เกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Catalina 10.15

เอกสารนี้จะอธิบายเกี่ยวกับเนื้อหาด้านความปลอดภัยของ macOS Catalina 10.15

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Catalina 10.15

เปิดตัวเมื่อวันที่ 7 ตุลาคม 2019

AMD

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8748: Lilang Wu และ Moony Li จาก TrendMicro Mobile Security Research Team

apache_mod_php

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: มีปัญหาหลายประการใน PHP

คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัพเดทเป็น PHP เวอร์ชั่น 7.3.8

CVE-2019-11041

CVE-2019-11042

CoreAudio

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การประมวลผลภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8705: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

ตัวรายงานการล่ม

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การตั้งค่า "แชร์ข้อมูลการวิเคราะห์ Mac" อาจไม่ถูกปิดใช้งานเมื่อผู้ใช้เลิกเลือกสวิตช์เพื่อแชร์ข้อมูลการวิเคราะห์ Mac

คำอธิบาย: มีสภาวะการแข่งขันเมื่ออ่านหรือเขียนการตั้งค่าของผู้ใช้ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8757: William Cerniuk จาก Core Development, LLC

ไดรเวอร์กราฟิกของ Intel

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8758: Lilang Wu และ Moony Li จาก Trend Micro

IOGraphics

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2019-8755: Lilang Wu และ Moony Li จาก Trend Micro

เคอร์เนล

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8717: Jann Horn จาก Google Project Zero

เคอร์เนล

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8781: Linus Henze (pinauten.de)

หมายเหตุ

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถดูโน้ตที่ล็อคของผู้ใช้ได้

คำอธิบาย: คอนเทนต์ของโน้ตที่ล็อคอยู่อาจปรากฏในผลการค้นหาเป็นบางครั้ง ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการล้างข้อมูลให้ดียิ่งขึ้น

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) จาก Virginia Polytechnic Institute and State University

PDFKit

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: ผู้โจมตีอาจสามารถถอนคอนเทนต์ของ PDF ที่เข้ารหัสได้

คำอธิบาย: มีปัญหาในการจัดการลิงก์ใน PDF ที่เข้ารหัส ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มการแจ้งการยืนยัน

CVE-2019-8772: Jens Müller จาก Ruhr University Bochum, Fabian Ising จาก FH Münster University of Applied Sciences, Vladislav Mladenov จาก Ruhr University Bochum, Christian Mainka จาก Ruhr University Bochum, Sebastian Schinzel จาก FH Münster University of Applied Sciences และ Jörg Schwenk จาก Ruhr University Bochum

SharedFileList

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจเข้าถึงเอกสารล่าสุดได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะสิทธิ์อนุญาตให้ดียิ่งขึ้น

CVE-2019-8770: Stanislav Zinukhov ของ Parallels International GmbH

sips

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) และ pjf จาก IceSword Lab จาก Qihoo 360

UIFoundation

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8745: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

WebKit

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: การเยี่ยมชมเว็บไซต์ที่ออกแบบมาให้เป็นอันตรายอาจเปิดเผยประวัติการเยี่ยมชม

คำอธิบาย: มีปัญหาในการดึงองค์ประกอบหน้าเว็บ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

มีให้ใช้งานได้กับ: MacBook (ต้นปี 2015 และใหม่กว่า), MacBook Air (กลางปี 2012 และใหม่กว่า), MacBook Pro (กลางปี 2012 และใหม่กว่า), Mac mini (ปลายปี 2012 และใหม่กว่า), iMac (ปลายปี 2012 และใหม่กว่า), iMac Pro (ทุกรุ่น), Mac Pro (ปลายปี 2013 และใหม่กว่า)

ผลกระทบ: ผู้ใช้อาจไม่สามารถลบรายการประวัติการเรียกดูได้

คำอธิบาย: "ล้างประวัติและข้อมูลเว็บไซต์" ไม่ล้างประวัติ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการลบข้อมูลให้ดียิ่งขึ้น

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

คำขอบคุณพิเศษ

Finder

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit)

Gatekeeper

เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit)

การนำเข้าข้อมูล Safari

เราขอขอบคุณสำหรับความช่วยเหลือจาก Kent Zoya

โปรโตคอลการลงทะเบียนใบรับรองอย่างง่าย (SCEP)

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

ระบบโทรศัพท์

เราขอขอบคุณสำหรับความช่วยเหลือจาก Phil Stokes จาก SentinelOne

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: