Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
macOS Mojave 10.14.3, Actualizarea de securitate 2019-001 High Sierra și Actualizarea de securitate 2019-001 Sierra
Data lansării: 22 ianuarie 2019
AppleKeyStore
Disponibilitate pentru: macOS Mojave 10.14.2
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2019-6235: Brandon Azad
Bluetooth
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: un atacator cu poziție privilegiată în rețea poate executa cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2019-6200: un cercetător anonim
Core Media
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2019-6202: Fluoroacetate în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2019-6221: Fluoroacetate în colaborare cu Zero Day Initiative (Trend Micro)
CoreAnimation
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: o aplicație rău intenționată poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2019-6231: Zhuo Liang (Qihoo 360 Nirvan Team)
CoreAnimation
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: o aplicație rău intenționată poate evada din sandbox
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-6230: Proteas, Shrek_wzw i Zhuo Liang (Qihoo 360 Nirvan Team)
FaceTime
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: un atacator la distanță poate iniția un apel FaceTime, cauzând astfel executare arbitrară de cod
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2019-6224: Natalie Silvanovich (Google Project Zero)
Hypervisor
Disponibilitate pentru : macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea gestionării stării.
CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise și Fred Jacobs (Virtual Machine Monitor Group – VMware, Inc.)
Driver video Intel
Disponibilitate pentru : macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de consumare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4452: Liu Long (Qihoo 360 Vulcan Team)
IOKit
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: o aplicație rău intenționată poate evada din sandbox
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2019-6214: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2019-6225: Brandon Azad (Google Project Zero), Qixun Zhao (Qihoo 360 Vulcan Team)
Kernel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea validării intrării.
CVE-2019-6210: Ned Williamson (Google)
Kernel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: o aplicație rău intenționată poate cauza modificări neașteptate în memoria partajată între procese
Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea verificării stării de blocare.
CVE-2019-6205: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de depășire de memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2019-6213: Ian Beer (Google Project Zero)
Kernel
Disponibilitate pentru: macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2019-6209: Brandon Azad (Google Project Zero)
Kernel
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: o aplicație rău intenționată poate cauza modificări neașteptate în memoria partajată între procese
Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-6208: Jann Horn (Google Project Zero)
libxpc
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea validării intrării.
CVE-2019-6218: Ian Beer (Google Project Zero)
Procesare de limbaj natural
Disponibilitate pentru: macOS Mojave 10.14.2
Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării.
CVE-2019-6219: Authier Thomas
QuartzCore
Disponibilitate pentru: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2019-6220: Yufeng Ruan (Chaitin Security Research Lab)
SQLite
Disponibilitate pentru: macOS Mojave 10.14.2
Impact: o interogare SQL creată cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.
CVE-2018-20346: Tencent Blade Team
CVE-2018-20505: Tencent Blade Team
CVE-2018-20506: Tencent Blade Team
WebRTC
Disponibilitate pentru: macOS Mojave 10.14.2
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea gestionării stării.
CVE-2019-6211: Georgi Geshev (@munmap), Fabi Beterke (@pwnfl4k3s) și Rob Miller (@trotmaster99) (MWR Labs (@mwrlabs)) în colaborare cu Zero Day Initiative (Trend Micro)
Alte mențiuni
apache_mod_php
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Kernel
Dorim să-i mulțumim lui Daniel Roethlisberger (Swisscom CSIRT) pentru asistența acordată.
LibreSSL
Dorim să-i mulțumim lui Viktor Szakats pentru asistența acordată.
mDNSResponder
Dorim să le mulțumim următorilor pentru asistența acordată: Fatemah Alharbi (University of California), Riverside (UCR) și Taibah University (TU), Jie Chang (LinkSure Network), Yuchen Zhou (Northeastern University), Feng Qian (University of Minnesota) – Twin City, Zhiyun Qian (University of California), Riverside (UCR) și Nael Abu-Ghazaleh (University of California), Riverside (UCR).