เกี่ยวกับเนื้อหาความปลอดภัยของของ macOS Mojave 10.14.4, รายการอัพเดทความปลอดภัย 2019-002 High Sierra และรายการอัพเดทความปลอดภัย 2019-002 Sierra

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Mojave 10.14.4, รายการอัพเดทความปลอดภัย 2019-002 High Sierra และรายการอัพเดทความปลอดภัย 2019-002 Sierra

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Mojave 10.14.4, รายการอัพเดทความปลอดภัย 2019-002 High Sierra และรายการอัพเดทความปลอดภัย 2019-002 Sierra

เปิดตัวเมื่อวันที่ 25 มีนาคม 2019

802.1X

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับการรับส่งข้อมูลเครือข่ายได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-6203: Dominic White จาก SensePost (@singe)

เพิ่มรายการเมื่อวันที่ 15 เมษายน 2019

802.1X

มีให้สำหรับ: macOS High Sierra 10.13.6

ผลกระทบ: ใบรับรองเซิร์ฟเวอร์ RADIUS ที่ไม่น่าเชื่อถืออาจได้รับความเชื่อถือ

คำอธิบาย: มีปัญหาการตรวจสอบใน Trust Anchor Management ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8531: นักวิจัยนิรนามและทีม QA จาก SecureW2

เพิ่มรายการเมื่อวันที่ 15 พฤษภาคม 2019

บัญชี

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: การประมวลผลไฟล์ vcf ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

เพิ่มรายการเมื่อวันที่ 3 เมษายน 2019

APFS

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: มีปัญหาตรรกะที่ส่งผลให้หน่วยความจำเสียหาย ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8534: Mac ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 15 เมษายน 2019

AppleGraphicsControl

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถใช้รหัสที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2019-8555: Zhiyi Zhang จาก 360 ESG Codesafe Team, Zhuo Liang และ shrek_wzw จาก Qihoo 360 Nirvan Team

Bom

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจบายพาสการตรวจสอบ Gatekeeper

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการเมตาดาต้าของไฟล์

CVE-2019-6239: Ian Moorhouse และ Michael Trimm

CFString

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: การประมวลผลสตริงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2019-8516: SWIPS Team จาก Frifee Inc.

configd

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8552: Mohamed Ghannam (@_simo36)

รายชื่อ

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8511: นักวิจัยนิรนาม

CoreCrypto

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8542: นักวิจัยนิรนาม

DiskArbitration

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: ดิสก์โวลุ่มที่เข้ารหัสอาจถูกยกเลิกการต่อเชื่อมและต่อเชื่อมใหม่โดยผู้ใช้รายอื่นโดยไม่ขอให้ป้อนรหัสผ่าน

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8522: Colin Meginnis (@falc420)

FaceTime

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: วิดีโอของผู้ใช้อาจไม่หยุดพักในการโทร FaceTime หากออกจากแอพ FaceTime ขณะที่มีการโทรเข้า

คำอธิบาย: มีปัญหาในการหยุดชั่วคราวของวิดีโอ FaceTime ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2019-8550: Lauren Guzniczak จาก Keystone Academy

FaceTime

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: ผู้โจมตีเฉพาะที่อาจสามารถดูรายชื่อจากหน้าจอล็อคได้

คำอธิบาย: ปัญหาหน้าจอล็อคอนุญาตให้เข้าถึงรายชื่อในอุปกรณ์ที่ล็อคอยู่ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8777: Abdullah H. AlJaber (@aljaber) จาก AJ.SA

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019

Feedback Assistant

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก

คำอธิบาย: ปัญหาสภาวะการแข่งขันได้รับการแก้ไขแล้วด้วยการตรวจสอบข้อมูลเพิ่มเติม

CVE-2019-8565: CodeColorist จาก Ant-Financial LightYear Labs

Feedback Assistant

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถเขียนทับไฟล์ได้โดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8521: CodeColorist จาก Ant-Financial LightYear Labs

ไฟล์

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: การประมวลผลไฟล์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยข้อมูลผู้ใช้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8906: Francisco Alonso

อัพเดทรายการเมื่อวันที่ 15 เมษายน 2019

ไดรเวอร์กราฟิก

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) และ Junzhi Lu จาก Trend Micro Research ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Lilang Wu และ Moony Li จาก Trend Micro

อัพเดทรายการเมื่อวันที่ 1 สิงหาคม 2019

iAP

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8542: นักวิจัยนิรนาม

IOGraphics

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: Mac อาจล็อคเมื่อถอดออกจากจอภาพภายนอก

คำอธิบาย: ปัญหาการจัดการล็อคได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการล็อคให้ดียิ่งขึ้น

CVE-2019-8533: นักวิจัยนิรนาม, James Eagan จาก Télécom ParisTech, R. Scott Kemp จาก MIT และ Romke van Dijk จาก Z-CERT

IOHIDFamily

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8545: Adam Donenfeld (@doadam) จาก Zimperium zLabs Team

IOKit

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8504: นักวิจัยนิรนาม

IOKit SCSI

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8529: Juwei Lin (@panicaII) จาก Trend Micro Research ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 15 เมษายน 2019

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2018-4448: Brandon Azad

เพิ่มรายการเมื่อวันที่ 17 กันยายน 2019

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: ผู้โจมตีจากระยะไกลอาจสามารถแก้ไขข้อมูลทราฟฟิกเครือข่ายได้

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการแพ็คเก็ต IPv6 ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-5608: Apple

เพิ่มรายการเมื่อวันที่ 6 สิงหาคม 2019

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: ผู้โจมตีระยะไกลอาจทำให้เกิดการยุติระบบโดยไม่คาดคิดหรือสร้างความเสียหายให้กับหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขนาดให้ดียิ่งขึ้น

CVE-2019-8527: Ned Williamson จาก Google และ derrek (@derrekr6)

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.3, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) จาก Qihoo 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 3 เมษายน 2019 อัพเดทรายการเมื่อวันที่ 1 สิงหาคม 2019

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, macOS Mojave 10.14.3

ผลกระทบ: การต่อเชื่อมการแชร์เครือข่าย NFS ที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบได้

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8508: Dr. Silvio Cesare จาก InfoSect

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8514: Samuel Groß จาก Google Project Zero

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8540: Weibo Wang (@ma1fan) จาก Qihoo 360 Nirvan Team

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถอ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-7293: Ned Williamson จาก Google

เคอร์เนล

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-6207: Weibo Wang จาก Qihoo 360 Nirvan Team (@ma1fan)

CVE-2019-8510: Stefan Esser จาก Antid0te UG

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้

คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8547: derrek (@derrekr6)

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2019

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8525: Zhuo Liang และ shrek_wzw จาก Qihoo 360 Nirvan Team

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2019

libmalloc

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้

คำอธิบาย: ปัญหาในการกำหนดค่าได้รับการแก้ไขแล้วด้วยข้อจำกัดเพิ่มเติม

CVE-2018-4433: Vitaly Cheptsov

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2019 อัพเดทเมื่อวันที่ 17 กันยายน 2019

เมล

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: การประมวลผลข้อความเมลที่ออกแบบมาเพื่อประสงค์ร้ายอาจนำไปสู่การปลอมแปลงลายเซ็น S/MIME ได้

คำอธิบาย: มีปัญหาในการจัดการใบรับรอง S-MIME ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบใบรับรอง S-MIME ให้ดียิ่งขึ้น

CVE-2019-8642: Maya Sigal จาก Freie Universität Berlin และ Volker Roth จาก Freie Universität Berlin

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2019

เมล

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถดักจับคอนเทนต์ของอีเมลที่เข้ารหัส S/MIME ได้

คำอธิบาย: มีปัญหาในการจัดการเมลที่เข้ารหัส ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการแยก MIME ในเมลให้ดียิ่งขึ้น

CVE-2019-8645: Maya Sigal จาก Freie Universität Berlin และ Volker Roth จาก Freie Universität Berlin

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2019

ข้อความ

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถดูข้อมูลที่สำคัญของผู้ใช้ได้

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัด Sandbox เพิ่มเติม

CVE-2019-8546: ChiYuan Chang

โมเด็ม CCL

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8579: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 15 เมษายน 2019

หมายเหตุ

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถดูโน้ตที่ล็อคของผู้ใช้ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8537: Greg Walker (gregwalker.us)

PackageKit

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8561: Jaron Bradley จาก Crowdstrike

Perl

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: มีปัญหาจำนวนมากใน Perl

คำอธิบาย: ปัญหาหลายประการใน Perl ได้รับการแก้ไขแล้วในการอัพเดทครั้งนี้

CVE-2018-12015: Jakub Wilk

CVE-2018-18311: Jayakrishna Menon

CVE-2018-18313: Eiichi Tsukata

การจัดการพลังงาน

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นประสงค์ร้ายอาจสามารถใช้รหัสโดยอำเภอใจด้วยสิทธิ์ของระบบ

คำอธิบาย: มีปัญหาหลายประการเกี่ยวกับการตรวจสอบอินพุตเกิดขึ้นในรหัสที่สร้างโดย MIG ปัญหาเหล่านี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8549: Mohamed Ghannam (@_simo36) จาก SSD Secure Disclosure (ssd-disclosure.com)

QuartzCore

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: การประมวลผลข้อมูลที่เป็นอันตรายอาจทำให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8507: Kai Lu จาก FortiGuard Labs ของ Fortinet

Sandbox

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2019-8618: Brandon Azad

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2019

ความปลอดภัย

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้

คำอธิบาย: ปัญหา Use-after-free ได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8526: Linus Henze (pinauten.de)

ความปลอดภัย

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8520: Antonio Groza, National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร

ความปลอดภัย

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: ใบรับรองเซิร์ฟเวอร์ RADIUS ที่ไม่น่าเชื่อถืออาจได้รับความเชื่อถือ

คำอธิบาย: มีปัญหาการตรวจสอบใน Trust Anchor Management ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8531: นักวิจัยนิรนามและทีม QA จาก SecureW2

ความปลอดภัย

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: ใบรับรองเซิร์ฟเวอร์ RADIUS ที่ไม่น่าเชื่อถืออาจได้รับความเชื่อถือ

คำอธิบาย: มีปัญหาการตรวจสอบใน Trust Anchor Management ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8531: นักวิจัยนิรนามและทีม QA จาก SecureW2

เพิ่มรายการเมื่อวันที่ 15 พฤษภาคม 2019

Siri

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถเริ่มคำขอการป้อนตามคำบอกได้โดยไม่มีการอนุญาตจากผู้ใช้

คำอธิบาย: มีปัญหา API ในการจัดการกับคำขอการป้อนตามคำบอก ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8502: Luke Deshotels จาก North Carolina State University, Jordan Beichler จาก North Carolina State University, William Enck จาก North Carolina State University, Costin Carabaș จาก University POLITEHNICA of Bucharest และ Răzvan Deaconescu จาก University POLITEHNICA of Bucharest

Time Machine

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถรันคำสั่ง shell ได้โดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8513: CodeColorist จาก Ant-Financial LightYear Labs

บริการช่วยเหลือ Touch Bar

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8569: Viktor Oreshkin (@stek29)

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2019

TrueTypeScaler

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8517: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Wi-Fi

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์จะสามารถแก้ไขสถานะไดรเวอร์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8564: Hugues Anguelkov ระหว่างการฝึกงานที่ Quarkslab

เพิ่มรายการเมื่อวันที่ 15 เมษายน 2019

Wi-Fi

มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์จะสามารถแก้ไขสถานะไดรเวอร์ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8612: Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2019

Wi-Fi

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: อุปกรณ์อาจถูกติดตามอย่างเงียบๆ ตามที่อยู่ WiFi MAC ของเครื่อง

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการลบข้อมูลที่อยู่ MAC ที่ออกอากาศ

CVE-2019-8567: David Kreitschmann และ Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

เพิ่มรายการเมื่อวันที่ 1 สิงหาคม 2019

xar

มีให้สำหรับ: macOS Mojave 10.14.3

ผลกระทบ: การประมวลผลแพคเกจที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น

CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)

เพิ่มรายการเมื่อวันที่ 15 เมษายน 2019

XPC

มีให้สำหรับ: macOS Sierra 10.12.6, macOS Mojave 10.14.3

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถเขียนทับไฟล์ได้โดยอำเภอใจ

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8530: CodeColorist จาก Ant-Financial LightYear Labs

คำขอบคุณพิเศษ

บัญชี

เราขอขอบคุณสำหรับความช่วยเหลือจาก Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

หนังสือ

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad, Brandon Azad จาก Google Project Zero, Daniel Roethlisberger จาก Swisscom CSIRT, Raz Mashat (@RazMashat) จาก Ilan Ramon High School

อัพเดทรายการเมื่อวันที่ 17 กันยายน 2019

เมล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Craig Young จาก Tripwire VERT และ Hanno Böck

Time Machine

เราขอขอบคุณสำหรับความช่วยเหลือจาก CodeColorist จาก Ant-Financial LightYear Labs

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: