Zawartość związana z zabezpieczeniami w systemie macOS Catalina 10.15

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Catalina 10.15.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

macOS Catalina 10.15

Wydano 7 października 2019 r.

AMD

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8748: Lilang Wu i Moony Li z TrendMicro Mobile Security Research Team

apache_mod_php

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: liczne błędy w języku PHP.

Opis: naprawiono liczne błędy przez uaktualnienie języka PHP do wersji 7.3.8.

CVE-2019-11041

CVE-2019-11042

CoreAudio

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: przetwarzanie złośliwie spreparowanego pliku może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2019-8705: riusksk z VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro

Crash Reporter

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: ustawienie udostępniania analizy komputera Mac może nie być wyłączone po anulowaniu przez użytkownika wyboru przełącznika udostępniania analizy

Opis: podczas odczytywania i zapisywania preferencji użytkownika występowała sytuacja wyścigu. Ten błąd naprawiono przez poprawienie procedur obsługi stanu.

CVE-2019-8757: William Cerniuk z Core Development, LLC

Sterownik graficzny Intel

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8758: Lilang Wu i Moony Li z Trend Micro

IOGraphics

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2019-8755: Lilang Wu i Moony Li z Trend Micro

Jądro

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8717: Jann Horn z Google Project Zero

Jądro

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2019-8781: Linus Henze (pinauten.de)

Notatki

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: użytkownik lokalny może wyświetlić zablokowane notatki użytkownika.

Opis: zawartość zablokowanych notatek pojawiała się czasem w wynikach wyszukiwania. Ten błąd naprawiono przez ulepszenie mechanizmu czyszczenia danych.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) z Instytutu Politechnicznego i Uniwersytetu Stanowego Wirginii

PDFKit

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: osoba atakująca może być w stanie uzyskać treść zaszyfrowanego pliku PDF

Opis: w procedurze obsługi łączy w zaszyfrowanym pliku PDF występował błąd. Ten błąd naprawiono przez dodanie monitu o potwierdzenie.

CVE-2019-8772: Jens Müller z Uniwersytetu Ruhry w Bochum, Fabian Ising z Wyższej Szkoły Zawodowej FH Münster, Vladislav Mladenov z Uniwersytetu Ruhry w Bochum, Christian Mainka z Uniwersytetu Ruhry w Bochum, Sebastian Schinzel z Wyższej Szkoły Zawodowej FH Münster i Jörg Schwenk z Uniwersytetu Ruhry w Bochum

SharedFileList

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do ostatnio używanych dokumentów

Opis: ten błąd naprawiono za pomocą ulepszonej logiki uprawnień.

CVE-2019-8770: Stanislav Zinukhov z Parallels International GmbH

sips

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) i pjf z IceSword Lab firmy Qihoo 360

UIFoundation

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8745: riusksk z VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie historii odwiedzonych stron

Opis: w procedurze rysowania elementów strony internetowej występował błąd. Ten błąd naprawiono za pomocą ulepszonej logiki.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Dostępne dla: MacBook (początek 2015 r. i nowsze), MacBook Air (połowa 2012 r. i nowsze), MacBook Pro (połowa 2012 r. i nowsze), Mac mini (koniec 2012 r. i nowsze), iMac (koniec 2012 r. i nowsze), iMac Pro (wszystkie modele), Mac Pro (koniec 2013 r. i nowsze)

Zagrożenie: użytkownik może nie być w stanie usunąć elementów historii przeglądania.

Opis: polecenie „Wymaż historię i dane witryn” nie powodowało wyczyszczenia historii. Ten błąd naprawiono przez poprawienie mechanizmu usuwania danych.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Dodatkowe podziękowania

Finder

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit).

Gatekeeper

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit).

Importowanie danych przeglądarki Safari

Dziękujemy za udzieloną pomoc: Kent Zoya.

Protokół SCEP (Simple Certificate Enrollment Protocol)

Dziękujemy anonimowemu badaczowi za pomoc.

Telefonia

Dziękujemy za udzieloną pomoc: Phil Stokes z SentinelOne.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: