Sobre o conteúdo de segurança do macOS Catalina 10.15.2, Atualização de Segurança 2019-002 Mojave e Atualização de Segurança 2019-007 High Sierra

Este documento descreve o conteúdo de segurança do macOS Catalina 10.15.2, a Atualização de Segurança 2019-002 Mojave e a Atualização de Segurança 2019-007 High Sierra.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.

macOS Catalina 10.15.2, Atualização de Segurança 2019-002 Mojave e Atualização de Segurança 2019-007 High Sierra

Lançado em 10 de dezembro de 2019

ATS

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15

Impacto: um aplicativo malicioso pode ter acesso a arquivos restritos

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Entrada atualizada em 18 de dezembro de 2019

Bluetooth

Disponível para: macOS Catalina 10.15

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2019-8853: Jianjun Dai do Alpha Lab da Qihoo 360

CallKit

Disponível para: macOS Catalina 10.15

Impacto: ligações feitas pela Siri poderiam ser iniciadas usando o plano celular incorreto em dispositivos com dois planos ativos

Descrição: havia um problema de API no processamento de ligações telefônicas iniciadas pela Siri. Esse problema foi resolvido por meio de melhorias no processamento de estado.

CVE-2019-8856: Fabrice TERRANCLE da TERRANCLE SARL

CFNetwork Proxies

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15

Impacto: um aplicativo pode obter privilégios elevados

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2019-8848: Zhuo Liang da Qihoo 360 Vulcan Team

Entrada atualizada em 18 de dezembro de 2019

CFNetwork

Disponível para: macOS Catalina 10.15

Impacto: um invasor em uma posição privilegiada na rede poderia ignorar o HSTS de um número limitado de domínios específicos de nível superior que não estavam na lista de pré-carregamento de HSTS

Descrição: um problema de configuração foi resolvido por meio de restrições adicionais.

CVE-2019-8834: Rob Sayre (@sayrer)

Entrada adicionada em 3 de fevereiro de 2020

CUPS

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15

Impacto: em determinadas configurações, um invasor remoto poderia enviar trabalhos de impressão arbitrários

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2019-8842: Niky1235 da China Mobile

Entrada atualizada em 18 de dezembro de 2019

CUPS

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15

Impacto: um invasor em uma posição privilegiada pode fazer um ataque de negação de serviço

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2019-8839: Stephan Zeisberg do Security Research Labs

Entrada atualizada em 18 de dezembro de 2019

FaceTime

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15

Impacto: o processamento de vídeo malicioso pelo FaceTime pode levar à execução de código arbitrário

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2019-8830: natashenka do Google Project Zero

Entrada atualizada em 18 de dezembro de 2019

IOGraphics

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15

Impacto: um Mac poderia não ser imediatamente bloqueado após despertar

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.

CVE-2019-8851: Vladik Khononov da DoiT International

Entrada adicionada em 3 de fevereiro de 2020

Kernel

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio da remoção do código vulnerável.

CVE-2019-8833: Ian Beer do Google Project Zero

Entrada atualizada em 18 de dezembro de 2019

Kernel

Disponível para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2019-8828: Cim Stordal da Cognite

CVE-2019-8838: Dr. Silvio Cesare da InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) da WaCai

libexpat

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15

Impacto: o processamento de um arquivo XML criado com códigos maliciosos poderia levar à divulgação de informações do usuário

Descrição: o problema foi resolvido por meio da atualização do expat para a versão 2.2.8.

CVE-2019-15903: Joonun Jang

Entrada atualizada em 18 de dezembro de 2019

Notas

Disponível para: macOS Catalina 10.15

Impacto: um invasor remoto pode conseguir gravar por cima de arquivos existentes

Descrição: um problema de análise no processamento de caminhos do diretório foi resolvido por meio de melhorias na validação de caminhos.

CVE-2020-9782: Allison Husain, da UC Berkeley

Entrada adicionada em 4 de abril de 2020

OpenLDAP

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15

Impacto: vários problemas no OpenLDAP

Descrição: diversos problemas foram resolvidos por meio da atualização do OpenLDAP para a versão 2.4.28.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Entrada atualizada em 3 de fevereiro de 2020

Segurança

Disponível para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2019-8832: Insu Yun do SSLab na Georgia Tech

tcpdump

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6 e macOS Catalina 10.15

Impacto: vários problemas no tcpdump

Descrição: diversos problemas foram resolvidos por meio da atualização do tcpdump para a versão 4.9.3 e do libpcap para a versão 1.9.1

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15166

CVE-2019-15167

Entrada atualizada em 11 de fevereiro de 2020

Wi-Fi

Disponível para: macOS Mojave 10.14.6 e macOS High Sierra 10.13.6

Impacto: um invasor dentro da área de alcance do Wi-Fi poderia visualizar uma pequena quantidade do tráfego da rede

Descrição: havia um problema de lógica no processamento de transações de estado. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2019-15126: Milos Cermak da ESET

Entrada adicionada em 27 de fevereiro de 2020

Outros reconhecimentos

Contas

Gostaríamos de agradecer a Allison Husain, da UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling, da Universidade de Loughborough, pela ajuda.

Entrada atualizada em 4 de abril de 2020

Core Data

Gostaríamos de agradecer a natashenka do Google Project Zero pela ajuda.

Finder

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) pela ajuda.

Entrada adicionada em 18 de dezembro de 2019

Kernel

Gostaríamos de agradecer a Daniel Roethlisberger da Swisscom CSIRT pela ajuda.

Entrada adicionada em 18 de dezembro de 2019

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: