Sobre o conteúdo de segurança do macOS Mojave 10.14.4, Atualização de Segurança 2019-002 High Sierra e Atualização de Segurança 2019-002 Sierra
Este documento descreve o conteúdo de segurança do macOS Mojave 10.14.4, a Atualização de Segurança 2019-002 High Sierra e a Atualização de Segurança 2019-002 Sierra.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.
macOS Mojave 10.14.4, Atualização de Segurança 2019-002 High Sierra, Atualização de Segurança 2019-002 Sierra
802.1X
Disponível para: macOS Mojave 10.14.3
Impacto: um invasor em uma posição de rede privilegiada pode interceptar o tráfego de rede
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.
CVE-2019-6203: Dominic White da SensePost (@singe)
802.1X
Disponível para: macOS High Sierra 10.13.6
Impacto: um certificado do servidor radius não confiável podia ser considerado como confiável
Descrição: havia um problema de validação no Trust Anchor Management. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2019-8531: pesquisador anônimo, equipe QA da SecureW2
Contas
Disponível para: macOS Mojave 10.14.3
Impacto: processar um arquivo vcf criado com códigos maliciosos pode resultar em uma negação de serviço
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias na validação.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
APFS
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel
Descrição: havia um problema de lógica que corrompia a memória. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2019-8534: Mac em parceria com a Zero Day Initiative da Trend Micro
AppleGraphicsControl
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel
Descrição: um estouro de buffer foi resolvido por meio de melhorias na validação de tamanho.
CVE-2019-8555: Zhiyi Zhang da 360 ESG Codesafe Team, Zhuo Liang e shrek_wzw da Qihoo 360 Nirvan Team
Bom
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode ignorar as verificações do Gatekeeper
Descrição: esse problema foi resolvido por meio de melhorias no processamento de metadados de arquivos.
CVE-2019-6239: Ian Moorhouse e Michael Trimm
CFString
Disponível para: macOS Mojave 10.14.3
Impacto: processar uma string criada com códigos maliciosos pode resultar em uma negação de serviço
Descrição: um problema de validação foi resolvido por meio de melhorias na lógica.
CVE-2019-8516: SWIPS Team da Frifee Inc.
configd
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Contatos
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2019-8511: pesquisador anônimo
CoreCrypto
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2019-8542: pesquisador anônimo
DiskArbitration
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: um volume criptografado pode ser desinstalado e reinstalado por outro usuário sem solicitar a senha
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.
CVE-2019-8522: Colin Meginnis (@falc420)
FaceTime
Disponível para: macOS Mojave 10.14.3
Impacto: o vídeo de um usuário pode não ser pausado em uma chamada do FaceTime caso ele saia do app FaceTime enquanto a chamada está tocando
Descrição: havia um problema na pausa do vídeo do FaceTime. Esse problema foi resolvido por meio de melhorias na lógica.
CVE-2019-8550: Lauren Guzniczak da Keystone Academy
FaceTime
Disponível para: macOS Mojave 10.14.3
Impacto: um invasor local poderia visualizar contatos pela tela bloqueada
Descrição: um problema na tela bloqueada permitia o acesso aos contatos em um dispositivo bloqueado. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2019-8777: Abdullah H. AlJaber (@aljaber) da AJ.SA
Feedback Assistant (Assistente de comentários)
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode obter privilégios raiz
Descrição: uma condição de corrida foi resolvida por meio de validação adicional.
CVE-2019-8565: CodeColorist do Ant-Financial LightYear Labs
Feedback Assistant (Assistente de comentários)
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode sobrescrever arquivos arbitrariamente
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2019-8521: CodeColorist do Ant-Financial LightYear Labs
file
Disponível para: macOS Mojave 10.14.3
Impacto: processar um arquivo criado com códigos maliciosos pode divulgar informações do usuário
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2019-8906: Francisco Alonso
Drivers de placas gráficas
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo pode conseguir ler a memória restrita
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) e Junzhi Lu da Trend Micro Research em parceria com a Zero Day Initiative da Trend Micro, Lilang Wu e Moony Li da Trend Micro
iAP
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2019-8542: pesquisador anônimo
IOGraphics
Disponível para: macOS Mojave 10.14.3
Impacto: um Mac pode não bloquear ao ser desconectado de uma tela externa
Descrição: um problema no processamento do bloqueio foi resolvido por meio de melhorias no processamento do bloqueio.
CVE-2019-8533: pesquisador anônimo, James Eagan da Télécom ParisTech, R. Scott Kemp do MIT e Romke van Dijk da Z-CERT
IOHIDFamily
Disponível para: macOS Mojave 10.14.3
Impacto: um usuário local pode causar o encerramento inesperado do sistema ou ler a memória do kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2019-8545: Adam Donenfeld (@doadam) da Zimperium zLabs Team
IOKit
Disponível para: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: um usuário local pode ler a memória do kernel
Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2019-8504: pesquisador anônimo
IOKit SCSI
Disponível para: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2019-8529: Juwei Lin (@panicaII) da Trend Micro Research em parceria com a Zero Day Initiative da Trend Micro
Kernel
Disponível para: macOS Sierra 10.12.6 e macOS High Sierra 10.13.6
Impacto: um usuário local pode ler a memória do kernel
Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4448: Brandon Azad
Kernel
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: um invasor remoto pode alterar os dados do tráfego de rede
Descrição: havia um problema de memória corrompida no processamento de pacotes IPv6. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2019-5608: Apple
Kernel
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: um invasor remoto pode causar o encerramento inesperado do sistema ou corromper a memória do kernel
Descrição: um estouro de buffer foi resolvido por meio de melhorias na validação de tamanho.
CVE-2019-8527: Ned Williamson do Google e derrek (@derrekr6)
Kernel
Disponível para: macOS Mojave 10.14.3, macOS High Sierra 10.13.6
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) da Qihoo 360 Vulcan Team
Kernel
Disponível para: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impacto: a instalação de uma rede de sistema de arquivo de rede (NFS) maliciosa pode levar à execução arbitrária de código com privilégios do sistema
Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2019-8508: Dr. Silvio Cesare da InfoSect
Kernel
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estado.
CVE-2019-8514: Samuel Groß do Google Project Zero
Kernel
Disponível para: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel
Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2019-8540: Weibo Wang (@ma1fan) da Qihoo 360 Nirvan Team
Kernel
Disponível para: macOS Mojave 10.14.3
Impacto: um usuário local pode ler a memória do kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2019-7293: Ned Williamson do Google
Kernel
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema de leitura fora dos limites que causava a divulgação da memória do kernel. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2019-6207: Weibo Wang da Qihoo 360 Nirvan Team (@ma1fan)
CVE-2019-8510: Stefan Esser da Antid0te UG
Kernel
Disponível para: macOS Mojave 10.14.3
Impacto: um invasor remoto pode causar o vazamento de memória
Descrição: havia um problema de leitura fora dos limites que causava a divulgação da memória do kernel. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2019-8547: derrek (@derrekr6)
Kernel
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2019-8525: Zhuo Liang e shrek_wzw da Qihoo 360 Nirvan Team
libmalloc
Disponível para: macOS Sierra 10.12.6 e macOS High Sierra 10.13.6
Impacto: um aplicativo malicioso pode modificar áreas protegidas do sistema de arquivos
Descrição: um problema de configuração foi resolvido por meio de restrições adicionais.
CVE-2018-4433: Vitaly Cheptsov
Disponível para: macOS Mojave 10.14.3
Impacto: processar uma mensagem de e-mail criada com códigos maliciosos pode levar à falsificação da assinatura S/MIME
Descrição: havia um problema no processamento de certificados S-MIME. Esse problema foi resolvido por meio de melhorias na validação de certificados S-MIME.
CVE-2019-8642: Maya Sigal e Volker Roth da Freie Universität Berlin
Disponível para: macOS Mojave 10.14.3
Impacto: um invasor em uma posição de rede privilegiada pode interceptar o conteúdo de e-mails com criptografia S/MIME
Descrição: havia um problema no processamento de e-mails criptografados. Esse problema foi resolvido por meio de melhorias no isolamento de MIME no Mail.
CVE-2019-8645: Maya Sigal e Volker Roth da Freie Universität Berlin
Mensagens
Disponível para: macOS Mojave 10.14.3
Impacto: um usuário local pode visualizar informações confidenciais de outro usuário
Descrição: um problema de acesso foi resolvido por meio de restrições adicionais.
CVE-2019-8546: ChiYuan Chang
Modem (CCL)
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema de validação de entrada foi resolvido por meio de melhorias no processamento da memória.
CVE-2019-8579: pesquisador anônimo
Notas
Disponível para: macOS Mojave 10.14.3
Impacto: um usuário local pode visualizar as anotações bloqueadas de outro usuário
Descrição: um problema de acesso foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2019-8537: Greg Walker (gregwalker.us)
PackageKit
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.
CVE-2019-8561: Jaron Bradley da Crowdstrike
Perl
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: vários problemas no Perl
Descrição: vários problemas no Perl foram resolvidos nesta atualização.
CVE-2018-12015: Jakub Wilk
CVE-2018-18311: Jayakrishna Menon
CVE-2018-18313: Eiichi Tsukata
Gerenciamento de energia
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia vários problemas de validação de entrada nos códigos gerados por MIG. Esses problemas foram resolvidos por meio de melhorias na validação.
CVE-2019-8549: Mohamed Ghannam (@_simo36) da SSD Secure Disclosure (ssd-disclosure.com)
QuartzCore
Disponível para: macOS Mojave 10.14.3
Impacto: o processamento de dados maliciosos pode levar ao encerramento inesperado de aplicativos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias na validação de entradas.
CVE-2019-8507: Kai Lu do FortiGuard Labs da Fortinet
Área restrita
Disponível para: macOS Mojave 10.14.3
Impacto: um processo em área restrita pode contornar restrições dessa área
Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.
CVE-2019-8618: Brandon Azad
Segurança
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2019-8526: Linus Henze (pinauten.de)
Segurança
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode ler a memória restrita
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2019-8520: Antonio Groza, National Cyber Security Centre (NCSC) do Reino Unido
Segurança
Disponível para: macOS Mojave 10.14.3
Impacto: um certificado do servidor radius não confiável podia ser considerado como confiável
Descrição: havia um problema de validação no Trust Anchor Management. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2019-8531: um pesquisador anônimo, equipe QA da SecureW2
Segurança
Disponível para: macOS Mojave 10.14.3
Impacto: um certificado do servidor radius não confiável podia ser considerado como confiável
Descrição: havia um problema de validação no Trust Anchor Management. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2019-8531: pesquisador anônimo, equipe QA da SecureW2
Siri
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode iniciar uma solicitação do Ditado sem a autorização do usuário
Descrição: havia um problema de API no processamento das solicitações do ditado. Esse problema foi resolvido por meio de melhorias na validação.
CVE-2019-8502: Luke Deshotels da North Carolina State University, Jordan Beichler da North Carolina State University, William Enck da North Carolina State University, Costin Carabaș da University POLITEHNICA of Bucharest e Răzvan Deaconescu da University POLITEHNICA of Bucharest
Time Machine
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: um usuário local pode conseguir executar comandos do shell arbitrariamente
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2019-8513: CodeColorist do Ant-Financial LightYear Labs
Compatibilidade com a Touch Bar
Disponível para: macOS Mojave 10.14.3
Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2019-8569: Viktor Oreshkin (@stek29)
TrueTypeScaler
Disponível para: macOS Mojave 10.14.3
Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2019-8517: riusksk da VulWar Corp em parceria com a Trend Micro Zero Day Initiative
Wi-Fi
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impacto: um invasor em uma posição de rede privilegiada pode modificar o estado de drivers
Descrição: um problema de lógica foi resolvido por meio de melhorias na validação.
CVE-2019-8564: Hugues Anguelkov durante um estágio no Quarkslab
Wi-Fi
Disponível para: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impacto: um invasor em uma posição de rede privilegiada pode modificar o estado de drivers
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2019-8612: Milan Stute do Secure Mobile Networking Lab na Technische Universität Darmstadt
Wi-Fi
Disponível para: macOS Mojave 10.14.3
Impacto: um dispositivo poderia ser rastreado passivamente pelo endereço MAC do Wi-Fi
Descrição: um problema de privacidade do usuário foi resolvido por meio da remoção do endereço MAC de transmissão.
CVE-2019-8567: David Kreitschmann e Milan Stute do Secure Mobile Networking Lab na Technische Universität Darmstadt
xar
Disponível para: macOS Mojave 10.14.3
Impacto: o processamento de um pacote criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de validação no processamento de links simbólicos. Esse problema foi resolvido por meio de melhorias na validação de links simbólicos.
CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)
XPC
Disponível para: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impacto: um aplicativo malicioso pode sobrescrever arquivos arbitrariamente
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2019-8530: CodeColorist do Ant-Financial LightYear Labs
Outros reconhecimentos
Contas
Gostaríamos de agradecer a Milan Stute, do Secure Mobile Networking Lab da Technische Universität Darmstadt, pela ajuda.
Livros
Gostaríamos de agradecer a Yiğit Can YILMAZ (@yilmazcanyigit) pela ajuda.
Kernel
Gostaríamos de agradecer a Brandon Azad; Brandon Azad do Google Project Zero; Daniel Roethlisberger do Swisscom CSIRT e Raz Mashat (@RazMashat) da Ilan Ramon High School pela ajuda.
Gostaríamos de agradecer a Craig Young, da Tripwire VERT, e a Hanno Böck pela ajuda.
Time Machine
Gostaríamos de agradecer a CodeColorist do Ant-Financial LightYear Labs pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.