Despre conținutul de securitate din macOS Catalina 10.15

Acest document descrie conținutul de securitate din macOS Catalina 10.15.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

macOS Catalina 10.15

Publicare: luni, 7 octombrie 2019

AMD

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-8748: Lilang Wu și Moony Li de la TrendMicro Mobile Security Research Team

apache_mod_php

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: probleme multiple în PHP

Descriere: mai multe probleme au fost tratate prin actualizarea PHP la versiunea 7.3.8.

CVE-2019-11041

CVE-2019-11042

CoreAudio

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: procesarea unui film creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.

CVE-2019-8705: riusksk de la VulWar Corp, în colaborare cu inițiativa Zero Day de la Trend Micro

Crash Reporter

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: este posibil să nu se dezactiveze configurarea „Partajare analiză Mac” atunci când un utilizator debifează comutatorul de partajare a analizei

Descriere: a existat o condiție la citirea și scrierea preferințelor utilizatorului. Această problemă a fost tratată prin îmbunătățirea tratării stării.

CVE-2019-8757: William Cerniuk de la Core Development, LLC

Driver video Intel

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-8758: Lilang Wu și Moony Li de la Trend Micro

IOGraphics

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2019-8755: Lilang Wu și Moony Li de la Trend Micro

Kernel

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-8717: Jann Horn (Google Project Zero)

Kernel

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2019-8781: Linus Henze (pinauten.de)

Note

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: un utilizator local ar putea vedea notițele blocate ale unui utilizator

Descriere: conținutul notelor blocate apărea uneori în rezultatele căutării. Această problemă a fost rezolvată prin îmbunătățirea curățării datelor.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) de la Institutul Politehnic și Universitatea de Stat Virginia

PDFKit

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: un atacator ar putea exfiltra conținutul unui PDF criptat

Descriere: a existat o problemă la tratarea linkurilor din fișierele PDF criptate. Această problemă a fost rezolvată prin adăugarea unei solicitări de confirmare.

CVE-2019-8772: Jens Müller de la Universitatea Ruhr din Bochum, Fabian Ising de la Universitatea de științe aplicate FH din Münster, Vladislav Mladenov de la Universitatea Ruhr din Bochum, Christian Mainka de la Universitatea Ruhr din Bochum, Sebastian Schinzel Universitatea de științe aplicate FH din Münster și Jörg Schwenk Universitatea Ruhr din Bochum

SharedFileList

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: este posibil ca o aplicație rău-intenționată să poată accesa documentele recente

Descriere: problema a fost remediată prin îmbunătățirea logicii pentru permisiuni.

CVE-2019-8770: Stanislav Zinukhov de la Parallels International GmbH

sips

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) și pjf de la IceSword Lab de la Qihoo 360

UIFoundation

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: procesarea unui fișier text creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2019-8745: riusksk de la VulWar Corp, în colaborare cu inițiativa Zero Day de la Trend Micro

WebKit

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: accesarea unui site web creat cu rea intenție poate dezvălui istoricul de navigare

Descriere: a existat o problemă în preluarea elementelor paginii web. Problema a fost tratată prin îmbunătățirea logicii.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Disponibilitate pentru: MacBook (începutul anului 2015 și modele mai noi), MacBook Air (jumătatea anului 2012 și modele mai noi), MacBook Pro (jumătatea anului 2012 și modele mai noi), Mac mini (sfârșitul anului 2012 și modele mai noi), iMac (sfârșitul anului 2012 și modele mai noi), iMac Pro (toate modelele), Mac Pro (sfârșitul anului 2013 și modele mai noi)

Impact: este posibil ca un utilizator să nu poată șterge elemente din istoricul de navigare

Descriere: „Clear History and Website Data” („Ștergere istoric și date despre site-uri web”) nu a golit istoricul. Problema a fost rezolvată prin îmbunătățirea ștergerii datelor.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Alte mențiuni

Finder

Dorim să-i mulțumim pentru asistență lui Csaba Fitzl (@theevilbit).

Gatekeeper

Dorim să-i mulțumim pentru asistență lui Csaba Fitzl (@theevilbit).

Importarea datelor Safari

Dorim să îi mulțumim lui Kent Zoya pentru asistență.

Protocol simplu de înregistrare a certificatului (SCEP)

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Telefonie

Dorim să îi mulțumim lui Phil Stokes de la SentinelOne pentru asistență.

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: