Проблемы системы безопасности, устраняемые обновлением macOS Catalina 10.15.1, а также обновлениями системы безопасности 2019-001 и 2019-006

В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Catalina 10.15.1, а также обновлениями системы безопасности 2019-001 и 2019-006.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple.

macOS Catalina 10.15.1, обновления системы безопасности 2019-001 и 2019-006

Дата выпуска: 29 октября 2019 г.

Учетные записи

Целевые продукты: macOS Catalina 10.15

Воздействие. Злоумышленник может удаленно инициировать утечку памяти.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2019-8787: Штеффен Клее (Steffen Klee) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете

Магазин App Store

Целевые продукты: macOS Catalina 10.15

Воздействие. Локальный злоумышленник может войти в учетную запись предыдущего пользователя без действительных учетных данных.

Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.

CVE-2019-8803: Киён Ан (Kiyeon An), Ча Мин Кю (차민규, Cha Min Kyu)

AppleGraphicsControl

Целевые продукты: macOS Catalina 10.15

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2019-8817: Араш Тохиди (Arash Tohidi)

AppleGraphicsControl

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8716: Чжии Чжан (Zhiyi Zhang) из подразделения Codesafe компании Legendsec группы Qi'anxin, Чжуо Лян (Zhuo Liang) из группы Vulcan в Qihoo 360

Связанные домены

Целевые продукты: macOS Catalina 10.15

Воздействие. Ненадлежащая обработка URL-адреса может приводить к утечке данных.

Описание. Возникала проблема при разборе URL сообщений. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2019-8788: Юха Линдштедт (Juha Lindstedt) из Pakastin, Мирко Танания (Mirko Tanania) и Раули Рикама (Rauli Rikama) из Zero Keyboard Ltd

Звук

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенного управления состояниями.

CVE-2019-8706: Ю Чжоу (Yu Zhou) из отдела безопасности Ant-financial Light-Year

Звук

Целевые продукты: macOS High Sierra 10.13.6 и macOS Catalina 10.15

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8785: Иэн Бир (Ian Beer) из подразделения Google Project Zero

CVE-2019-8797: пользователь 08Tc3wBB, сотрудничающий с компанией SSD Secure Disclosure

Книги

Целевые продукты: macOS Catalina 10.15

Воздействие. Анализ вредоносного файла iBooks может привести к разглашению информации пользователя.

Описание. При обработке символьных ссылок возникала проблема проверки. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2019-8789: Гертьян Франкен (Gertjan Franken) из группы imec-DistriNet при Лёвенском университете

Контакты

Целевые продукты: macOS Catalina 10.15

Воздействие. Обработка вредоносного контакта может привести к подмене пользовательского интерфейса.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2017-7152: Оливер Покстадт (Oliver Paukstadt) из Thinking Objects GmbH (to.com)

CUPS

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Злоумышленник с преимущественным положением в сети может вызвать утечку конфиденциальной информации пользователя.

Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.

CVE-2019-8736: Павел Гоцула (Pawel Gocyla) из ING Tech Poland (ingtechpoland.com)

CUPS

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Обработка вредоносной строки может приводить к повреждению динамической памяти.

Описание. Проблема с использованием памяти устранена путем улучшенной обработки памяти.

CVE-2019-8767: Штефен Цайзберг (Stephen Zeisberg)

CUPS

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Злоумышленник с преимущественным положением в сети может вызвать отказ в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки.

CVE-2019-8737: Павел Гоцула (Pawel Gocyla) из ING Tech Poland (ingtechpoland.com)

Карантин файлов

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Вредоносная программа может повышать уровень привилегий.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2019-8509: пользователь CodeColorist из отдела безопасности Ant-financial Light-Year

События файловой системы

Целевые продукты: macOS High Sierra 10.13.6 и macOS Catalina 10.15

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8798: специалисты ABC Research s.r.o., сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative

Графика

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Обработка вредоносного шейдера может приводить к неожиданному завершению работы программы или произвольному выполнению кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной проверки ввода.

CVE-2018-12152: Петр Банья (Piotr Bania) из Cisco Talos

CVE-2018-12153: Петр Банья (Piotr Bania) из Cisco Talos

CVE-2018-12154: Петр Банья (Piotr Bania) из Cisco Talos

Графический драйвер

Целевые продукты: macOS Catalina 10.15

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8784: Василий Васильев (Vasiliy Vasilyev) и Илья Финогеев (Ilya Finogeev) из ООО «Вебинар»

Драйвер видеокарты Intel

Целевые продукты: macOS Catalina 10.15

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8807: Ю Ван (Yu Wang) из Didi Research America

IOGraphics

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2019-8759: пользователь another из группы Nirvan в Qihoo 360

iTunes

Целевые продукты: macOS Catalina 10.15

Воздействие. Если запустить программу установки iTunes в ненадежном каталоге, возможно выполнение произвольного кода.

Описание. При установке iTunes возникала проблема с загрузкой динамических библиотек. Проблема устранена путем улучшенного поиска путей.

CVE-2019-8801: Хоу Дзинь Йи (Hou JingYi, @hjy79425575) из отдела CERT в Qihoo 360

Ядро

Целевые продукты: macOS Catalina 10.15

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2019-8794: пользователь 08Tc3wBB, сотрудничающий с компанией SSD Secure Disclosure

Ядро

Целевые продукты: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 и macOS Catalina 10.15

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8786: анонимный исследователь

Ядро

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Вредоносная программа может выявлять схему распределения памяти в ядре.

Описание. При обработке пакетов IPv6 возникала проблема повреждения памяти. Проблема устранена путем улучшенного управления памятью.

CVE-2019-8744: Чжуо Лиан (Zhuo Liang) из группы Nirvan в Qihoo 360

libxml2

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Обнаружен ряд проблем в пакете libxml2.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной проверки ввода.

CVE-2019-8749: обнаружено с помощью инструмента OSS-Fuzz.

CVE-2019-8756: обнаружено с помощью инструмента OSS-Fuzz.

Библиотека libxslt

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Обнаружен ряд проблем в библиотеке libxslt.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной проверки ввода.

CVE-2019-8750: обнаружено с помощью инструмента OSS-Fuzz.

manpages

Целевые продукты: macOS High Sierra 10.13.6 и macOS Catalina 10.15

Воздействие. Вредоносная программа может повышать уровень привилегий до корневого пользователя.

Описание. Проблема с проверкой устранена путем улучшения логики.

CVE-2019-8802: Чаба Фицль (Csaba Fitzl, @theevilbit)

PluginKit

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Локальный пользователь может проверять существование произвольных файлов.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2019-8708: анонимный исследователь

PluginKit

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8715: анонимный исследователь

Системные расширения

Целевые продукты: macOS Catalina 10.15

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. При подтверждении прав возникала проблема проверки. Проблема устранена посредством улучшенной проверки процесса подтверждения прав.

CVE-2019-8805: Скотт Найт (Scott Knight, @sdotknight) из VMware Carbon Black TAU

UIFoundation

Целевые продукты: macOS High Sierra 10.13.6 и macOS Mojave 10.14.6

Воздействие. Анализ вредоносного текстового файла может привести к разглашению информации пользователя.

Описание. Проблема устранена путем улучшенных проверок.

CVE-2019-8761: Рени Трисберг (Renee Trisberg) из SpectX

Дополнительные благодарности

CFNetwork

Выражаем благодарность за помощь Лили Чен (Lily Chen) из компании Google.

Ядро

Выражаем благодарность за помощь Брэндону Азаду (Brandon Azad) и Янну Хорну (Jann Horn) из подразделения Google Project Zero.

Библиотека libresolv

Выражаем благодарность за помощь пользователю enh из компании Google.

Postfix

Выражаем благодарность за помощь Крису Баркеру (Chris Barker) из Puppet.

Профили

Выражаем благодарность за помощь Чабе Фицлю (Csaba Fitzl, @theevilbit).

Python

Выражаем благодарность за помощь анонимному исследователю.

VPN

Выражаем благодарность за помощь Ройсу Горону (Royce Gawron) из Second Son Consulting, Inc.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: