Сведения о проблемах системы безопасности, устраняемых обновлением macOS Mojave 10.14.3, обновлением системы безопасности 2019-001 для High Sierra и 2019-001 для Sierra

В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Mojave 10.14.3, обновлением системы безопасности 2019-001 для High Sierra и 2019-001 для Sierra.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple.

macOS Mojave 10.14.3, обновление системы безопасности 2019-001 для High Sierra и 2019-001 для Sierra

Выпущено 22 января 2019 г.

AppleKeyStore

Целевые продукты: macOS Mojave 10.14.2

Воздействие. Некий процесс в изолированной среде может обойти ограничения изолированной среды.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2019-6235: Брэндон Азад (Brandon Azad)

Bluetooth

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить произвольный код

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2019-6200: анонимный исследователь

Core Media

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Вредоносная программа может повышать уровень привилегий.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2019-6202: пользователь Fluoroacetate, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2019-6221: пользователь Fluoroacetate, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CoreAnimation

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Вредоносная программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2019-6231: Чжуо Лиан (Zhuo Liang) из группы Nirvan в Qihoo 360

CoreAnimation

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Вредоносная программа может выходить за границы песочницы.

Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.

CVE-2019-6230: пользователи Proteas и Shrek_wzw, а также Чжуо Лиан (Zhuo Liang) из группы Nirvan в Qihoo 360

FaceTime

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Удаленный злоумышленник может инициировать вызов FaceTime, что приводит к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2019-6224: Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero

Гипервизор

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Вредоносная программа может повышать уровень привилегий.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенного управления состояниями.

CVE-2018-4467: Мартим Карбоун (Martim Carbone), Давид Верне (David Vernet), Сэм Скалайс (Sam Scalise) и Фред Якобс (Fred Jacobs) из группы мониторинга виртуальных машин корпорации VMware, Inc.

Драйвер видеокарты Intel

Целевые продукты: macOS Sierra 10.12.6 и macOS High Sierra 10.13.6

Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

Описание. Проблема с использованием памяти устранена путем улучшенной обработки памяти.

CVE-2018-4452: Лю Лун (Liu Long) из группы Vulcan в Qihoo 360

IOKit

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Вредоносная программа может выходить за границы песочницы.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2019-6214: Йен Бир (Ian Beer) из подразделения Google Project Zero

Ядро

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Вредоносная программа может повышать уровень привилегий.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2019-6225: Брэндон Азад (Brandon Azad) из подразделения Google Project Zero, Цисюнь Чжао (Qixun Zhao) из группы Vulcan в Qihoo 360

Ядро

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2019-6210: Нед Уильямсон (Ned Williamson) из корпорации Google

Ядро

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Вредоносная программа может вызывать непредвиденные изменения в общей памяти, задействованной в нескольких процессах.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки состояния блокировки.

CVE-2019-6205: Йен Бир (Ian Beer) из подразделения Google Project Zero

Ядро

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема переполнения буфера устранена путем улучшенной проверки границ.

CVE-2019-6213: Йен Бир (Ian Beer) из подразделения Google Project Zero

Ядро

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Вредоносная программа может выявлять схему распределения памяти в ядре.

Описание. Возникала проблема чтения за пределами выделенной области памяти, приводившая к утечке памяти ядра. Проблема устранена путем улучшенной проверки ввода.

CVE-2019-6209: Брэндон Азад (Brandon Azad) из подразделения Google Project Zero

Ядро

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Вредоносная программа может вызывать непредвиденные изменения в общей памяти, задействованной в нескольких процессах.

Описание. Проблема с инициализацией памяти устранена путем улучшенной обработки памяти.

CVE-2019-6208: Янн Хорн (Jann Horn) из подразделения Google Project Zero

libxpc

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2019-6218: Йен Бир (Ian Beer) из подразделения Google Project Zero

Обработка естественного языка

Целевые продукты: macOS Mojave 10.14.2

Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки.

CVE-2019-6219: Отьер Томас (Authier Thomas)

QuartzCore

Целевые продукты: macOS Sierra 10.12.6, macOS High Sierra 10.13.6 и macOS Mojave 10.14.2

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2019-6220: Юйфэн Жуань (Yufeng Ruan) из Chaitin Security Research Lab

SQLite

Целевые продукты: macOS Mojave 10.14.2

Воздействие. Вредоносный SQL-запрос может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной проверки ввода.

CVE-2018-20346: команда Tencent Blade

CVE-2018-20505: команда Tencent Blade

CVE-2018-20506: команда Tencent Blade

WebRTC

Целевые продукты: macOS Mojave 10.14.2

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенного управления состояниями.

CVE-2019-6211: Георгий Гешев (Georgi Geshev, @munmap), Фаби Бетерке (Fabi Beterke, @pwnfl4k3s) и Роб Миллер (Rob Miller, @trotmaster99) из MWR Labs (@mwrlabs), сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative

Дополнительные благодарности

apache_mod_php

Выражаем благодарность за помощь анонимному исследователю.

Ядро

Выражаем благодарность за помощь Даниэлю Ретлисбергеру (Daniel Roethlisberger) из Swisscom CSIRT.

LibreSSL

Выражаем благодарность за помощь Виктору Шакацу (Viktor Szakats).

mDNSResponder

Выражаем благодарность за помощь Фатиме Альхарби (Fatemah Alharbi) из Калифорнийского университета в Риверсайде (UCR) и Университета Тайба (TU), Цзе Чану (Jie Chang) из LinkSure Network, Юйченю Чжоу (Yuchen Zhou) из Северо-Восточного университета, Фэну Цяню (Feng Qian) из Университета Миннесоты (Миннеаполис и Сент-Пол), Чжиюну Цяню (Zhiyun Qian) и Наэлу Абу-Газалеху (Nael Abu-Ghazaleh) из Калифорнийского университета в Риверсайде (UCR).

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: