Сведения о проблемах системы безопасности, устраняемых обновлением macOS Catalina 10.15

В этом документе описываются проблемы системы безопасности, устраняемые обновлением macOS Catalina 10.15.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple.

macOS Catalina 10.15

Дата выпуска: 7 октября 2019 г.

AMD

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8748: Лиланг Ву (Lilang Wu) и Муни Ли (Moony Li) из отдела безопасности мобильных устройств компании Trend Micro

apache_mod_php

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Обнаружен ряд проблем в PHP.

Описание. Проблемы устранены путем обновления до версии PHP 7.3.8.

CVE-2019-11041

CVE-2019-11042

CoreAudio

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Обработка вредоносного фильма может привести к раскрытию памяти процесса.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2019-8705: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Crash Reporter

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Функция «Доступ к данным Анализа Mac» не отключается, когда пользователь снимает соответствующий флажок.

Описание. При чтении и записи пользовательских настроек возникало условие состязания. Проблема устранена путем усовершенствования управления состояниями.

CVE-2019-8757: Уильям Чернюк (William Cerniuk) из Core Development

Драйвер видеокарты Intel

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8758: Лиланг Ву (Lilang Wu) и Муни Ли (Moony Li) из Trend Micro

IOGraphics

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Вредоносная программа может определять схему распределения памяти в ядре.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2019-8755: Лиланг Ву (Lilang Wu) и Муни Ли (Moony Li) из Trend Micro

Ядро

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8717: Янн Хорн (Jann Horn) из подразделения Google Project Zero

Ядро

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенного управления состояниями.

CVE-2019-8781: Линус Хенце (Linus Henze, pinauten.de)

Заметки

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Локальный пользователь может просматривать заблокированные заметки пользователя.

Описание. Содержимое заблокированных заметок иногда отображается в результатах поиска. Проблема устранена путем улучшенной очистки данных.

CVE-2019-8730: Джейми Бламберг (Jamie Blumberg, @jamie_blumberg) из Политехнического университета Виргинии

PDFKit

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Злоумышленник может получить доступ к содержимому зашифрованных PDF-файлов.

Описание. При обработке ссылок в зашифрованных PDF-файлов возникала проблема. Проблема устранена путем добавления запроса на подтверждение.

CVE-2019-8772: Йенс Мюллер (Jens Müller), Владислав Младенов (Vladislav Mladenov), Кристиан Маинка (Christian Mainka) и Йорг Швенк (Jörg Schwenk ) из Рурского университета в Бохуме, Фабиан Изинг (Fabian Ising) и Себастиан Шинцель (Sebastian Schinzel) из Мюнстерского университета прикладных наук

SharedFileList

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Вредоносная программа может получить доступ к недавно использованным документам.

Описание. Проблема устранена путем улучшения логики разрешений.

CVE-2019-8770: Станислав Зинуков (Stanislav Zinukhov) из Parallels International

sips

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8701: Саймон Хуанг (Simon Huang, @HuangShaomang), Ронг Фан (Rong Fan, @fanrong1992) и пользователь pjf из IceSword Lab в Qihoo 360

UIFoundation

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Обработка вредоносного текстового файла может привести к выполнению произвольного кода.

Описание. Проблема переполнения буфера решена посредством улучшения проверки границ.

CVE-2019-8745: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Посещение вредоносного веб-сайта может привести к раскрытию истории просмотров.

Описание. При отрисовке элементов веб-страницы возникала проблема. Проблема устранена путем улучшения логики.

CVE-2019-8769: Пьер Реимерц (Piérre Reimertz, @reimertz)

WebKit

Целевые продукты: MacBook (начало 2015 г. и более поздние модели), MacBook Air (середина 2012 г. и более поздние модели), MacBook Pro (середина 2012 г. и более поздние модели), Mac mini (конец 2012 г. и более поздние модели), iMac (конец 2012 г. и более поздние модели), iMac Pro (все модели), Mac Pro (конец 2013 г. и более поздние модели)

Воздействие. Пользователь не всегда может удалить историю просмотров.

Описание. Команда «Очистить историю и данные сайтов» не очищала историю. Проблема устранена путем улучшенной очистки данных.

CVE-2019-8768: Хьюго С. Диас (Hugo S. Diaz, coldpointblue)

Дополнительные благодарности

Finder

Выражаем благодарность за помощь Чабе Фицлю (Csaba Fitzl, @theevilbit).

Gatekeeper

Выражаем благодарность за помощь Чабе Фицлю (Csaba Fitzl, @theevilbit).

Импорт данных в Safari

Выражаем благодарность за помощь Кенту Зойя (Kent Zoya).

Протокол простой регистрации сертификатов (SCEP)

Выражаем благодарность за помощь анонимному исследователю.

Телефония

Выражаем благодарность за помощь Филу Стоуксу (Phil Stokes) из SentinelOne.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: