Zawartość związana z zabezpieczeniami w systemie macOS Catalina 10.15.2, uaktualnieniu zabezpieczeń 2019-002 Mojave oraz uaktualnieniu zabezpieczeń 2019-007 High Sierra.

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Catalina 10.15.2, uaktualnieniu zabezpieczeń 2019-002 Mojave oraz uaktualnieniu zabezpieczeń 2019-007 High Sierra.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

System macOS Catalina 10.15.2, uaktualnienie zabezpieczeń 2019-002 Mojave oraz uaktualnienie zabezpieczeń 2019-007 High Sierra

Wydano 10 grudnia 2019 r.

ATS

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Wpis uaktualniono 18 grudnia 2019 r.

Bluetooth

Dostępne dla: systemu macOS Catalina 10.15

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2019-8853: Jianjun Dai z Qihoo 360 Alpha Lab

CallKit

Dostępne dla: systemu macOS Catalina 10.15

Zagrożenie: połączenia wykonywane za pomocą Siri mogą być inicjowane z użyciem niewłaściwego planu sieci komórkowej na urządzeniach z dwoma aktywnymi planami.

Opis: w mechanizmie obsługi wychodzących połączeń telefonicznych inicjowanych za pomocą Siri występował błąd interfejsu API. Ten błąd naprawiono przez poprawienie procedur obsługi stanu.

CVE-2019-8856: Fabrice TERRANCLE z TERRANCLE SARL

Serwery proxy środowiska CFNetwork

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2019-8848: Zhuo Liang z Qihoo 360 Vulcan Team

Wpis uaktualniono 18 grudnia 2019 r.

CUPS

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: w określonych konfiguracjach osoba atakująca zdalnie może być w stanie przesłać dowolne zadania drukowania.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8842: Niky1235 z China Mobile

Wpis uaktualniono 18 grudnia 2019 r.

CUPS

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8839: Stephan Zeisberg z Security Research Labs

Wpis uaktualniono 18 grudnia 2019 r.

FaceTime

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości wideo przy użyciu usługi FaceTime może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8830: Natalie Silvanovich z Google Project Zero

Wpis uaktualniono 18 grudnia 2019 r.

Jądro

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2019-8833: Ian Beer z Google Project Zero

Wpis uaktualniono 18 grudnia 2019 r.

Jądro

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8828: Cim Stordal z Cognite

CVE-2019-8838: Dr Silvio Cesare z InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) z WaCai

libexpat

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: przeprowadzenie analizowania złośliwie spreparowanego pliku XML może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: ten problem rozwiązano przez uaktualnienie do wersji expat 2.2.8.

CVE-2019-15903: Joonun Jang

Wpis uaktualniono 18 grudnia 2019 r.

OpenLDAP

Dostępne dla: systemu macOS Catalina 10.15

Zagrożenie: liczne błędy w OpenLDAP.

Opis: naprawiono liczne błędy przez uaktualnienie OpenLDAP do wersji 2.4.28.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Zabezpieczenia

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8832: Insu Yun z SSLab w Georgia Tech

tcpdump

Dostępne dla: systemu macOS Catalina 10.15

Zagrożenie: liczne błędy w bibliotece tcpdump

Opis: naprawiono liczne błędy przez uaktualnienie biblioteki tcpdump do wersji 4.9.3 i biblioteki libpcap do wersji 1.9.1.

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

CVE-2019-15166

CVE-2019-15167

Dodatkowe podziękowania

Konta

Dziękujemy za udzieloną pomoc: Kishan Bagaria (KishanBagaria.com) i Tom Snelling z Loughborough University.

Podstawowe dane

Dziękujemy Natalie Silvanovich z Google Project Zero za udzieloną pomoc.

Finder

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit).

Wpis dodano 18 grudnia 2019 r.

Jądro

Dziękujemy za udzieloną pomoc: Daniel Roethlisberger ze Swisscom CSIRT.

Wpis dodano 18 grudnia 2019 r.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: