เกี่ยวกับเนื้อหาความปลอดภัยของของ macOS Mojave 10.14.5, รายการอัพเดทความปลอดภัย 2019-003 High Sierra และรายการอัพเดทความปลอดภัย 2019-003 Sierra
เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาความปลอดภัยของ macOS Mojave 10.14.5, รายการอัพเดทความปลอดภัย 2019-003 High Sierra และรายการอัพเดทความปลอดภัย 2019-003 Sierra
เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Mojave 10.14.5, รายการอัพเดทความปลอดภัย 2019-003 High Sierra และรายการอัพเดทความปลอดภัย 2019-003 Sierra
เฟรมเวิร์กการช่วยการเข้าถึง
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2019-8603: Phoenhex และ qwerty (@_niklasb, @qwertyoruiopz, @bkth_) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
AMD
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8635: Lilang Wu และ Moony Li จาก TrendMicro Mobile Security Research Team ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
แอพพลิเคชั่นไฟร์วอลล์
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2019-8590: National Cyber Security Centre (NCSC) แห่งสหราชอาณาจักร
ยูทิลิตี้การเก็บถาวร
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: กระบวนการที่ถูกวางอยู่ใน Sandbox อาจสามารถหลีกเลี่ยงข้อจำกัดของ Sandbox ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8640: Ash Fox จาก Fitbit Product Security
บลูทูธ
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: เนื่องจากมีการกำหนดค่าผิดพลาดในระหว่างการจับคู่บลูทูธของ FIDO Security Key เวอร์ชั่น Bluetooth Low Energy (BLE) ดังนั้น ผู้โจมตีที่อยู่ใกล้เคียงอาจสามารถสกัดกั้นการรับส่งข้อมูลบลูทูธในระหว่างการจับคู่ได้
คำอธิบาย: ปัญหานี้แก้ไขได้ด้วยการปิดการใช้งานอุปกรณ์เสริมที่มีการเชื่อมต่อบลูทูธที่ไม่ปลอดภัย ลูกค้าที่ใช้ Titan Security Key ของ Google เวอร์ชั่น Bluetooth Low Energy (BLE) ควรตรวจสอบกระดานข่าวเดือนมิถุนายนของ Android และคำแนะนำของ Google และดำเนินการตามความเหมาะสม
CVE-2019-2102: Matt Beaver และ Erik Peterson จาก Microsoft Corp.
CoreAudio
มีให้สำหรับ: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการข้อผิดพลาดให้ดียิ่งขึ้น
CVE-2019-8592: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreAudio
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: การประมวลผลไฟล์ภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8585: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreText
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: การประมวลผลแบบอักษรที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2019-8582: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
DesktopServices
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจบายพาสการตรวจสอบ Gatekeeper
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8589: Andreas Clementi, Stefan Haselwanter และ Peter Stelzhammer จาก AV-Comparatives
ภาพดิสก์
มีให้สำหรับ: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2019-8560: Nikita Pupyshev จาก Bauman Moscow State Technological University
EFI
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: ผู้ใช้อาจเข้าสู่ระบบบัญชีผู้ใช้อื่นโดยไม่คาดคิด
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8634: Jenny Sprenger และ Maik Hoepfel
ไดรเวอร์กราฟิกของ Intel
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8616: Lilang Wu และ Moony Li จาก Trend Micro Mobile Security Research Team ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
ไดรเวอร์กราฟิกของ Intel
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.4
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาการเริ่มต้นหน่วยความจำได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8629: Arash Tohidi จาก Solita Oy
IOAcceleratorFamily
มีให้สำหรับ: macOS High Sierra 10.13.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2018-4456: Tyler Bohan จาก Cisco Talos
IOKit
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.4
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถโหลดส่วนขยายเคอร์เนลที่ไม่ได้ลงชื่อ
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น
CVE-2019-8606: Phoenhex และ qwerty (@_niklasb, @qwertyoruiopz, @bkth_) ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
เคอร์เนล
มีให้สำหรับ: macOS Mojave 10.14.4, macOS High Sierra 10.13.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2019-8633: Zhuo Liang จาก Qihoo 360 Vulcan Team
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8525: Zhuo Liang และ shrek_wzw จาก Qihoo 360 Nirvan Team
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้
คำอธิบาย: มีปัญหาการอ่านข้อมูลนอกขอบเขตที่นำไปสู่การเปิดเผยหน่วยความจำเคอร์เนล ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8547: derrek (@derrekr6)
เคอร์เนล
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2019-8576: Brandon Azad จาก Google Project Zero, Junho Jang และ Hanul Choi จาก LINE Security Team
เคอร์เนล
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
ผลกระทบ: แอพพลิเคชั่นอาจทำให้เกิดการยุติระบบหรือการเขียนหน่วยความจำเคอร์เนลโดยไม่คาดหมาย
คำอธิบาย: ปัญหาเกี่ยวกับความสับสนในประเภทได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8591: Ned Williamson ที่ทำงานร่วมกับ Google Project Zero
ข้อความ
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้ระบบปฏิเสธบริการได้
คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8573: natashenka จาก Google Project Zero
ข้อความ
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: ผู้ใช้ที่ถูกลบออกจากการสนทนา iMessage อาจยังสามารถเปลี่ยนสถานะได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8631: Jamie Bishop จาก Dynastic
Microcode
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: โหลดพอร์ต เติมบัฟเฟอร์ และเก็บบัฟเฟอร์ในระบบที่มีไมโครโปรเซสเซอร์ที่ใช้การดำเนินการเชิงคาดเดาอาจทำให้ผู้โจมตีที่มีสิทธิ์เข้าใช้ของผู้ใช้เฉพาะเครื่องสามารถเปิดใช้งานการเปิดเผยข้อมูลผ่านช่องโหว่ด้านข้างได้
คำอธิบาย: ปัญหาการเปิดเผยข้อมูลหลายส่วนได้รับการแก้ไขเพียงบางส่วนโดยการอัพเดท microcode และเปลี่ยนตัวกำหนดเวลาของ OS เพื่อแยกระบบออกจากเนื้อหาเว็บที่ทำงานในเบราเซอร์ หากต้องแก้ไขปัญหาเหล่านี้อย่างสมบูรณ์ มีการบรรเทาปัญหาสำหรับเลือกเพิ่มเติมเพื่อปิดใช้งานการทำไฮเปอร์เธรดและเปิดใช้งานการบรรเทาปัญหาด้วย microcode สำหรับกระบวนการทั้งหมดเป็นค่าเริ่มต้น สามารถดูรายละเอียดการบรรเทาปัญหาได้ที่https://support.apple.com/th-th/HT210107
CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu และ Rodrigo Branco จาก Intel; Lei Shi - Qihoo 360 CERT; Marina Minkin; Daniel Genkin จาก University of Michigan; และ Yuval Yarom จาก University of Adelaide
CVE-2018-12127: Brandon Falk จาก Microsoft Windows Platform Security Team; และ Ke Sun, Henrique Kawakami, Kekai Hu และ Rodrigo Branco จาก Intel
CVE-2018-12130: Giorgi Maisuradze จาก Microsoft Research; Ke Sun, Henrique Kawakami, Kekai Hu และ Rodrigo Branco จาก Intel; Moritz Lipp, Michael Schwarz และ Daniel Gruss จาก Graz University of Technology; Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos และ Cristiano Giuffrida จาก VUSec group ที่ VU Amsterdam; Volodymyr Pikhur; และ Dan Horea Lutas จาก BitDefender
CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu และ Rodrigo Branco จาก Intel; และ Moritz Lipp, Michael Schwarz และ Daniel Gruss จาก Graz University of Technology
ความปลอดภัย
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8604: Fluoroacetate ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
SQLite
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8577: Omer Gull จาก Checkpoint Research
SQLite
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: การสอบถาม SQL ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8600: Omer Gull จาก Checkpoint Research
SQLite
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8598: Omer Gull จาก Checkpoint Research
SQLite
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยลบรหัสที่มีความเสี่ยง
CVE-2019-8602: Omer Gull จาก Checkpoint Research
StreamingZip
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถปรับเปลี่ยนส่วนที่มีการป้องกันของระบบไฟล์ได้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น
CVE-2019-8568: Dany Lisiansky (@DanyL931)
sysdiagnose
มีให้สำหรับ: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น
CVE-2019-8574: Dayton Pidhirney (@_watbulb) จาก Seekintoo (@seekintoo)
บริการช่วยเหลือ Touch Bar
มีให้สำหรับ: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8569: Viktor Oreshkin (@stek29)
WebKit
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-6237: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro, Liu Long จาก Qihoo 360 Vulcan Team
CVE-2019-8571: 01 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2019-8583: sakura จาก Tencent Xuanwu Lab, jessica (@babyjess1ca_) จาก Tencent Keen Lab และ dwfault ที่ทำงานที่ ADLab ของ Venustech
CVE-2019-8584: G. Geshev จาก MWR Labs ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2019-8586: นักวิจัยนิรนาม
CVE-2019-8587: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2019-8594: Suyoung Lee และ Sooel Son จาก KAIST Web Security & Privacy Lab และ HyungSeok Han และ Sang Kil Cha จาก KAIST SoftSec Lab
CVE-2019-8595: G. Geshev จาก MWR Labs ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2019-8596: Wen Xu จาก SSLab ที่ Georgia Tech
CVE-2019-8597: 01 ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2019-8601: Fluoroacetate ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2019-8608: G. Geshev ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2019-8609: Wen Xu จาก SSLab, Georgia Tech
CVE-2019-8610: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2019-8611: Samuel Groß จาก Google Project Zero
CVE-2019-8615: G. Geshev จาก MWR Labs ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CVE-2019-8619: Wen Xu จาก SSLab ที่ Georgia Tech และ Hanqing Zhao จาก Chaitin Security Research Lab
CVE-2019-8622: Samuel Groß จาก Google Project Zero
CVE-2019-8623: Samuel Groß จาก Google Project Zero
CVE-2019-8628: Wen Xu จาก SSLab ที่ Georgia Tech และ Hanqing Zhao จาก Chaitin Security Research Lab
WebKit
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้เกิดการเปิดเผยข้อมูลหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8607: Junho Jang และ Hanul Choi จาก LINE Security Team
Wi-Fi
มีให้สำหรับ: macOS Mojave 10.14.4
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์จะสามารถแก้ไขสถานะไดรเวอร์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8612: Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt
คำขอบคุณพิเศษ
CoreAudio
เราขอขอบคุณสำหรับความช่วยเหลือจาก riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreFoundation
เราขอขอบคุณสำหรับความช่วยเหลือจาก m4bln, Xiangqian Zhang, Huiming Liu จาก Xuanwu Lab ของ Tencent, Vozzie และ Rami
เคอร์เนล
เราขอขอบคุณสำหรับความช่วยเหลือจาก Denis Kopyrin
PackageKit
เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit)
Safari
เราขอขอบคุณสำหรับความช่วยเหลือจาก Michael Ball จาก Gradescope by Turnitin
การตั้งค่าระบบ
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม