เกี่ยวกับคอนเทนต์ความปลอดภัยของ macOS Catalina 10.15.1, รายการอัพเดทความปลอดภัย 2019-001 และรายการอัพเดทความปลอดภัย 2019-006
เอกสารนี้จะอธิบายเกี่ยวกับคอนเทนต์ความปลอดภัยของ macOS Catalina 10.15.1, รายการอัพเดทความปลอดภัย 2019-001 และรายการอัพเดทความปลอดภัย 2019-006
เกี่ยวกับรายการอัปเดตความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัปเดตความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Catalina 10.15.1, รายการอัพเดทความปลอดภัย 2019-001, รายการอัพเดทความปลอดภัย 2019-006
Accounts
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8787: Steffen Klee จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt
Accounts
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: การถ่ายโอน AirDrop อาจได้รับการยอมรับโดยไม่คาดคิดในขณะที่อยู่ในโหมดทุกคน
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8796: Allison Husain จาก UC Berkeley
AirDrop
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: การถ่ายโอน AirDrop อาจได้รับการยอมรับโดยไม่คาดคิดในขณะที่อยู่ในโหมดทุกคน
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8796: Allison Husain จาก UC Berkeley
AMD
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8748: Lilang Wu และ Moony Li จาก TrendMicro Mobile Security Research Team
apache_mod_php
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: มีปัญหาหลายประการใน PHP
คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัพเดทเป็น PHP เวอร์ชั่น 7.3.8
CVE-2019-11041
CVE-2019-11042
APFS
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8824: Mac ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
App Store
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: ผู้โจมตีในระบบอาจสามารถเข้าสู่ระบบบัญชีของผู้ใช้ที่เคยเข้าสู่ระบบไว้ก่อนหน้าโดยไม่มีข้อมูลประจำตัวที่ถูกต้องได้
คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleGraphicsControl
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2019-8817: Arash Tohidi
AppleGraphicsControl
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8716: Zhiyi Zhang จาก Codesafe Team ของ Legendsec ที่ Qi'anxin Group, Zhuo Liang จาก Qihoo 360 Vulcan Team
Associated Domains
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: การประมวลผล URL ที่ไม่เหมาะสมอาจทำให้เกิดการรั่วไหลของข้อมูลได้
คำอธิบาย: มีปัญหาเกิดขึ้นในการแยกวิเคราะห์ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8788: Juha Lindstedt จาก Pakastin, Mirko Tanania, Rauli Rikama จาก Zero Keyboard Ltd
Audio
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8706: Yu Zhou จาก Ant-financial Light-Year Security Lab
Audio
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8785: Ian Beer จาก Google Project Zero
CVE-2019-8797: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure
Audio
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8850: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Books
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: การแยกวิเคราะห์ไฟล์ iBooks ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น
CVE-2019-8789: Gertjan Franken จาก imec-DistriNet, KU Leuven
Contacts
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: การประมวลข้อมูลติดต่อที่ประสงค์ร้ายอาจนำไปสู่การปลอมแปลง UI ได้
คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2017-7152: Oliver Paukstadt จาก Thinking Objects GmbH (to.com)
CoreAudio
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: การเล่นไฟล์เสียงที่ประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8592: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreAudio
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: การประมวลผลภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8705: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
CoreMedia
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8825: พบโดย GWP-ASan ใน Google Chrome
CUPS
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้
คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8736: Pawel Gocyla จาก ING Tech Poland (ingtechpoland.com)
CUPS
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: การประมวลผลสตริงที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ
คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8767: Stephen Zeisberg
CUPS
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้
คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8737: Pawel Gocyla จาก ING Tech Poland (ingtechpoland.com)
File Quarantine
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก
CVE-2019-8509: CodeColorist จาก Ant-Financial LightYear Labs
File System Events
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8798: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
Foundation
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8746: natashenka และ Samuel Groß จาก Google Project Zero
Graphics
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: การประมวลผล Shader ที่ออกแบบมาเพื่อประสงค์ร้ายอาจส่งผลให้แอพพลิเคชั่นยุติการทำงานโดยไม่คาดคิดหรือเกิดการใช้รหัสโดยอำเภอใจได้
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2018-12152: Piotr Bania จาก Cisco Talos
CVE-2018-12153: Piotr Bania จาก Cisco Talos
CVE-2018-12154: Piotr Bania จาก Cisco Talos
Graphics Driver
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8784: Vasiliy Vasilyev และ Ilya Finogeev จาก Webinar, LLC
Intel Graphics Driver
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8807: Yu Wang จาก Didi Research America
IOGraphics
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้
คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2019-8759: another จาก 360 Nirvan Team
iTunes
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: การเรียกใช้ตัวติดตั้ง iTunes ในไดเรกทอรีที่ไม่น่าเชื่อถืออาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: มีปัญหาเกี่ยวกับการโหลดคลังแบบไดนามิกในการตั้งค่า iTunes ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการค้นหาเส้นทางให้ดียิ่งขึ้น
CVE-2019-8801: Hou JingYi (@hjy79425575) จาก Qihoo 360 CERT
Kernel
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Kernel
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2019-8794: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure
Kernel
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8717: Jann Horn จาก Google Project Zero
CVE-2019-8786: Wen Xu จาก Georgia Tech, Microsoft Offensive Security Research Intern
Kernel
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้
คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการแพ็คเก็ต IPv6 ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8744: Zhuo Liang จาก Qihoo 360 Vulcan Team
Kernel
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: แอปพลิเคชันอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น
CVE-2019-8829: Jann Horn จาก Google Project Zero
libxml2
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: มีปัญหาหลายประการใน libxml2
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8749: พบโดย OSS-Fuzz
CVE-2019-8756: พบโดย OSS-Fuzz
libxslt
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: มีปัญหาหลายประการใน libxslt
คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8750: พบโดย OSS-Fuzz
manpages
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น
CVE-2019-8802: Csaba Fitzl (@theevilbit)
PDFKit
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: ผู้โจมตีอาจสามารถถอนคอนเทนต์ของ PDF ที่เข้ารหัสได้
คำอธิบาย: มีปัญหาในการจัดการลิงก์ใน PDF ที่เข้ารหัส ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มการแจ้งการยืนยัน
CVE-2019-8772: Jens Müller จาก Ruhr University Bochum, Fabian Ising จาก FH Münster University of Applied Sciences, Vladislav Mladenov จาก Ruhr University Bochum, Christian Mainka จาก Ruhr University Bochum, Sebastian Schinzel จาก FH Münster University of Applied Sciences และ Jörg Schwenk จาก Ruhr University Bochum
PluginKit
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถตรวจสอบหาการมีอยู่ของไฟล์ได้โดยอำเภอใจ
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2019-8708: นักวิจัยนิรนาม
PluginKit
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8715: นักวิจัยนิรนาม
Screen Sharing Server
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: ผู้ใช้ที่แชร์หน้าจออาจไม่สามารถสิ้นสุดการแชร์หน้าจอได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8858: Saul van der Bijl จาก Saul’s Place Counseling B.V.
System Extensions
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: มีปัญหาเกี่ยวกับการตรวจสอบในการตรวจสอบยืนยันสิทธิ์ ปัญหาได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบกระบวนการให้ดียิ่งขึ้น
CVE-2019-8805: Scott Knight (@sdotknight) จาก VMware Carbon Black TAU
UIFoundation
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: เอกสาร HTML ที่ประสงค์ร้ายอาจแสดง iframe ที่มีข้อมูลผู้ใช้ที่ละเอียดอ่อนได้
คำอธิบาย: มีปัญหาข้ามต้นทางในองค์ประกอบ "iframe" ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการติดตามต้นทางในการรักษาความปลอดภัยให้ดียิ่งขึ้น
CVE-2019-8754: Renee Trisberg จาก SpectX
UIFoundation
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2019-8745: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
UIFoundation
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8831: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro
UIFoundation
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: การแยกวิเคราะห์ไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8761: Renee Trisberg จาก SpectX
Wi-Fi
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจสามารถดูการรับส่งข้อมูลผ่านเครือข่ายได้เล็กน้อย
คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-15126: Milos Cermak ที่ ESET
คำขอบคุณพิเศษ
CFNetwork
เราขอขอบคุณสำหรับความช่วยเหลือจาก Lily Chen จาก Google
Find My
เราขอขอบคุณสำหรับความช่วยเหลือจาก Amr Elseehy
Kernel
เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad จาก Google Project Zero, Daniel Roethlisberger จาก Swisscom CSIRT, Jann Horn จาก Google Project Zero
libresolv
เราขอขอบคุณสำหรับความช่วยเหลือจาก enh จาก Google
Local Authentication
เราขอขอบคุณสำหรับความช่วยเหลือจาก Ryan Lopopolo
mDNSResponder
เราขอขอบคุณสำหรับความช่วยเหลือจาก Gregor Lang จาก e.solutions GmbH
Postfix
เราขอขอบคุณสำหรับความช่วยเหลือจาก Chris Barker จาก Puppet
Python
เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม
VPN
เราขอขอบคุณสำหรับความช่วยเหลือจาก Royce Gawron จาก Second Son Consulting, Inc.
การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม