เกี่ยวกับคอนเทนต์ความปลอดภัยของ macOS Catalina 10.15.1, รายการอัพเดทความปลอดภัย 2019-001 และรายการอัพเดทความปลอดภัย 2019-006

เอกสารนี้จะอธิบายเกี่ยวกับคอนเทนต์ความปลอดภัยของ macOS Catalina 10.15.1, รายการอัพเดทความปลอดภัย 2019-001 และรายการอัพเดทความปลอดภัย 2019-006

เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Catalina 10.15.1, รายการอัพเดทความปลอดภัย 2019-001, รายการอัพเดทความปลอดภัย 2019-006

Accounts

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8787: Steffen Klee จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

Accounts

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การถ่ายโอน AirDrop อาจได้รับการยอมรับโดยไม่คาดคิดในขณะที่อยู่ในโหมดทุกคน

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8796: Allison Husain จาก UC Berkeley

AirDrop

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: การถ่ายโอน AirDrop อาจได้รับการยอมรับโดยไม่คาดคิดในขณะที่อยู่ในโหมดทุกคน

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8796: Allison Husain จาก UC Berkeley

AMD

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8748: Lilang Wu และ Moony Li จาก TrendMicro Mobile Security Research Team

apache_mod_php

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: มีปัญหาหลายประการใน PHP

คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัพเดทเป็น PHP เวอร์ชั่น 7.3.8

CVE-2019-11041

CVE-2019-11042

APFS

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8824: Mac ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

App Store

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: ผู้โจมตีในระบบอาจสามารถเข้าสู่ระบบบัญชีของผู้ใช้ที่เคยเข้าสู่ระบบไว้ก่อนหน้าโดยไม่มีข้อมูลประจำตัวที่ถูกต้องได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8716: Zhiyi Zhang จาก Codesafe Team ของ Legendsec ที่ Qi'anxin Group, Zhuo Liang จาก Qihoo 360 Vulcan Team

Associated Domains

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: การประมวลผล URL ที่ไม่เหมาะสมอาจทำให้เกิดการรั่วไหลของข้อมูลได้

คำอธิบาย: มีปัญหาเกิดขึ้นในการแยกวิเคราะห์ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8788: Juha Lindstedt จาก Pakastin, Mirko Tanania, Rauli Rikama จาก Zero Keyboard Ltd

Audio

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8706: Yu Zhou จาก Ant-financial Light-Year Security Lab

Audio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8785: Ian Beer จาก Google Project Zero

CVE-2019-8797: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure

Audio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8850: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Books

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: การแยกวิเคราะห์ไฟล์ iBooks ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น

CVE-2019-8789: Gertjan Franken จาก imec-DistriNet, KU Leuven

Contacts

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: การประมวลข้อมูลติดต่อที่ประสงค์ร้ายอาจนำไปสู่การปลอมแปลง UI ได้

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7152: Oliver Paukstadt จาก Thinking Objects GmbH (to.com)

CoreAudio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การเล่นไฟล์เสียงที่ประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8592: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CoreAudio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การประมวลผลภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8705: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CoreMedia

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8825: พบโดย GWP-ASan ใน Google Chrome

CUPS

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8736: Pawel Gocyla จาก ING Tech Poland (ingtechpoland.com)

CUPS

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: การประมวลผลสตริงที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8767: Stephen Zeisberg

CUPS

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8737: Pawel Gocyla จาก ING Tech Poland (ingtechpoland.com)

File Quarantine

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2019-8509: CodeColorist จาก Ant-Financial LightYear Labs

File System Events

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8798: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Foundation

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8746: natashenka และ Samuel Groß จาก Google Project Zero

Graphics

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: การประมวลผล Shader ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้แอพพลิเคชั่นยุติการทำงานโดยไม่คาดคิดหรือเกิดการใช้รหัสโดยอำเภอใจได้

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-12152: Piotr Bania จาก Cisco Talos

CVE-2018-12153: Piotr Bania จาก Cisco Talos

CVE-2018-12154: Piotr Bania จาก Cisco Talos

Graphics Driver

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8784: Vasiliy Vasilyev และ Ilya Finogeev จาก Webinar, LLC

Intel Graphics Driver

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8807: Yu Wang จาก Didi Research America

IOGraphics

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8759: another จาก 360 Nirvan Team

iTunes

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: การเรียกใช้ตัวติดตั้ง iTunes ในไดเรกทอรีที่ไม่น่าเชื่อถืออาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาเกี่ยวกับการโหลดคลังแบบไดนามิกในการตั้งค่า iTunes ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการค้นหาเส้นทางให้ดียิ่งขึ้น

CVE-2019-8801: Hou JingYi (@hjy79425575) จาก Qihoo 360 CERT

Kernel

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Kernel

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2019-8794: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure

Kernel

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8717: Jann Horn จาก Google Project Zero

CVE-2019-8786: Wen Xu จาก Georgia Tech, Microsoft Offensive Security Research Intern

Kernel

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการแพ็คเก็ต IPv6 ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8744: Zhuo Liang จาก Qihoo 360 Vulcan Team

Kernel

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2019-8829: Jann Horn จาก Google Project Zero

libxml2

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: มีปัญหาหลายประการใน libxml2

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8749: พบโดย OSS-Fuzz

CVE-2019-8756: พบโดย OSS-Fuzz

libxslt

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: มีปัญหาหลายประการใน libxslt

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8750: พบโดย OSS-Fuzz

manpages

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: ผู้โจมตีอาจสามารถถอนคอนเทนต์ของ PDF ที่เข้ารหัสได้

คำอธิบาย: มีปัญหาในการจัดการลิงก์ใน PDF ที่เข้ารหัส ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มการแจ้งการยืนยัน

CVE-2019-8772: Jens Müller จาก Ruhr University Bochum, Fabian Ising จาก FH Münster University of Applied Sciences, Vladislav Mladenov จาก Ruhr University Bochum, Christian Mainka จาก Ruhr University Bochum, Sebastian Schinzel จาก FH Münster University of Applied Sciences และ Jörg Schwenk จาก Ruhr University Bochum

PluginKit

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถตรวจสอบหาการมีอยู่ของไฟล์ได้โดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2019-8708: นักวิจัยนิรนาม

PluginKit

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8715: นักวิจัยนิรนาม

Screen Sharing Server

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: ผู้ใช้ที่แชร์หน้าจออาจไม่สามารถสิ้นสุดการแชร์หน้าจอได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8858: Saul van der Bijl จาก Saul’s Place Counseling B.V.

System Extensions

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: มีปัญหาเกี่ยวกับการตรวจสอบในการตรวจสอบยืนยันสิทธิ์ ปัญหาได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบกระบวนการให้ดียิ่งขึ้น

CVE-2019-8805: Scott Knight (@sdotknight) จาก VMware Carbon Black TAU

UIFoundation

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: เอกสาร HTML ที่ประสงค์ร้ายอาจแสดง iframe ที่มีข้อมูลผู้ใช้ที่ละเอียดอ่อนได้

คำอธิบาย: มีปัญหาข้ามต้นทางในองค์ประกอบ "iframe" ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการติดตามต้นทางในการรักษาความปลอดภัยให้ดียิ่งขึ้น

CVE-2019-8754: Renee Trisberg จาก SpectX

UIFoundation

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8745: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

UIFoundation

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8831: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

UIFoundation

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การแยกวิเคราะห์ไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8761: Renee Trisberg จาก SpectX

Wi-Fi

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจสามารถดูการรับส่งข้อมูลผ่านเครือข่ายได้เล็กน้อย

คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-15126: Milos Cermak ที่ ESET

คำขอบคุณพิเศษ

CFNetwork

เราขอขอบคุณสำหรับความช่วยเหลือจาก Lily Chen จาก Google

Find My

เราขอขอบคุณสำหรับความช่วยเหลือจาก Amr Elseehy

Kernel

เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad จาก Google Project Zero, Daniel Roethlisberger จาก Swisscom CSIRT, Jann Horn จาก Google Project Zero

libresolv

เราขอขอบคุณสำหรับความช่วยเหลือจาก enh จาก Google

Local Authentication

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ryan Lopopolo

mDNSResponder

เราขอขอบคุณสำหรับความช่วยเหลือจาก Gregor Lang จาก e.solutions GmbH

Postfix

เราขอขอบคุณสำหรับความช่วยเหลือจาก Chris Barker จาก Puppet

Python

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

VPN

เราขอขอบคุณสำหรับความช่วยเหลือจาก Royce Gawron จาก Second Son Consulting, Inc.