Despre conținutul de securitate din macOS Mojave 10.14.4, Actualizarea de securitate 2019-002 High Sierra și Actualizarea de securitate 2019-002 Sierra
Acest document descrie conținutul de securitate din macOS Mojave 10.14.4, Actualizarea de securitate 2019-002 High Sierra și Actualizarea de securitate 2019-002 Sierra.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Mojave 10.14.4, Actualizarea de securitate 2019-002 High Sierra și Actualizarea de securitate 2019-002 Sierra
802.1X
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: un atacator dintr-o poziție privilegiată în rețea ar putea intercepta traficul de rețea
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2019-6203: Dominic White de la SensePost (@singe)
802.1X
Disponibilitate pentru: macOS High Sierra 10.13.6
Impact: un certificat de server radius care nu prezintă încredere poate fi considerat de încredere
Descriere: exista o problemă de validare în Trust Anchor Management. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2019-8531: un cercetător anonim, echipa de QA de la SecureW2
Conturi
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: procesarea unui fișier vcf creat cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
APFS
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: a existat o problemă de logică care cauza alterarea memoriei. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2019-8534: Mac în colaborare cu Zero Day Initiative (Trend Micro)
AppleGraphicsControl
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.
CVE-2019-8555: Zhiyi Zhang (360 ESG Codesafe Team), Zhuo Liang și shrek_wzw (Qihoo 360 Nirvan Team)
Bom
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: o aplicație rău intenționată poate ocoli verificările Gatekeeper
Descriere: această problemă a fost rezolvată prin îmbunătățirea manipulării metadatelor fișierelor.
CVE-2019-6239: Ian Moorhouse și Michael Trimm
CFString
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: procesarea unui șir creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
CVE-2019-8516: SWIPS Team (Frifee Inc.)
configd
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Contacte
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2019-8511: un cercetător anonim
CoreCrypto
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2019-8542: un cercetător anonim
DiskArbitration
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: un volum criptat poate fi demontat și remontat de un utilizator diferit fără solicitarea parolei
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2019-8522: Colin Meginnis (@falc420)
FaceTime
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: un apel video al utilizatorului nu poate fi întrerupt într-un apel FaceTime dacă aplicația FaceTime este închisă în timpul apelării
Descriere: a existat o problemă la întreruperea unui apel video FaceTime. Problema a fost rezolvată prin îmbunătățirea logicii.
CVE-2019-8550: Lauren Guzniczak (Keystone Academy)
FaceTime
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: un atacator local poate vizualiza contactele din ecranul de blocare
Descriere: o problemă la ecranul de blocare a permis accesul la contacte pe un dispozitiv blocat. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2019-8777: Abdullah H. AlJaber (@aljaber) de la AJ.SA
Asistent feedback
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2019-8565: CodeColorist (Ant-Financial LightYear Labs)
Asistent feedback
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: o aplicație rău intenționată ar putea suprascrie fișiere în mod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2019-8521: CodeColorist (Ant-Financial LightYear Labs)
fișier
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: procesarea unui fișier creat cu rea intenție poate divulga informații ale utilizatorului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2019-8906: Francisco Alonso
Drivere video
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII și Junzhi Lu (Trend Micro Research) în colaborare cuTrend Micro's Zero Day Initiative, Lilang Wu și Moony Li of Trend Micro
iAP
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2019-8542: un cercetător anonim
IOGraphics
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: este posibil ca un computer Mac să nu se blocheze atunci când este deconectat de la un monitor extern
Descriere: a fost rezolvată o problemă de tratare a blocării prin îmbunătățirea tratării blocării.
CVE-2019-8533: un cercetător anonim, James Eagan (Télécom ParisTech), R. Scott Kemp (MIT) și Romke van Dijk (Z-CERT)
IOHIDFamily
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2019-8545: Adam Donenfeld (@doadam) (Zimperium zLabs Team)
IOKit
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: un utilizator local poate citi memoria kernel
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8504: un cercetător anonim
IOKit SCSI
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2019-8529: Juwei Lin (@panicaII) (Trend Micro Research) în colaborare cu Zero Day Initiative (Trend Micro)
Kernel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impact: un utilizator local poate citi memoria kernel
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4448: Brandon Azad
Kernel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: un atacator de la distanță poate modifica datele privind traficul în rețea
Descriere: a existat o problemă de alterare a memoriei la tratarea pachetelor IPv6. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-2019-5608: Apple
Kernel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel
Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.
CVE-2019-8527: Ned Williamson (Google) și derrek (@derrekr6)
Kernel
Disponibilitate pentru: , macOS Mojave 10.14.3, macOS High Sierra 10.13.6
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) (Qihoo 360 Vulcan Team)
Kernel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impact: instalarea unei partajări în rețea NFC create cu rea intenție poate duce la executarea unui cod aleatoriu cu privilegii de sistem
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2019-8508: Dr. Silvio Cesare (InfoSect)
Kernel
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2019-8514: Samuel Groß (Google Project Zero)
Kernel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8540: Weibo Wang (@ma1fan) (Qihoo 360 Nirvan Team)
Kernel
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: un utilizator local poate citi memoria kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-7293: Ned Williamson (Google)
Kernel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2019-6207: Weibo Wang (Qihoo 360 Nirvan Team) (@ma1fan)
CVE-2019-8510: Stefan Esser (Antid0te UG)
Kernel
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: un atacator la distanță poate accesa informații din memorie
Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2019-8547: derrek (@derrekr6)
Kernel
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2019-8525: Zhuo Liang și shrek_wzw (Qihoo 360 Nirvan Team)
libmalloc
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impact: este posibil ca o aplicație rea intenționată să poată modifica părțile protejate ale sistemului de fișiere
Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.
CVE-2018-4433: Vitaly Cheptsov
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: procesarea unui mesaj e-mail creat cu rea intenție ar putea conduce la falsificarea semnăturii S/MIME
Descriere: a existat o problemă la tratarea certificatelor S-MIME. Această problemă a fost rezolvată prin îmbunătățirea validării certificatelor S-MIME.
CVE-2019-8642: Maya Sigal (Freie Universität Berlin) și Volker Roth (Freie Universität Berlin)
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: un atacator cu poziție privilegiată în rețea ar putea intercepta conținutul unui e-mail criptat cu metoda S/MIME.
Descriere: a existat o problemă la tratarea mesajelor Mail criptate. Această problemă a fost rezolvată prin îmbunătățirea izolării MIME în Mail.
CVE-2019-8645: Maya Sigal (Freie Universität Berlin) și Volker Roth (Freie Universität Berlin)
Mesaje
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: se poate ca un utilizator local să vizualizeze informații sensibile despre utilizator
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2019-8546: ChiYuan Chang
Modem CCL
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea tratării memoriei.
CVE-2019-8579: un cercetător anonim
Note
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: un utilizator local ar putea vedea notițele blocate ale unui utilizator
Descriere: a fost rezolvată o problemă de acces prin îmbunătățirea gestionării memoriei.
CVE-2019-8537: Greg Walker (gregwalker.us)
PackageKit
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2019-8561: Jaron Bradley (Crowdstrike)
Perl
Disponibilitate pentru : macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: probleme multiple în Perl
Descriere: mai multe probleme în Perl au fost rezolvate în această actualizare.
CVE-2018-12015: Jakub Wilk
CVE-2018-18311: Jayakrishna Menon
CVE-2018-18313: Eiichi Tsukata
Gestionarea consumului de energie
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: existau mai multe probleme legate de validarea intrărilor în codul generat de MIG. Aceste probleme au fost rezolvate printr-o îmbunătățire a validării.
CVE-2019-8549: Mohamed Ghannam (@_simo36) (SSD Secure Disclosure) (ssd-disclosure.com)
QuartzCore
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: procesarea unor date rău intenționate poate cauza terminarea neașteptată a aplicației
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2019-8507: Kai Lu (Fortinet FortiGuard Labs)
Sandbox
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.
CVE-2019-8618: Brandon Azad
Securitate
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2019-8526: Linus Henze (pinauten.de)
Securitate
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: o aplicație rău intenționată poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2019-8520: Antonio Groza (National Cyber Security Centre (NCSC)) (Regatul Unit)
Securitate
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: un certificat de server radius care nu prezintă încredere poate fi considerat de încredere
Descriere: exista o problemă de validare în Trust Anchor Management. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2019-8531: un cercetător anonim, echipa de QA de la SecureW2
Securitate
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: un certificat de server radius care nu prezintă încredere poate fi considerat de încredere
Descriere: exista o problemă de validare în Trust Anchor Management. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2019-8531: un cercetător anonim, echipa de QA de la SecureW2
Siri
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: o aplicație rău intenționată ar putea iniția o solicitare de dictare fără autorizare din partea utilizatorului
Descriere: a existat o problemă API de tratare a solicitărilor de dictare. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2019-8502: Luke Deshotels (North Carolina State University), Jordan Beichler (North Carolina State University), William Enck (North Carolina State University), Costin Carabaș (Universitatea POLITEHNICĂ din București) și Răzvan Deaconescu (Universitatea POLITEHNICĂ din București)
Time Machine
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: un utilizator local ar putea să execute comenzi shell arbitrare
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2019-8513: CodeColorist (Ant-Financial LightYear Labs)
Asistență Touch Bar
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8569: Viktor Oreshkin (@stek29)
TrueTypeScaler
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2019-8517: riusksk (VulWar Corp) în colaborare cu Zero Day Initiative (Trend Micro)
Wi-Fi
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Impact: un atacator dintr-o poziție privilegiată în rețea poate modifica starea driverului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2019-8564: Hugues Anguelkov în timpul unui stagiu de practică la Quarkslab
Wi-Fi
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impact: un atacator dintr-o poziție privilegiată în rețea poate modifica starea driverului
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2019-8612: Milan Stute (Secure Mobile Networking Lab, Technische Universität Darmstadt)
Wi-Fi
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: se poate ca un dispozitiv să fie urmărit în mod pasiv de propria adresă MAC Wi-Fi
Descriere: a fost rezolvată o problemă de confidențialitate a utilizatorului prin eliminarea adresei MAC de difuzare.
CVE-2019-8567: David Kreitschmann și Milan Stute (Secure Mobile Networking Lab) (Technische Universität Darmstadt)
xar
Disponibilitate pentru: macOS Mojave 10.14.3
Impact: procesarea unui pachet creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a existat o problemă de validare la tratarea symlinkurilor. Această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.
CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)
XPC
Disponibilitate pentru: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Impact: o aplicație rău intenționată ar putea suprascrie fișiere în mod arbitrar
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2019-8530: CodeColorist (Ant-Financial LightYear Labs)
Alte mențiuni
Conturi
Dorim să-i mulțumim lui Milan Stute (Secure Mobile Networking Lab), Technische Universität Darmstadt pentru asistența acordată.
Cărți
Dorim să-i mulțumim lui Yiğit Can YILMAZ (@yilmazcanyigit) pentru asistență.
Kernel
Dorim să le mulțumim Brandon Azad, Brandon Azad din partea Google Project Zero, Daniel Roethlisberger din partea Swisscom CSIRT, Raz Mashat (@RazMashat) din partea Ilan Ramon High School pentru asistența acordată.
Dorim să îi mulțumim lui Craig Young (Tripwire VERT) și lui Hanno Böck pentru asistența acordată.
Time Machine
Dorim să îi mulțumim lui CodeColorist (Ant-Financial LightYear Labs) pentru asistența acordată.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.