytyjska organizacja National Cyber Security Centre (NCSC)

CoreAudio

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi błędów.

CVE-2019-8592: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro

CoreAudio

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: przetworzenie złośliwie spreparowanego pliku filmu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8585: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro

Usługi biurka

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: złośliwa aplikacja może ominąć kontrolę przeprowadzaną przez funkcję Gatekeeper.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2019-8589: Andreas Clementi, Stefan Haselwanter i Peter Stelzhammer z organizacji AV-Comparatives

Obrazy dysków

Dostępne dla: macOS Sierra 10.12.6, macOS Mojave 10.14.4 i macOS High Sierra 10.13.6

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2019-8560: Nikita Pupyshev z Bauman Moscow State Technological University

Wpis uaktualniono 14 maja 2019 r.

EFI

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: użytkownik może zostać nieoczekiwanie zalogowany na konto innego użytkownika.

Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.

CVE-2019-8634: Jenny Sprenger i Maik Hoepfel

Sterownik graficzny Intel

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8616: Lilang Wu i Moony Li z Trend Micro Mobile Security Research Team w ramach programu Zero Day Initiative firmy Trend Micro

Sterownik graficzny Intel

Dostępne dla: macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8629: Arash Tohidi z firmy Solita Oy

IOAcceleratorFamily

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4456: Tyler Bohan z Cisco Talos

IOKit

Dostępne dla: macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Zagrożenie: użytkownik lokalny może być w stanie wczytać niepodpisane rozszerzenia jądra.

Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2019-8606: Phoenhex i qwerty (@_niklasb, @qwertyoruiopz, @bkth_) w ramach programu Zero Day Initiative firmy Trend Micro

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2019-8525: Zhuo Liang i shrek_wzw z Qihoo 360 Nirvan Team

Wpis dodano 14 maja 2019 r.

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8547: derrek (@derrekr6)

Wpis dodano 14 maja 2019 r.

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2019-8605: Ned Williamson w ramach programu Google Project Zero

Jądro

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8576: Brandon Azad z Google Project Zero, Junho Jang i Hanul Choi z LINE Security Team

Wpis uaktualniono 30 maja 2019 r.

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2019-8591: Ned Williamson w ramach programu Google Project Zero

Wiadomości

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8573: Natalie Silvanovich z Google Project Zero

Wpis dodano 3 lipca 2019 r.

Mikrokod

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: ładowanie portów, wypełnianie buforów i przechowywanie buforów na komputerach z mikroprocesorami korzystającymi z wykonywania spekulatywnego może pozwolić osobie atakującej z dostępem użytkownika lokalnego na ujawnienie informacji z sąsiedniego procesu (atak typu side-channel).

Opis: częściowo rozwiązano wiele problemów umożliwiających ujawnienie informacji przez poprawienie mikrokodu i wprowadzenie zmian w module planowania systemu operacyjnego w taki sposób, aby system był odizolowany od zawartości internetowej działającej w przeglądarce. Aby w pełni rozwiązać ten problem, można skorzystać z dodatkowych (opcjonalnych) zmian, które powodują domyślne wyłączenie mechanizmu Hyper-Threading i włączenie zmian mikrokodu dla wszystkich procesów. Szczegółowe informacje o tych zmianach znajdują się w artykule https://support.apple.com/pl-pl/HT210107.

CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco z firmy Intel; Lei Shi — Qihoo 360 CERT; Marina Minkin; Daniel Genkin z uczelni University of Michigan; Yuval Yarom z uczelni University of Adelaide

CVE-2018-12127: Brandon Falk z Microsoft Windows Platform Security Team; Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco z firmy Intel

CVE-2018-12130: Giorgi Maisuradze z grupy Microsoft Research; Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco z firmy Intel; Moritz Lipp, Michael Schwarz i Daniel Gruss z uczelni Graz University of Technology; Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos i Cristiano Giuffrida z grupy VUSec uczelni VU Amsterdam; Volodymyr Pikhur; Dan Horea Lutas z firmy BitDefender

CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco z firmy Intel; Moritz Lipp, Michael Schwarz i Daniel Gruss z uczelni Graz University of Technology

Wpis dodano 14 maja 2019 r.

Zabezpieczenia

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8604: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro

SQLite

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.

CVE-2019-8577: Omer Gull z firmy Checkpoint Research

SQLite

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: złośliwie spreparowane zapytanie SQL może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8600: Omer Gull z firmy Checkpoint Research

SQLite

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: złośliwa aplikacja może odczytać pamięć zastrzeżoną.

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8598: Omer Gull z firmy Checkpoint Research

SQLite

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2019-8602: Omer Gull z firmy Checkpoint Research

Przesyłanie strumieniowe pliku ZIP

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: lokalny użytkownik może być w stanie zmodyfikować chronione części systemu plików.

Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

sysdiagnose

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8574: Dayton Pidhirney (@_watbulb) z firmy Seekintoo (@seekintoo)

Obsługa paska Touch Bar

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8569: Viktor Oreshkin (@stek29)

WebKit

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-6237: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro, Liu Long z Qihoo 360 Vulcan Team

CVE-2019-8571: 01 w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8583: sakura z grupy Tencent Xuanwu Lab, jessica (@babyjess1ca_) z grupy Tencent Keen Lab, dwfault z grupy ADLab firmy Venustech

CVE-2019-8584: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8586: anonimowy badacz

CVE-2019-8587: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8594: Suyoung Lee i Sooel Son z firmy KAIST Web Security & Privacy Lab, HyungSeok Han i Sang Kil Cha z grupy SoftSec Lab firmy KAIST

CVE-2019-8595: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8596: Wen Xu z grupy SSLab uczelni Georgia Tech

CVE-2019-8597: 01 w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8601: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8608: G. Geshev w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8609: Wen Xu z grupy SSLab uczelni Georgia Tech

CVE-2019-8610: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8611: Samuel Groß z Google Project Zero

CVE-2019-8615: G. Geshev z MWR Labs w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-8619: Wen Xu z grupy SSLab uczelni Georgia Tech oraz Hanqing Zhao z Chaitin Security Research Lab

CVE-2019-8622: Samuel Groß z Google Project Zero

CVE-2019-8623: Samuel Groß z Google Project Zero

CVE-2019-8628: Wen Xu z grupy SSLab uczelni Georgia Tech oraz Hanqing Zhao z Chaitin Security Research Lab

WebKit

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8607: Junho Jang and Hanul Choi z grupy Security Team firmy LINE

Wi-Fi

Dostępne dla: systemu macOS Mojave 10.14.4

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może modyfikować stan sterownika.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-8612: Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt

Wpis dodano 14 maja 2019 r.

Dodatkowe podziękowania

CoreFoundation

Dziękujemy za udzieloną pomoc: m4bln, Xiangqian Zhang, Huiming Liu of Tencent's Xuanwu Lab, Vozzie i Rami.

Wpis uaktualniono 14 maja 2019 r.

Jądro

Dziękujemy za udzieloną pomoc: Denis Kopyrin.

Wpis uaktualniono 14 maja 2019 r.

Oprogramowanie PackageKit

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit).

Safari

Dziękujemy za udzieloną pomoc: Michael Ball z firmy Gradescope (Turnitin).

Preferencje systemowe

Dziękujemy anonimowemu badaczowi za pomoc.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: