Despre conținutul de securitate din macOS Mojave 10.14.4, Actualizarea de securitate 2019-002 High Sierra și Actualizarea de securitate 2019-002 Sierra

Acest document descrie conținutul de securitate din macOS Mojave 10.14.4, Actualizarea de securitate 2019-002 High Sierra și Actualizarea de securitate 2019-002 Sierra.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

macOS Mojave 10.14.4, Actualizarea de securitate 2019-002 High Sierra și Actualizarea de securitate 2019-002 Sierra

802.1X

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: un atacator dintr-o poziție privilegiată în rețea ar putea intercepta traficul de rețea

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2019-6203: Dominic White de la SensePost (@singe)

802.1X

Disponibilitate pentru: macOS High Sierra 10.13.6

Impact: un certificat de server radius care nu prezintă încredere poate fi considerat de încredere

Descriere: exista o problemă de validare în Trust Anchor Management. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2019-8531: un cercetător anonim, echipa de QA de la SecureW2

Conturi

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: procesarea unui fișier vcf creat cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării.

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

APFS

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel

Descriere: a existat o problemă de logică care cauza alterarea memoriei. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2019-8534: Mac în colaborare cu Zero Day Initiative (Trend Micro)

AppleGraphicsControl

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2019-8555: Zhiyi Zhang (360 ESG Codesafe Team), Zhuo Liang și shrek_wzw (Qihoo 360 Nirvan Team)

Bom

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: o aplicație rău intenționată poate ocoli verificările Gatekeeper

Descriere: această problemă a fost rezolvată prin îmbunătățirea manipulării metadatelor fișierelor.

CVE-2019-6239: Ian Moorhouse și Michael Trimm

CFString

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: procesarea unui șir creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2019-8516: SWIPS Team (Frifee Inc.)

configd

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

Contacte

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2019-8511: un cercetător anonim

CoreCrypto

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2019-8542: un cercetător anonim

DiskArbitration

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: un volum criptat poate fi demontat și remontat de un utilizator diferit fără solicitarea parolei

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2019-8522: Colin Meginnis (@falc420)

FaceTime

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: un apel video al utilizatorului nu poate fi întrerupt într-un apel FaceTime dacă aplicația FaceTime este închisă în timpul apelării

Descriere: a existat o problemă la întreruperea unui apel video FaceTime. Problema a fost rezolvată prin îmbunătățirea logicii.

CVE-2019-8550: Lauren Guzniczak (Keystone Academy)

FaceTime

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: un atacator local poate vizualiza contactele din ecranul de blocare

Descriere: o problemă la ecranul de blocare a permis accesul la contacte pe un dispozitiv blocat. Această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2019-8777: Abdullah H. AlJaber (@aljaber) de la AJ.SA

Asistent feedback

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: o aplicație rău intenționată poate să obțină privilegii de rădăcină

Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.

CVE-2019-8565: CodeColorist (Ant-Financial LightYear Labs)

Asistent feedback

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: o aplicație rău intenționată ar putea suprascrie fișiere în mod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2019-8521: CodeColorist (Ant-Financial LightYear Labs)

fișier

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: procesarea unui fișier creat cu rea intenție poate divulga informații ale utilizatorului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2019-8906: Francisco Alonso

Drivere video

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII și Junzhi Lu (Trend Micro Research) în colaborare cuTrend Micro's Zero Day Initiative, Lilang Wu și Moony Li of Trend Micro

iAP

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2019-8542: un cercetător anonim

IOGraphics

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: este posibil ca un computer Mac să nu se blocheze atunci când este deconectat de la un monitor extern

Descriere: a fost rezolvată o problemă de tratare a blocării prin îmbunătățirea tratării blocării.

CVE-2019-8533: un cercetător anonim, James Eagan (Télécom ParisTech), R. Scott Kemp (MIT) și Romke van Dijk (Z-CERT)

IOHIDFamily

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2019-8545: Adam Donenfeld (@doadam) (Zimperium zLabs Team)

IOKit

Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: un utilizator local poate citi memoria kernel

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-8504: un cercetător anonim

IOKit SCSI

Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2019-8529: Juwei Lin (@panicaII) (Trend Micro Research) în colaborare cu Zero Day Initiative (Trend Micro)

Kernel

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impact: un utilizator local poate citi memoria kernel

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2018-4448: Brandon Azad

Kernel

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: un atacator de la distanță poate modifica datele privind traficul în rețea

Descriere: a existat o problemă de alterare a memoriei la tratarea pachetelor IPv6. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

CVE-2019-5608: Apple

Kernel

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2019-8527: Ned Williamson (Google) și derrek (@derrekr6)

Kernel

Disponibilitate pentru: , macOS Mojave 10.14.3, macOS High Sierra 10.13.6

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) (Qihoo 360 Vulcan Team)

Kernel

Disponibilitate pentru: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Impact: instalarea unei partajări în rețea NFC create cu rea intenție poate duce la executarea unui cod aleatoriu cu privilegii de sistem

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2019-8508: Dr. Silvio Cesare (InfoSect)

Kernel

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2019-8514: Samuel Groß (Google Project Zero)

Kernel

Disponibilitate pentru: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-8540: Weibo Wang (@ma1fan) (Qihoo 360 Nirvan Team)

Kernel

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: un utilizator local poate citi memoria kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-7293: Ned Williamson (Google)

Kernel

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel

Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2019-6207: Weibo Wang (Qihoo 360 Nirvan Team) (@ma1fan)

CVE-2019-8510: Stefan Esser (Antid0te UG)

Kernel

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: un atacator la distanță poate accesa informații din memorie

Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2019-8547: derrek (@derrekr6)

Kernel

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2019-8525: Zhuo Liang și shrek_wzw (Qihoo 360 Nirvan Team)

libmalloc

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impact: este posibil ca o aplicație rea intenționată să poată modifica părțile protejate ale sistemului de fișiere

Descriere: o problemă de configurare a fost rezolvată prin restricții suplimentare.

CVE-2018-4433: Vitaly Cheptsov

Mail

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: procesarea unui mesaj e-mail creat cu rea intenție ar putea conduce la falsificarea semnăturii S/MIME

Descriere: a existat o problemă la tratarea certificatelor S-MIME. Această problemă a fost rezolvată prin îmbunătățirea validării certificatelor S-MIME.

CVE-2019-8642: Maya Sigal (Freie Universität Berlin) și Volker Roth (Freie Universität Berlin)

Mail

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: un atacator cu poziție privilegiată în rețea ar putea intercepta conținutul unui e-mail criptat cu metoda S/MIME.

Descriere: a existat o problemă la tratarea mesajelor Mail criptate. Această problemă a fost rezolvată prin îmbunătățirea izolării MIME în Mail.

CVE-2019-8645: Maya Sigal (Freie Universität Berlin) și Volker Roth (Freie Universität Berlin)

Mesaje

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: se poate ca un utilizator local să vizualizeze informații sensibile despre utilizator

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2019-8546: ChiYuan Chang

Modem CCL

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea tratării memoriei.

CVE-2019-8579: un cercetător anonim

Note

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: un utilizator local ar putea vedea notițele blocate ale unui utilizator

Descriere: a fost rezolvată o problemă de acces prin îmbunătățirea gestionării memoriei.

CVE-2019-8537: Greg Walker (gregwalker.us)

PackageKit

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2019-8561: Jaron Bradley (Crowdstrike)

Perl

Disponibilitate pentru : macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: probleme multiple în Perl

Descriere: mai multe probleme în Perl au fost rezolvate în această actualizare.

CVE-2018-12015: Jakub Wilk

CVE-2018-18311: Jayakrishna Menon

CVE-2018-18313: Eiichi Tsukata

Gestionarea consumului de energie

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem

Descriere: existau mai multe probleme legate de validarea intrărilor în codul generat de MIG. Aceste probleme au fost rezolvate printr-o îmbunătățire a validării.

CVE-2019-8549: Mohamed Ghannam (@_simo36) (SSD Secure Disclosure) (ssd-disclosure.com)

QuartzCore

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: procesarea unor date rău intenționate poate cauza terminarea neașteptată a aplicației

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2019-8507: Kai Lu (Fortinet FortiGuard Labs)

Sandbox

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2019-8618: Brandon Azad

Securitate

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2019-8526: Linus Henze (pinauten.de)

Securitate

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: o aplicație rău intenționată poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2019-8520: Antonio Groza (National Cyber Security Centre (NCSC)) (Regatul Unit)

Securitate

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: un certificat de server radius care nu prezintă încredere poate fi considerat de încredere

Descriere: exista o problemă de validare în Trust Anchor Management. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2019-8531: un cercetător anonim, echipa de QA de la SecureW2

Securitate

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: un certificat de server radius care nu prezintă încredere poate fi considerat de încredere

Descriere: exista o problemă de validare în Trust Anchor Management. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2019-8531: un cercetător anonim, echipa de QA de la SecureW2

Siri

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: o aplicație rău intenționată ar putea iniția o solicitare de dictare fără autorizare din partea utilizatorului

Descriere: a existat o problemă API de tratare a solicitărilor de dictare. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2019-8502: Luke Deshotels (North Carolina State University), Jordan Beichler (North Carolina State University), William Enck (North Carolina State University), Costin Carabaș (Universitatea POLITEHNICĂ din București) și Răzvan Deaconescu (Universitatea POLITEHNICĂ din București)

Time Machine

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: un utilizator local ar putea să execute comenzi shell arbitrare

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2019-8513: CodeColorist (Ant-Financial LightYear Labs)

Asistență Touch Bar

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-8569: Viktor Oreshkin (@stek29)

TrueTypeScaler

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2019-8517: riusksk (VulWar Corp) în colaborare cu Zero Day Initiative (Trend Micro)

Wi-Fi

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Impact: un atacator dintr-o poziție privilegiată în rețea poate modifica starea driverului

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2019-8564: Hugues Anguelkov în timpul unui stagiu de practică la Quarkslab

Wi-Fi

Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Impact: un atacator dintr-o poziție privilegiată în rețea poate modifica starea driverului

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2019-8612: Milan Stute (Secure Mobile Networking Lab, Technische Universität Darmstadt)

Wi-Fi

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: se poate ca un dispozitiv să fie urmărit în mod pasiv de propria adresă MAC Wi-Fi

Descriere: a fost rezolvată o problemă de confidențialitate a utilizatorului prin eliminarea adresei MAC de difuzare.

CVE-2019-8567: David Kreitschmann și Milan Stute (Secure Mobile Networking Lab) (Technische Universität Darmstadt)

xar

Disponibilitate pentru: macOS Mojave 10.14.3

Impact: procesarea unui pachet creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a existat o problemă de validare la tratarea symlinkurilor. Această problemă a fost rezolvată prin îmbunătățirea validării linkurilor simbolice.

CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)

XPC

Disponibilitate pentru: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Impact: o aplicație rău intenționată ar putea suprascrie fișiere în mod arbitrar

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2019-8530: CodeColorist (Ant-Financial LightYear Labs)

Alte mențiuni

Conturi

Dorim să-i mulțumim lui Milan Stute (Secure Mobile Networking Lab), Technische Universität Darmstadt pentru asistența acordată.

Cărți

Dorim să-i mulțumim lui Yiğit Can YILMAZ (@yilmazcanyigit) pentru asistență.

Kernel

Dorim să le mulțumim Brandon Azad, Brandon Azad din partea Google Project Zero, Daniel Roethlisberger din partea Swisscom CSIRT, Raz Mashat (@RazMashat) din partea Ilan Ramon High School pentru asistența acordată.

Mail

Dorim să îi mulțumim lui Craig Young (Tripwire VERT) și lui Hanno Böck pentru asistența acordată.

Time Machine

Dorim să îi mulțumim lui CodeColorist (Ant-Financial LightYear Labs) pentru asistența acordată.