เกี่ยวกับเนื้อหาความปลอดภัยของของ macOS Catalina 10.15.2, รายการอัพเดทความปลอดภัย 2019-002 Mojave, รายการอัพเดทความปลอดภัย 2019-007 High Sierra
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Catalina 10.15.2, รายการอัพเดทความปลอดภัย 2019-002 Mojave และรายการอัพเดทความปลอดภัย 2019-007 High Sierra
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Catalina 10.15.2, รายการอัพเดทความปลอดภัย 2019-002 Mojave, รายการอัพเดทความปลอดภัย 2019-007 High Sierra
ATS
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2019-8837: Csaba Fitzl (@theevilbit)
บลูทูธ
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2019-8853: Jianjun Dai จาก Qihoo 360 Alpha Lab
CallKit
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: สายที่โทรด้วย Siri อาจเริ่มโทรโดยใช้แผนบริการเซลลูลาร์ที่ไม่ถูกต้องเมื่ออุปกรณ์มีแผนที่กำลังเปิดใช้งานอยู่สองแผน
คำอธิบาย: มีปัญหา API ในการจัดการกับสายโทรออกที่เริ่มโทรด้วย Siri ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8856: Fabrice TERRANCLE จาก TERRANCLE SARL
CFNetwork Proxies
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8848: Zhuo Liang จาก Qihoo 360 Vulcan Team
CFNetwork
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถหลีกเลี่ยง HSTS สำหรับโดเมนระดับบนสุดเฉพาะที่มีจำนวนจำกัดซึ่งก่อนหน้านี้ไม่อยู่ในรายการโหลดล่วงหน้า HSTS ได้
คำอธิบาย: ปัญหาในการกำหนดค่าได้รับการแก้ไขแล้วด้วยข้อจำกัดเพิ่มเติม
CVE-2019-8834: Rob Sayre (@sayrer)
CUPS
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: ในการกำหนดค่าบางอย่าง ผู้โจมตีระยะไกลอาจสามารถส่งงานพิมพ์โดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2019-8842: Niky1235 จาก China Mobile
CUPS
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2019-8839: Stephan Zeisberg จาก Security Research Labs
FaceTime
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: การประมวลผลวิดีโอที่ประสงค์ร้ายผ่าน FaceTime อาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8830: natashenka จาก Google Project Zero
IOGraphics
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: Mac อาจไม่ล็อคทันทีที่กลับมาทำงานอีกครั้ง
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8851: Vladik Khononov จาก DoiT International
เคอร์เนล
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยลบรหัสที่มีความเสี่ยง
CVE-2019-8833: Ian Beer จาก Google Project Zero
เคอร์เนล
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8828: Cim Stordal จาก Cognite
CVE-2019-8838: Dr Silvio Cesare จาก InfoSect
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) จาก WaCai
libexpat
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: การแยกวิเคราะห์ไฟล์ XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัพเดท Expat ให้เป็นเวอร์ชั่น 2.2.8
CVE-2019-15903: Joonun Jang
หมายเหตุ
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเขียนทับไฟล์ที่มีอยู่ได้
คำอธิบาย: ปัญหาการแยกวิเคราะห์ที่เกิดขึ้นในการจัดการกับพาธไดเรกทอรีได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบพาธให้ดียิ่งขึ้น
CVE-2020-9782: Allison Husain จาก UC Berkeley
OpenLDAP
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: มีปัญหาจำนวนมากใน OpenLDAP
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็น OpenLDAP เวอร์ชั่น 2.4.28
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
ความปลอดภัย
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8832: Insu Yun จาก SSLab ที่ Georgia Tech
tcpdump
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: มีปัญหาจำนวนมากใน tcpdump
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็น tcpdump เวอร์ชั่น 4.9.3 และ libpcap เวอร์ชั่น 1.9.1
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
Wi-Fi
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจสามารถดูการรับส่งข้อมูลผ่านเครือข่ายได้เล็กน้อย
คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-15126: Milos Cermak ที่ ESET
คำขอบคุณพิเศษ
บัญชี
เราขอขอบคุณสำหรับความช่วยเหลือจาก Allison Husain จาก UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling จาก Loughborough University
Core Data
เราขอขอบคุณสำหรับความช่วยเหลือจาก natashenka จาก Google Project Zero
Finder
เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit)
เคอร์เนล
เราขอขอบคุณสำหรับความช่วยเหลือจาก Daniel Roethlisberger จาก Swisscom CSIRT
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม