Сведения о проблемах системы безопасности, устраняемых обновлением macOS Catalina 10.15.2, а также обновлениями системы безопасности 2019-002 для Mojave и 2019-007 для High Sierra

В этом документе описаны проблемы системы безопасности, устраняемые обновлением macOS Catalina 10.15.2, а также обновлениями системы безопасности 2019-002 для Mojave и 2019-007 для High Sierra.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple.

macOS Catalina 10.15.2, обновления системы безопасности 2019-002 для Mojave и 2019-007 для High Sierra

Дата выпуска: 10 декабря 2019 г.

Инфраструктура ATS

Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Воздействие. Вредоносная программа может получить доступ к файлам для ограниченного использования.

Описание. Проблема с логикой устранена путем улучшения ограничений.

CVE-2019-8837: Чаба Фицль (Csaba Fitzl, @theevilbit)

Запись обновлена 18 декабря 2019 г.

Bluetooth

Целевые продукты: macOS Catalina 10.15

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2019-8853: Цзяньцзюнь Дай (Jianjun Dai) из подразделения Alpha Lab компании Qihoo 360

CallKit

Целевые продукты: macOS Catalina 10.15

Воздействие. На устройствах с двумя активными тарифными планами сотовой связи для звонков с помощью Siri может использоваться неправильный тарифный план.

Описание. Наблюдалась проблема с интерфейсом API при обработке исходящих телефонных звонков, совершаемых с помощью Siri. Проблема устранена путем усовершенствования управления состояниями.

CVE-2019-8856: Фабрис Терранкль (Fabrice TERRANCLE) из компании TERRANCLE SARL

Прокси-серверы CFNetwork

Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Воздействие. Программа может получить повышенные привилегии.

Описание. Проблема устранена путем улучшенных проверок.

CVE-2019-8848: Чжуо Лиан (Zhuo Liang) из группы Vulcan в Qihoo 360

Запись обновлена 18 декабря 2019 г.

CUPS

Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Воздействие. В определенных конфигурациях злоумышленник может удаленно добавлять произвольные задания печати.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2019-8842: пользователь Niky1235 из компании China Mobile

Запись обновлена 18 декабря 2019 г.

CUPS

Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Воздействие. Злоумышленник с преимущественным положением в сети может вызвать отказ в обслуживании.

Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.

CVE-2019-8839: Штефан Цайсберг (Stephan Zeisberg) из компании Security Research Labs

Запись обновлена 18 декабря 2019 г.

FaceTime

Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Воздействие. Обработка вредоносного видео в программе FaceTime может привести к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2019-8830: Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero.

Запись обновлена 18 декабря 2019 г.

Ядро

Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем удаления уязвимого кода.

CVE-2019-8833: Иэн Бир (Ian Beer) из подразделения Google Project Zero

Запись обновлена 18 декабря 2019 г.

Ядро

Целевые продукты: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 и macOS Catalina 10.15

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8828: Сим Стордаль (Cim Stordal) из компании Cognite

CVE-2019-8838: д-р Сильвио Цезаре (Dr. Silvio Cesare) из компании InfoSect

CVE-2019-8847: специалисты Apple

CVE-2019-8852: пользователь pattern-f (@pattern_F_) из компании WaCai

libexpat

Целевые продукты: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Воздействие. Анализ вредоносного файла XML может привести к разглашению информации пользователя.

Описание. Проблема устранена путем обновления expat до версии 2.2.8.

CVE-2019-15903: Чжонун Чжанг (Joonun Jang)

Запись обновлена 18 декабря 2019 г.

OpenLDAP

Целевые продукты: macOS Catalina 10.15

Воздействие. Обнаружен ряд проблем в реализации OpenLDAP.

Описание. Ряд проблем устранен путем обновления OpenLDAP до версии 2.4.28.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Безопасность

Целевые продукты: macOS High Sierra 10.13.6, macOS Mojave 10.14.6 и macOS Catalina 10.15

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8832: Инсу Юн (Insu Yun) из подразделения SSLab Технологического института Джорджии

tcpdump

Целевые продукты: macOS Catalina 10.15

Воздействие. Обнаружен ряд проблем в tcpdump.

Описание. Ряд проблем устранен путем обновления tcpdump до версии 4.9.3 и libpcap до версии 1.9.1.

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

CVE-2019-15166

CVE-2019-15167

Дополнительные благодарности

Учетные записи

Выражаем благодарность за помощь Кишану Багариа (Kishan Bagaria, KishanBagaria.com) и Тому Снеллингу (Tom Snelling) из Университета Лафборо.

Core Data

Выражаем благодарность за помощь Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero.

Finder

Выражаем благодарность за помощь Чабе Фицлю (Csaba Fitzl, @theevilbit).

Запись добавлена 18 декабря 2019 г.

Ядро

Выражаем благодарность за помощь Даниэлю Рётлизбергеру (Daniel Roethlisberger) из Swisscom CSIRT.

Запись добавлена 18 декабря 2019 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: