Sobre o conteúdo de segurança do macOS Catalina 10.15.2, Atualização de Segurança 2019-002 Mojave e Atualização de Segurança 2019-007 High Sierra
Este documento descreve o conteúdo de segurança do macOS Catalina 10.15.2, a Atualização de Segurança 2019-002 Mojave e a Atualização de Segurança 2019-007 High Sierra.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.
macOS Catalina 10.15.2, Atualização de Segurança 2019-002 Mojave e Atualização de Segurança 2019-007 High Sierra
ATS
Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15
Impacto: um aplicativo malicioso pode ter acesso a arquivos restritos
Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.
CVE-2019-8837: Csaba Fitzl (@theevilbit)
Bluetooth
Disponível para: macOS Catalina 10.15
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.
CVE-2019-8853: Jianjun Dai do Alpha Lab da Qihoo 360
CallKit
Disponível para: macOS Catalina 10.15
Impacto: ligações feitas pela Siri poderiam ser iniciadas usando o plano celular incorreto em dispositivos com dois planos ativos
Descrição: havia um problema de API no processamento de ligações telefônicas iniciadas pela Siri. Esse problema foi resolvido por meio de melhorias no processamento de estado.
CVE-2019-8856: Fabrice TERRANCLE da TERRANCLE SARL
CFNetwork Proxies
Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15
Impacto: um aplicativo pode obter privilégios elevados
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2019-8848: Zhuo Liang da Qihoo 360 Vulcan Team
CFNetwork
Disponível para: macOS Catalina 10.15
Impacto: um invasor em uma posição privilegiada na rede poderia ignorar o HSTS de um número limitado de domínios específicos de nível superior que não estavam na lista de pré-carregamento de HSTS
Descrição: um problema de configuração foi resolvido por meio de restrições adicionais.
CVE-2019-8834: Rob Sayre (@sayrer)
CUPS
Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15
Impacto: em determinadas configurações, um invasor remoto poderia enviar trabalhos de impressão arbitrários
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2019-8842: Niky1235 da China Mobile
CUPS
Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15
Impacto: um invasor em uma posição privilegiada pode fazer um ataque de negação de serviço
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2019-8839: Stephan Zeisberg do Security Research Labs
FaceTime
Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15
Impacto: o processamento de vídeo malicioso pelo FaceTime pode levar à execução de código arbitrário
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2019-8830: natashenka do Google Project Zero
IOGraphics
Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15
Impacto: um Mac poderia não ser imediatamente bloqueado após despertar
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.
CVE-2019-8851: Vladik Khononov da DoiT International
Kernel
Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio da remoção do código vulnerável.
CVE-2019-8833: Ian Beer do Google Project Zero
Kernel
Disponível para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2019-8828: Cim Stordal da Cognite
CVE-2019-8838: Dr. Silvio Cesare da InfoSect
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) da WaCai
libexpat
Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15
Impacto: o processamento de um arquivo XML criado com códigos maliciosos poderia levar à divulgação de informações do usuário
Descrição: o problema foi resolvido por meio da atualização do expat para a versão 2.2.8.
CVE-2019-15903: Joonun Jang
Notas
Disponível para: macOS Catalina 10.15
Impacto: um invasor remoto pode conseguir gravar por cima de arquivos existentes
Descrição: um problema de análise no processamento de caminhos do diretório foi resolvido por meio de melhorias na validação de caminhos.
CVE-2020-9782: Allison Husain, da UC Berkeley
OpenLDAP
Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15
Impacto: vários problemas no OpenLDAP
Descrição: diversos problemas foram resolvidos por meio da atualização do OpenLDAP para a versão 2.4.28.
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
Segurança
Disponível para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2019-8832: Insu Yun do SSLab na Georgia Tech
tcpdump
Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15
Impacto: vários problemas no tcpdump
Descrição: diversos problemas foram resolvidos por meio da atualização do tcpdump para a versão 4.9.3 e do libpcap para a versão 1.9.1
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
Wi-Fi
Disponível para: macOS Mojave 10.14.6 e macOS High Sierra 10.13.6
Impacto: um invasor dentro da área de alcance do Wi-Fi poderia visualizar uma pequena quantidade do tráfego da rede
Descrição: havia um problema de lógica no processamento de transações de estado. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2019-15126: Milos Cermak da ESET
Outros reconhecimentos
Contas
Gostaríamos de agradecer a Allison Husain, da UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling, da Universidade de Loughborough, pela ajuda.
Core Data
Gostaríamos de agradecer a natashenka do Google Project Zero pela ajuda.
Finder
Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) pela ajuda.
Kernel
Gostaríamos de agradecer a Daniel Roethlisberger da Swisscom CSIRT pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.