เกี่ยวกับเนื้อหาความปลอดภัยของของ macOS Mojave 10.14.3, รายการอัพเดทความปลอดภัย 2019-001 High Sierra และรายการอัพเดทความปลอดภัย 2019-001 Sierra

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Mojave 10.14.3, รายการอัพเดทความปลอดภัย 2019-001 High Sierra และรายการอัพเดทความปลอดภัย 2019-001 Sierra

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Mojave 10.14.3, รายการอัพเดทความปลอดภัย 2019-001 High Sierra และรายการอัพเดทความปลอดภัย 2019-001 Sierra

เปิดตัวเมื่อวันที่ 22 มกราคม 2019

AppleKeyStore

มีให้สำหรับ: macOS Mojave 10.14.2

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-6235: Brandon Azad

บลูทูธ

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถใช้รหัสได้โดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-6200: นักวิจัยนิรนาม

Core Media

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-6202: Fluoroacetate ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CVE-2019-6221: Fluoroacetate ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CoreAnimation

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-6231: Zhuo Liang จาก Qihoo 360 Nirvan Team

CoreAnimation

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-6230: Proteas, Shrek_wzw และ Zhuo Liang จาก Qihoo 360 Nirvan Team

FaceTime

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: ผู้โจมตีจากระยะไกลอาจสามารถเริ่มการโทรผ่าน FaceTime ซึ่งอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-6224: Natalie Silvanovich จาก Google Project Zero

Hypervisor

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2018-4467: Martim Carbone, David Vernet, Sam Scalise และ Fred Jacobs จาก the Virtual Machine Monitor Group of VMware, Inc.

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4452: Liu Long จาก Qihoo 360 Vulcan Team

IOKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถแยกตัวออกจาก Sandbox ได้

คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-6214: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-6225: Brandon Azad จาก Google Project Zero, Qixun Zhao จาก Qihoo 360 Vulcan Team

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-6210: Ned Williamson จาก Google

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจเป็นเหตุให้เกิดการเปลี่ยนแปลงที่ไม่คาดคิดในหน่วยความจำที่แชร์ระหว่างกระบวนการ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบสถานะการล็อคให้ดียิ่งขึ้น

CVE-2019-6205: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-6213: Ian Beer จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-6209: Brandon Azad จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจเป็นเหตุให้เกิดการเปลี่ยนแปลงที่ไม่คาดคิดในหน่วยความจำที่แชร์ระหว่างกระบวนการ

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-6208: Jann Horn จาก Google Project Zero

libxpc

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-6218: Ian Beer จาก Google Project Zero

การประมวลผลภาษาที่เป็นธรรมชาติ

มีให้สำหรับ: macOS Mojave 10.14.2

ผลกระทบ: การประมวลผลข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-6219: Authier Thomas

QuartzCore

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-6220: Yufeng Ruan จาก Chaitin Security Research Lab

SQLite

มีให้สำหรับ: macOS Mojave 10.14.2

ผลกระทบ: การสอบถาม SQL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-20346: Tencent Blade Team

CVE-2018-20505: Tencent Blade Team

CVE-2018-20506: Tencent Blade Team

WebRTC

มีให้สำหรับ: macOS Mojave 10.14.2

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-6211: Georgi Geshev (@munmap), Fabi Beterke (@pwnfl4k3s) และ Rob Miller (@trotmaster99) จาก MWR Labs (@mwrlabs) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

คำขอบคุณพิเศษ

apache_mod_php

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Daniel Roethlisberger จาก Swisscom CSIRT

LibreSSL

เราขอขอบคุณสำหรับความช่วยเหลือจาก Viktor Szakats

mDNSResponder

เราขอขอบคุณสำหรับความช่วยเหลือจาก Fatemah Alharbi จาก University of California, Riverside (UCR) และ Taibah University (TU), Jie Chang จาก LinkSure Network, Yuchen Zhou จาก Northeastern University, Feng Qian จาก University of Minnesota – Twin City, Zhiyun Qian จาก University of California, Riverside (UCR) และ Nael Abu-Ghazaleh จาก University of California, Riverside (UCR)

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: