เกี่ยวกับคอนเทนต์ความปลอดภัยของ macOS Catalina 10.15.1, รายการอัพเดทความปลอดภัย 2019-001 และรายการอัพเดทความปลอดภัย 2019-006

เอกสารนี้จะอธิบายเกี่ยวกับคอนเทนต์ความปลอดภัยของ macOS Catalina 10.15.1, รายการอัพเดทความปลอดภัย 2019-001 และรายการอัพเดทความปลอดภัย 2019-006

เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple

เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple

เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple

macOS Catalina 10.15.1, รายการอัพเดทความปลอดภัย 2019-001, รายการอัพเดทความปลอดภัย 2019-006

เปิดตัวเมื่อวันที่ 29 ตุลาคม 2019

บัญชี

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถทำให้หน่วยความจำรั่วไหลได้

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8787: Steffen Klee จาก Secure Mobile Networking Lab ที่ Technische Universität Darmstadt

อัพเดทรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

บัญชี

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การถ่ายโอน AirDrop อาจได้รับการยอมรับโดยไม่คาดคิดในขณะที่อยู่ในโหมดทุกคน

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8796: Allison Husain จาก UC Berkeley

เพิ่มรายการเมื่อวันที่ 4 เมษายน 2020

AirDrop

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: การถ่ายโอน AirDrop อาจได้รับการยอมรับโดยไม่คาดคิดในขณะที่อยู่ในโหมดทุกคน

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8796: Allison Husain จาก UC Berkeley

เพิ่มรายการเมื่อวันที่ 4 เมษายน 2020

AMD

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8748: Lilang Wu และ Moony Li จาก TrendMicro Mobile Security Research Team

เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

apache_mod_php

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: มีปัญหาหลายประการใน PHP

คำอธิบาย: ปัญหาหลายประการได้รับการแก้ไขแล้วโดยการอัพเดทเป็น PHP เวอร์ชั่น 7.3.8

CVE-2019-11041

CVE-2019-11042

เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

APFS

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8824: Mac ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

App Store

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: ผู้โจมตีในระบบอาจสามารถเข้าสู่ระบบบัญชีของผู้ใช้ที่เคยเข้าสู่ระบบไว้ก่อนหน้าโดยไม่มีข้อมูลประจำตัวที่ถูกต้องได้

คำอธิบาย: ปัญหาการอนุมัติได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8716: Zhiyi Zhang จาก Codesafe Team ของ Legendsec ที่ Qi'anxin Group, Zhuo Liang จาก Qihoo 360 Vulcan Team

โดเมนที่เกี่ยวข้อง

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: การประมวลผล URL ที่ไม่เหมาะสมอาจทำให้เกิดการรั่วไหลของข้อมูลได้

คำอธิบาย: มีปัญหาเกิดขึ้นในการแยกวิเคราะห์ URL ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8788: Juha Lindstedt จาก Pakastin, Mirko Tanania, Rauli Rikama จาก Zero Keyboard Ltd

เสียง

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8706: Yu Zhou จาก Ant-financial Light-Year Security Lab

เสียง

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8785: Ian Beer จาก Google Project Zero

CVE-2019-8797: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure

อัพเดทรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

เสียง

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การประมวลผลไฟล์เสียงที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำที่จำกัด

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8850: บุคคลนิรนามที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019

หนังสือ

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: การแยกวิเคราะห์ไฟล์ iBooks ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: มีปัญหาการตรวจสอบในการจัดการ symlinks ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบของ symlinks ให้ดียิ่งขึ้น

CVE-2019-8789: Gertjan Franken จาก imec-DistriNet, KU Leuven

รายชื่อ

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: การประมวลข้อมูลติดต่อที่ประสงค์ร้ายอาจนำไปสู่การปลอมแปลง UI ได้

คำอธิบาย: ปัญหาอินเทอร์เฟซผู้ใช้ไม่สอดคล้องได้รับการแก้ไขแล้วผ่านการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2017-7152: Oliver Paukstadt จาก Thinking Objects GmbH (to.com)

CoreAudio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การเล่นไฟล์เสียงที่ประสงค์ร้ายอาจทำให้มีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8592: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 6 พฤศจิกายน 2019

CoreAudio

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การประมวลผลภาพยนตร์ที่ออกแบบมาเพื่อประสงค์ร้ายอาจเปิดเผยหน่วยความจำของการประมวลผล

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8705: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

CoreMedia

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การประมวลผลคอนเทนต์เว็บที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้มีการใช้โค้ดโดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8825: พบโดย GWP-ASan ใน Google Chrome

เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

CUPS

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถทำให้ข้อมูลสำคัญของผู้ใช้รั่วไหลได้

คำอธิบาย: ปัญหาการตรวจสอบอินพุตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8736: Pawel Gocyla จาก ING Tech Poland (ingtechpoland.com)

CUPS

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: การประมวลผลสตริงที่สร้างขึ้นโดยมีประสงค์ร้ายอาจนำไปสู่การล่มของฮีพ

คำอธิบาย: ปัญหาการใช้หน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8767: Stephen Zeisberg

CUPS

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้

คำอธิบาย: ปัญหาการปฏิเสธบริการได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8737: Pawel Gocyla จาก ING Tech Poland (ingtechpoland.com)

การกักกันไฟล์

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถยกระดับสิทธิ์ได้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการนำรหัสที่มีความเสี่ยงออก

CVE-2019-8509: CodeColorist จาก Ant-Financial LightYear Labs

กิจกรรมระบบไฟล์

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8798: ABC Research s.r.o. ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

Foundation

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเป็นเหตุให้แอพพลิเคชั่นหยุดโดยไม่คาดหมาย หรือมีการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8746: Natalie Silvanovich และ Samuel Groß จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

กราฟิก

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: การประมวลผล Shader ที่ประสงค์ร้ายอาจส่งผลให้แอพพลิเคชั่นหยุดโดยไม่คาดคิดหรือเกิดการใช้รหัสโดยอำเภอใจได้

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2018-12152: Piotr Bania จาก Cisco Talos

CVE-2018-12153: Piotr Bania จาก Cisco Talos

CVE-2018-12154: Piotr Bania จาก Cisco Talos

ไดรเวอร์กราฟิก

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8784: Vasiliy Vasilyev และ Ilya Finogeev จาก Webinar, LLC

ไดรเวอร์กราฟิกของ Intel

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8807: Yu Wang จาก Didi Research America

IOGraphics

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถทำให้ระบบหยุดทำงานโดยไม่คาดคิดหรืออ่านหน่วยความจำเคอร์เนลได้

คำอธิบาย: ปัญหาการอ่านข้อมูลนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8759: สมาชิกรายอื่นจาก 360 Nirvan Team

iTunes

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: การเรียกใช้ตัวติดตั้ง iTunes ในไดเรกทอรีที่ไม่น่าเชื่อถืออาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: มีปัญหาเกี่ยวกับการโหลดคลังแบบไดนามิกในการตั้งค่า iTunes ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการค้นหาเส้นทางให้ดียิ่งขึ้น

CVE-2019-8801: Hou JingYi (@hjy79425575) จาก Qihoo 360 CERT

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

เคอร์เนล

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น

CVE-2019-8794: 08Tc3wBB ที่ทำงานร่วมกับ SSD Secure Disclosure

เคอร์เนล

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8717: Jann Horn จาก Google Project Zero

CVE-2019-8786: Wen Xu จาก Georgia Tech, Microsoft Offensive Security Research Intern

อัพเดทรายการเมื่อวันที่ 18 พฤศจิกายน 2019 และวันที่ 11 กุมภาพันธ์ 2020

เคอร์เนล

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายอาจสามารถกำหนดเค้าโครงหน่วยความจำเคอร์เนลได้

คำอธิบาย: มีปัญหาหน่วยความจำเสียหายในการจัดการแพ็คเก็ต IPv6 ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8744: Zhuo Liang จาก Qihoo 360 Vulcan Team

เคอร์เนล

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ

คำอธิบาย: ช่องโหว่ด้านหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการล็อคให้ดียิ่งขึ้น

CVE-2019-8829: Jann Horn จาก Google Project Zero

เพิ่มรายการเมื่อวันที่ 6 พฤศจิกายน 2019

libxml2

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: มีปัญหาหลายประการใน libxml2

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8749: พบโดย OSS-Fuzz

CVE-2019-8756: พบโดย OSS-Fuzz

libxslt

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: มีปัญหาหลายประการใน libxslt

คำอธิบาย: ปัญหาหลายประการเกี่ยวกับความเสียหายของหน่วยความจำได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น

CVE-2019-8750: พบโดย OSS-Fuzz

manpages

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจสามารถได้รับสิทธิ์ในระดับราก

คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงตรรกะให้ดียิ่งขึ้น

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: ผู้โจมตีอาจสามารถถอนคอนเทนต์ของ PDF ที่เข้ารหัสได้

คำอธิบาย: มีปัญหาในการจัดการลิงก์ใน PDF ที่เข้ารหัส ปัญหานี้ได้รับการแก้ไขแล้วด้วยการเพิ่มการแจ้งการยืนยัน

CVE-2019-8772: Jens Müller จาก Ruhr University Bochum, Fabian Ising จาก FH Münster University of Applied Sciences, Vladislav Mladenov จาก Ruhr University Bochum, Christian Mainka จาก Ruhr University Bochum, Sebastian Schinzel จาก FH Münster University of Applied Sciences และ Jörg Schwenk จาก Ruhr University Bochum

เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

PluginKit

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: ผู้ใช้เฉพาะเครื่องอาจสามารถตรวจสอบหาการมีอยู่ของไฟล์ Arbitrary ได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น

CVE-2019-8708: นักวิจัยนิรนาม

PluginKit

มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8715: นักวิจัยนิรนาม

เซิร์ฟเวอร์การแชร์หน้าจอ

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: ผู้ใช้ที่แชร์หน้าจออาจไม่สามารถสิ้นสุดการแชร์หน้าจอได้

คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-8858: Saul van der Bijl จาก Saul’s Place Counseling B.V.

เพิ่มรายการเมื่อวันที่ 18 ธันวาคม 2019

ส่วนขยายของระบบ

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: มีปัญหาเกี่ยวกับการตรวจสอบในการตรวจสอบยืนยันสิทธิ์ ปัญหาได้รับการแก้ไขแล้วโดยการปรับปรุงการตรวจสอบกระบวนการให้ดียิ่งขึ้น

CVE-2019-8805: Scott Knight (@sdotknight) จาก VMware Carbon Black TAU

UIFoundation

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: เอกสาร HTML ที่ประสงค์ร้ายอาจแสดง iframe ที่มีข้อมูลผู้ใช้ที่ละเอียดอ่อนได้

คำอธิบาย: มีปัญหาข้ามต้นทางในองค์ประกอบ "iframe" ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการติดตามต้นทางในการรักษาความปลอดภัยให้ดียิ่งขึ้น

CVE-2019-8754: Renee Trisberg จาก SpectX

เพิ่มรายการเมื่อวันที่ 24 กุมภาพันธ์ 2020

UIFoundation

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การประมวลผลไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการใช้รหัสโดยอำเภอใจ

คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น

CVE-2019-8745: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

UIFoundation

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ

คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น

CVE-2019-8831: riusksk จาก VulWar Corp ที่ทำงานร่วมกับ Zero Day Initiative ของ Trend Micro

เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

UIFoundation

มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

ผลกระทบ: การแยกวิเคราะห์ไฟล์ข้อความที่ออกแบบมาเพื่อประสงค์ร้าย อาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้

คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น

CVE-2019-8761: Paulos Yibelo จาก Limehats, Renee Trisberg จาก SpectX

อัพเดทรายการเมื่อวันที่ 10 สิงหาคม 2020

Wi-Fi

มีให้สำหรับ: macOS Catalina 10.15

ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจสามารถดูการรับส่งข้อมูลผ่านเครือข่ายได้เล็กน้อย

คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น

CVE-2019-15126: Milos Cermak ที่ ESET

เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

คำขอบคุณพิเศษ

CFNetwork

เราขอขอบคุณสำหรับความช่วยเหลือจาก Lily Chen จาก Google

ค้นหาของฉัน

เราขอขอบคุณสำหรับความช่วยเหลือจาก Amr Elseehy

เพิ่มรายการเมื่อวันที่ 28 กรกฎาคม 2020

เคอร์เนล

เราขอขอบคุณสำหรับความช่วยเหลือจาก Brandon Azad จาก Google Project Zero, Daniel Roethlisberger จาก Swisscom CSIRT, Jann Horn จาก Google Project Zero

อัพเดทรายการเมื่อวันที่ 6 พฤศจิกายน 2019

libresolv

เราขอขอบคุณสำหรับความช่วยเหลือจาก enh จาก Google

การรับรองความถูกต้องในระบบ

เราขอขอบคุณสำหรับความช่วยเหลือจาก Ryan Lopopolo

เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

mDNSResponder

เราขอขอบคุณสำหรับความช่วยเหลือจาก Gregor Lang จาก e.solutions GmbH

เพิ่มรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020

Postfix

เราขอขอบคุณสำหรับความช่วยเหลือจาก Chris Barker จาก Puppet

Python

เราขอขอบคุณสำหรับความช่วยเหลือจากนักวิจัยนิรนาม

VPN

เราขอขอบคุณสำหรับความช่วยเหลือจาก Royce Gawron จาก Second Son Consulting, Inc.

การให้ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ Apple ไม่ได้ควบคุมหรือทดสอบไม่ถือเป็นการแนะนำหรือการรับรองใดๆ Apple จะไม่รับผิดชอบในส่วนที่เกี่ยวข้องกับการเลือก ประสิทธิภาพการทำงาน หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น โปรดติดต่อผู้จำหน่ายหากต้องการข้อมูลเพิ่มเติม

วันที่เผยแพร่: