เกี่ยวกับเนื้อหาความปลอดภัยของของ macOS Catalina 10.15.2, รายการอัพเดทความปลอดภัย 2019-002 Mojave, รายการอัพเดทความปลอดภัย 2019-007 High Sierra

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Catalina 10.15.2, รายการอัพเดทความปลอดภัย 2019-002 Mojave และรายการอัพเดทความปลอดภัย 2019-007 High Sierra

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Catalina 10.15.2, รายการอัพเดทความปลอดภัย 2019-002 Mojave, รายการอัพเดทความปลอดภัย 2019-007 High Sierra

เปิดตัวเมื่อวันที่ 10 ธันวาคม 2019

ATS

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2019-8837: Csaba Fitzl (@theevilbit)

อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019

บลูทูธ

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2019-8853: Jianjun Dai จาก Qihoo 360 Alpha Lab

CallKit

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: สายที่โทรด้วย Siri อาจเริ่มโทรโดยใช้แผนบริการเซลลูลาร์ที่ไม่ถูกต้องเมื่ออุปกรณ์มีแผนที่กำลังเปิดใช้งานอยู่สองแผน

คำอธิบาย: มีปัญหา API ในการจัดการกับสายโทรออกที่เริ่มโทรด้วย Siri ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8856: Fabrice TERRANCLE จาก TERRANCLE SARL

CFNetwork Proxies

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8848: Zhuo Liang จาก Qihoo 360 Vulcan Team

อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019

CFNetwork

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถหลีกเลี่ยง HSTS สำหรับโดเมนระดับบนสุดเฉพาะที่มีจำนวนจำกัดซึ่งก่อนหน้านี้ไม่อยู่ในรายการโหลดล่วงหน้า HSTS ได้

คำอธิบาย: ปัญหาในการกำหนดค่าได้รับการแก้ไขแล้วด้วยข้อจำกัดเพิ่มเติม

CVE-2019-8834: Rob Sayre (@sayrer)

เพิ่มรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020

CUPS

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: ในการกำหนดค่าบางอย่าง ผู้โจมตีระยะไกลอาจสามารถส่งงานพิมพ์โดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8842: Niky1235 จาก China Mobile

อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019

CUPS

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8839: Stephan Zeisberg จาก Security Research Labs

อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019

FaceTime

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: การประมวลผลวิดีโอที่ประสงค์ร้ายผ่าน FaceTime อาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8830: natashenka จาก Google Project Zero

อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019

IOGraphics

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: Mac อาจไม่ล็อคทันทีที่กลับมาทำงานอีกครั้ง

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8851: Vladik Khononov จาก DoiT International

เพิ่มรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยลบรหัสที่มีความเสี่ยง

CVE-2019-8833: Ian Beer จาก Google Project Zero

อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8828: Cim Stordal จาก Cognite

CVE-2019-8838: Dr Silvio Cesare จาก InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) จาก WaCai

libexpat

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: การแยกวิเคราะห์ไฟล์ XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัพเดท Expat ให้เป็นเวอร์ชั่น 2.2.8

CVE-2019-15903: Joonun Jang

อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019

หมายเหตุ

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเขียนทับไฟล์ที่มีอยู่ได้

คำอธิบาย: ปัญหาการแยกวิเคราะห์ที่เกิดขึ้นในการจัดการกับพาธไดเรกทอรีได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบพาธให้ดียิ่งขึ้น

CVE-2020-9782: Allison Husain จาก UC Berkeley

เพิ่มรายการเมื่อวันที่ 4 เมษายน 2020

OpenLDAP

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: มีปัญหาจำนวนมากใน OpenLDAP

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็น OpenLDAP เวอร์ชั่น 2.4.28

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

อัพเดทรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020

ความปลอดภัย

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8832: Insu Yun จาก SSLab ที่ Georgia Tech

tcpdump

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: มีปัญหาจำนวนมากใน tcpdump

คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็น tcpdump เวอร์ชั่น 4.9.3 และ libpcap เวอร์ชั่น 1.9.1

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15166

CVE-2019-15167

อัพเดทรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

Wi-Fi

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจสามารถดูการรับส่งข้อมูลผ่านเครือข่ายได้เล็กน้อย

คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-15126: Milos Cermak ที่ ESET

เพิ่มรายการเมื่อวันที่ 27 กุมภาพันธ์ 2020

คำขอบคุณพิเศษ

บัญชี

เราขอขอบคุณสำหรับความช่วยเหลือจาก Allison Husain จาก UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling จาก Loughborough University

อัพเดทรายการเมื่อวันที่ 4 เมษายน 2020

Core Data

เราขอขอบคุณสำหรับความช่วยเหลือจาก natashenka จาก Google Project Zero

Finder

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit)

เพิ่มรายการเมื่อวันที่ 18 ธันวาคม 2019

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Daniel Roethlisberger จาก Swisscom CSIRT

เพิ่มรายการเมื่อวันที่ 18 ธันวาคม 2019

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: