Sobre o conteúdo de segurança do macOS Catalina 10.15.2, da Atualização de Segurança 2019-002 Mojave e da Atualização de Segurança 2019-007 High Sierra

Este documento descreve o conteúdo de segurança do macOS Catalina 10.15.2, da Atualização de Segurança 2019-002 Mojave e da Atualização de Segurança 2019-007 High Sierra.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple.

macOS Catalina 10.15.2, Atualização de Segurança 2019-002 Mojave e Atualização de Segurança 2019-007 High Sierra

Lançado em 10 de dezembro de 2019

ATS

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impacto: um aplicativo malicioso poderia ter acesso a arquivos restritos

Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Entrada atualizada em 18 de dezembro de 2019

Bluetooth

Disponível para: macOS Catalina 10.15

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2019-8853: Jianjun Dai do Alpha Lab da Qihoo 360

CallKit

Disponível para: macOS Catalina 10.15

Impacto: ligações feitas pela Siri poderiam ser iniciadas usando o plano celular incorreto em dispositivos com dois planos ativos

Descrição: havia um problema de API no processamento de ligações telefônicas iniciadas pela Siri. Esse problema foi resolvido por meio de melhorias no processamento de estado.

CVE-2019-8856: Fabrice TERRANCLE da TERRANCLE SARL

CFNetwork Proxies

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impacto: um aplicativo pode obter privilégios elevados

Descrição: esse problema foi resolvido por meio de melhorias nas verificações.

CVE-2019-8848: Zhuo Liang da Qihoo 360 Vulcan Team

Entrada atualizada em 18 de dezembro de 2019

CUPS

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impacto: em determinadas configurações, um invasor remoto poderia conseguir enviar trabalhos de impressão arbitrários

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2019-8842: Niky1235 da China Mobile

Entrada atualizada em 18 de dezembro de 2019

CUPS

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impacto: um invasor em uma posição privilegiada pode fazer um ataque de negação de serviço

Descrição: um estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2019-8839: Stephan Zeisberg do Security Research Labs

Entrada atualizada em 18 de dezembro de 2019

FaceTime

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impacto: o processamento de vídeo malicioso pelo FaceTime pode levar à execução de código arbitrário

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2019-8830: Natalie Silvanovich do Google Project Zero

Entrada atualizada em 18 de dezembro de 2019

Kernel

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio da remoção do código vulnerável.

CVE-2019-8833: Ian Beer do Google Project Zero

Entrada atualizada em 18 de dezembro de 2019

Kernel

Disponível para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2019-8828: Cim Stordal da Cognite

CVE-2019-8838: Dr. Silvio Cesare da InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) da WaCai

libexpat

Disponível para: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Impacto: o processamento de um arquivo XML criado com códigos maliciosos poderia levar à divulgação de informações do usuário

Descrição: esse problema foi resolvido ao atualizar para a versão 2.2.8 do expat.

CVE-2019-15903: Joonun Jang

Entrada atualizada em 18 de dezembro de 2019

OpenLDAP

Disponível para: macOS Catalina 10.15

Impacto: vários problemas no OpenLDAP

Descrição: diversos problemas foram resolvidos ao atualizar o OpenLDAP para a versão 2.4.28.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Segurança

Disponível para: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2019-8832: Insu Yun do SSLab na Georgia Tech

tcpdump

Disponível para: macOS Catalina 10.15

Impacto: vários problemas no tcpdump

Descrição: diversos problemas foram resolvidos ao atualizar o tcpdump para a versão 4.9.3 e o libpcap para a versão 1.9.1

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

CVE-2019-15166

CVE-2019-15167

Outros reconhecimentos

Contas

Gostaríamos de agradecer a Kishan Bagaria (KishanBagaria.com) e Tom Snelling da Loughborough University pela ajuda.

Core Data

Gostaríamos de agradecer a Natalie Silvanovich do Google Project Zero pela ajuda.

Finder

Gostaríamos de agradecer a Csaba Fitzl (@theevilbit) pela ajuda.

Entrada adicionada em 18 de dezembro de 2019

Kernel

Gostaríamos de agradecer a Daniel Roethlisberger do Swisscom CSIRT pela ajuda.

Entrada adicionada em 18 de dezembro de 2019

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: