เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Catalina 10.15

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Catalina 10.15

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Catalina 10.15

เปิดตัวเมื่อวันที่ 7 ตุลาคม 2019

AMD

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8748: Lilang Wu และ Moony Li จาก TrendMicro Mobile Security Research Team

apache_mod_php

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: มีปัญหาหลายประการใน PHP

คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัพเดทเป็น PHP เวอร์ชั่น 7.3.8

CVE-2019-11041

CVE-2019-11042

เสียง

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8706: Yu Zhou จาก Ant-financial Light-Year Security Lab

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เสียง

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8850: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 4 ธันวาคม 2019

หนังสือ

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การแยกวิเคราะห์ไฟล์ iBooks ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการปฏิเสธบริการอย่างต่อเนื่อง

คำอธิบาย: ปัญหาทรัพยากรลดลงได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8774: Gertjan Franken imec-DistriNet จาก KU Leuven

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

CFNetwork

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการโจมตีแบบส่งลิงก์ฝังสคริปต์ให้ไปยังไซต์อื่น

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8753: Łukasz Pilorz จาก Standard Chartered GBS Poland

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

CoreAudio

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การประมวลผลภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8705: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

CoreAudio

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การเล่นไฟล์เสียงที่ประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8592: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 6 พฤศจิกายน 2019

CoreCrypto

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การประมวลผลอินพุตขนาดใหญ่อาจทำให้ระบบปฏิเสธการให้บริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8741: Nicky Mouha จาก NIST

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

CoreMedia

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8825: พบโดย GWP-ASan ใน Google Chrome

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

ตัวรายงานการล่ม

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การตั้งค่า "แชร์การวิเคราะห์ Mac" อาจไม่ถูกปิดใช้งานเมื่อผู้ใช้เลิกเลือกสวิตช์เพื่อแชร์ข้อมูลการวิเคราะห์

คำอธิบาย: มีสภาวะการแข่งขันเมื่ออ่านหรือเขียนการตั้งค่าของผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8757: William Cerniuk จาก Core Development, LLC

CUPS

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8736: Pawel Gocyla จาก ING Tech Poland (ingtechpoland.com)

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

CUPS

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การประมวลผลสตริงที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8767: Stephen Zeisberg

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

CUPS

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8737: Pawel Gocyla จาก ING Tech Poland (ingtechpoland.com)

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

dyld

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8776: Jann Horn จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020

การกักกันไฟล์

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2019-8509: CodeColorist จาก Ant-Financial LightYear Labs

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

Foundation

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8746: Natalie Silvanovich และ Samuel Groß จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

กราฟิก

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การประมวลผล Shader ที่ประสงค์ร้ายอาจส่งผลให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือเกิดการใช้รหัสโดยอำเภอใจได้

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-12152: Piotr Bania จาก Cisco Talos

CVE-2018-12153: Piotr Bania จาก Cisco Talos

CVE-2018-12154: Piotr Bania จาก Cisco Talos

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

IOGraphics

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8759: สมาชิกรายอื่นจาก 360 Nirvan Team

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

ไดรเวอร์กราฟิกของ Intel

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8758: Lilang Wu และ Moony Li จาก Trend Micro

IOGraphics

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2019-8755: Lilang Wu และ Moony Li จาก Trend Micro

เคอร์เนล

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพในเครื่องอาจสามารถอ่านตัวระบุบัญชีที่ยังคงอยู่ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2019-8809: Apple

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการแพ็คเก็ต IPv6 ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8744: Zhuo Liang จาก Qihoo 360 Vulcan Team

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8717: Jann Horn จาก Google Project Zero

เคอร์เนล

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

อัพเดทรายการเมื่อวันที่ 29 ตุลาคม 2019

libxml2

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: มีปัญหาหลายประการใน libxml2

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8749: พบโดย OSS-Fuzz

CVE-2019-8756: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

libxslt

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: มีปัญหาหลายประการใน libxslt

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8750: พบโดย OSS-Fuzz

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

mDNSResponder

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: ผู้โจมตีที่อยู่ในบริเวณใกล้เคียงอาจสามารถสังเกตเห็นชื่ออุปกรณ์ในการสื่อสาร AWDL ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการแทนที่ชื่ออุปกรณ์ด้วยตัวระบุแบบสุ่ม

CVE-2019-8799: David Kreitschmann และ Milan Stute จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

Menu

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8826: พบโดย GWP-ASan ใน Google Chrome

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

หมายเหตุ

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถดูโน้ตที่ล็อคของผู้ใช้ได้

คำอธิบาย: คอนเทนต์ของโน้ตที่ล็อคอยู่อาจปรากฏในผลการค้นหาเป็นบางครั้ง ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการล้างข้อมูลให้ดียิ่งขึ้น

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) จาก Virginia Polytechnic Institute and State University

PDFKit

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: ผู้โจมตีอาจสามารถถอนเนื้อหาของ PDF ที่เข้ารหัสได้

คำอธิบาย: มีปัญหาในการจัดการลิงก์ใน PDF ที่เข้ารหัส ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มการแจ้งการยืนยัน

CVE-2019-8772: Jens Müller จาก Ruhr University Bochum, Fabian Ising จาก FH Münster University of Applied Sciences, Vladislav Mladenov จาก Ruhr University Bochum, Christian Mainka จาก Ruhr University Bochum, Sebastian Schinzel จาก FH Münster University of Applied Sciences และ Jörg Schwenk จาก Ruhr University Bochum

PluginKit

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถตรวจสอบหาการมีอยู่ของไฟล์ได้โดยอำเภอใจ

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2019-8708: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

PluginKit

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8715: นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

Sandbox

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้

คำอธิบาย: ปัญหาการเข้าถึงได้รับการแก้ไขแล้วด้วยข้อจำกัด Sandbox เพิ่มเติม

CVE-2019-8855: Apple

เพิ่มรายการเมื่อวันที่ 18 ธันวาคม 2019

SharedFileList

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจเข้าถึงเอกสารล่าสุดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น

CVE-2019-8770: Stanislav Zinukhov จาก Parallels International GmbH

sips

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) และ pjf จาก IceSword Lab จาก Qihoo 360

UIFoundation

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การแยกวิเคราะห์ไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8761: Renee Trisberg จาก SpectX

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

UIFoundation

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8745: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

UIFoundation

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8831: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2019

WebKit

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาให้เป็นอันตรายอาจเปิดเผยประวัติการเรียกดู

คำอธิบาย: มีปัญหาในการดึงองค์ประกอบหน้าเว็บ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: ผู้ใช้อาจไม่สามารถลบรายการประวัติการเรียกดูได้

คำอธิบาย: "ล้างประวัติและข้อมูลเว็บไซต์" ไม่ล้างประวัติ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการลบข้อมูลให้ดียิ่งขึ้น

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Wi-Fi

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: อุปกรณ์อาจถูกติดตามอย่างเงียบๆ ตามที่อยู่ WiFi MAC ของเครื่อง

คำอธิบาย: ปัญหาความเป็นส่วนตัวได้รับการแก้ไขแล้วด้วยการลบข้อมูลที่อยู่ MAC ที่ออกอากาศ

CVE-2019-8854: FuriousMacTeam จาก United States Naval Academy และ Mitre Cooperation, Ta-Lun Yen จาก UCCU Hacker

เพิ่มรายการเมื่อวันที่ 4 ธันวาคม 2019 อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019

คำขอบคุณพิเศษ

AppleRTC

เราขอขอบคุณสำหรับความช่วยเหลือจาก Vitaly Cheptsov

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เสียง

เราขอขอบคุณสำหรับความช่วยเหลือจาก riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

boringssl

เราขอขอบคุณสำหรับความช่วยเหลือจาก Nimrod Aviram จาก Tel Aviv University, Robert Merget จาก Ruhr Universi tyBochum, Juraj Somorovsky จาก Ruhr University Bochum, Thijs Alkemade (@xnyhps) จาก Computest

เพิ่มรายการเมื่อวันที่ 8 ตุลาคม 2019 อัพเดทรายการเมื่อวันที่ 29 ตุลาคม 2019

curl

เราขอขอบคุณสำหรับความช่วยเหลือจาก Joseph Barisa จาก The School District of Philadelphia

เพิ่มรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020 อัพเดทเมื่อ 11 กุมภาพันธ์ 2020

Finder

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit)

Gatekeeper

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit)

บริการข้อมูลประจำตัว

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yiğit Can YILMAZ (@yilmazcanyigit)

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

การรับรองความถูกต้องในระบบ

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ryan Lopopolo

เพิ่มรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020

mDNSResponder

เราขอขอบคุณสำหรับความช่วยเหลือจาก Gregor Lang จาก e.solutions GmbH

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

Python

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

การนำเข้าข้อมูล Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kent Zoya

ความปลอดภัย

เราขอขอบคุณสำหรับความช่วยเหลือจาก Pepijn Dutour Geerling (pepijn.io), นักวิจัยนิรนาม

เพิ่มรายการเมื่อวันที่ 18 พฤศจิกายน 2019

โปรโตคอลการลงทะเบียนใบรับรองอย่างง่าย (SCEP)

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

Siri

เราขอขอบคุณสำหรับความช่วยเหลือจาก Yuval Ron, Amichai Shulman และ Eli Biham จาก Technion of Israel Institute of Technology

เพิ่มรายการเมื่อวันที่ 4 ธันวาคม 2019 อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019

ระบบโทรศัพท์

เราขอขอบคุณสำหรับความช่วยเหลือจาก Phil Stokes จาก SentinelOne

VPN

เราขอขอบคุณสำหรับความช่วยเหลือจาก Royce Gawron จาก Second Son Consulting, Inc.

เพิ่มรายการเมื่อวันที่ 29 ตุลาคม 2019

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: