เกี่ยวกับรายการอัพเดทความปลอดภัยของ Apple
เพื่อเป็นการปกป้องลูกค้าของเรา Apple จะไม่เปิดเผย อภิปราย หรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการตรวจสอบ และมีแพตช์หรือมีการเปิดตัวออกมาแล้ว รายการที่เปิดตัวล่าสุดจะแสดงอยู่ในหน้ารายการอัพเดทความปลอดภัยของ Apple
เอกสารด้านความปลอดภัยของ Apple จะอ้างอิงช่องโหว่ต่างๆ ตาม CVE-ID หากทำได้
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับความปลอดภัย โปรดดูที่หน้าความปลอดภัยของผลิตภัณฑ์ Apple
macOS Catalina 10.15.2, รายการอัพเดทความปลอดภัย 2019-002 Mojave, รายการอัพเดทความปลอดภัย 2019-007 High Sierra
เปิดตัวเมื่อวันที่ 10 ธันวาคม 2019
ATS
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นที่ประสงค์ร้ายอาจเข้าถึงไฟล์ที่มีการจำกัดสิทธิ์ได้
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจำกัดให้ดียิ่งขึ้น
CVE-2019-8837: Csaba Fitzl (@theevilbit)
อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019
บลูทูธ
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถอ่านหน่วยความจำที่ถูกจำกัดไว้ได้
คำอธิบาย: ปัญหาการตรวจสอบได้รับการแก้ไขแล้วด้วยการปรับปรุงการดูแลอินพุตให้ดียิ่งขึ้น
CVE-2019-8853: Jianjun Dai จาก Qihoo 360 Alpha Lab
CallKit
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: สายที่โทรด้วย Siri อาจเริ่มโทรโดยใช้แผนบริการเซลลูลาร์ที่ไม่ถูกต้องเมื่ออุปกรณ์มีแผนที่กำลังเปิดใช้งานอยู่สองแผน
คำอธิบาย: มีปัญหา API ในการจัดการกับสายโทรออกที่เริ่มโทรด้วย Siri ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8856: Fabrice TERRANCLE จาก TERRANCLE SARL
CFNetwork Proxies
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถรับสิทธิ์ในระดับที่สูงขึ้นได้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบให้ดียิ่งขึ้น
CVE-2019-8848: Zhuo Liang จาก Qihoo 360 Vulcan Team
อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019
CFNetwork
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: ผู้โจมตีในตำแหน่งเครือข่ายที่มีสิทธิ์อาจสามารถหลีกเลี่ยง HSTS สำหรับโดเมนระดับบนสุดเฉพาะที่มีจำนวนจำกัดซึ่งก่อนหน้านี้ไม่อยู่ในรายการโหลดล่วงหน้า HSTS ได้
คำอธิบาย: ปัญหาในการกำหนดค่าได้รับการแก้ไขแล้วด้วยข้อจำกัดเพิ่มเติม
CVE-2019-8834: Rob Sayre (@sayrer)
เพิ่มรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020
CUPS
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: ในการกำหนดค่าบางอย่าง ผู้โจมตีระยะไกลอาจสามารถส่งงานพิมพ์โดยอำเภอใจ
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2019-8842: Niky1235 จาก China Mobile
อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019
CUPS
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: ผู้โจมตีในตำแหน่งที่มีสิทธิ์อาจสามารถดำเนินการโจมตีโดยการปฏิเสธบริการได้
คำอธิบาย: ปัญหาบัฟเฟอร์ล้นได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบขอบเขตให้ดียิ่งขึ้น
CVE-2019-8839: Stephan Zeisberg จาก Security Research Labs
อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019
FaceTime
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: การประมวลผลวิดีโอที่ประสงค์ร้ายผ่าน FaceTime อาจทำให้มีการใช้รหัสโดยอำเภอใจ
คำอธิบาย: ปัญหาการอ่านนอกขอบเขตได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบอินพุตให้ดียิ่งขึ้น
CVE-2019-8830: Natalie Silvanovich จาก Google Project Zero
อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019
IOGraphics
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: Mac อาจไม่ล็อคทันทีที่กลับมาทำงานอีกครั้ง
คำอธิบาย: ปัญหาตรรกะได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-8851: Vladik Khononov จาก DoiT International
เพิ่มรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020
เคอร์เนล
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วโดยลบรหัสที่มีความเสี่ยง
CVE-2019-8833: Ian Beer จาก Google Project Zero
อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019
เคอร์เนล
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์เคอร์เนลได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8828: Cim Stordal จาก Cognite
CVE-2019-8838: Dr Silvio Cesare จาก InfoSect
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) จาก WaCai
libexpat
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: การแยกวิเคราะห์ไฟล์ XML ที่ออกแบบมาเพื่อประสงค์ร้ายอาจทำให้เกิดการเปิดเผยข้อมูลของผู้ใช้
คำอธิบาย: ปัญหานี้ได้รับการแก้ไขแล้วโดยการอัพเดท Expat ให้เป็นเวอร์ชั่น 2.2.8
CVE-2019-15903: Joonun Jang
อัพเดทรายการเมื่อวันที่ 18 ธันวาคม 2019
หมายเหตุ
มีให้สำหรับ: macOS Catalina 10.15
ผลกระทบ: ผู้โจมตีระยะไกลอาจสามารถเขียนทับไฟล์ที่มีอยู่ได้
คำอธิบาย: ปัญหาการแยกวิเคราะห์ที่เกิดขึ้นในการจัดการกับพาธไดเรกทอรีได้รับการแก้ไขแล้วด้วยการปรับปรุงการตรวจสอบพาธให้ดียิ่งขึ้น
CVE-2020-9782: Allison Husain จาก UC Berkeley
เพิ่มรายการเมื่อวันที่ 4 เมษายน 2020
OpenLDAP
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: มีปัญหาจำนวนมากใน OpenLDAP
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็น OpenLDAP เวอร์ชั่น 2.4.28
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
อัพเดทรายการเมื่อวันที่ 3 กุมภาพันธ์ 2020
ความปลอดภัย
มีให้สำหรับ: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
ผลกระทบ: แอพพลิเคชั่นอาจสามารถใช้โค้ดที่มีสิทธิ์ในระดับระบบได้โดยอำเภอใจ
คำอธิบาย: ปัญหาหน่วยความจำเสียหายได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการหน่วยความจำให้ดียิ่งขึ้น
CVE-2019-8832: Insu Yun จาก SSLab ที่ Georgia Tech
tcpdump
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
ผลกระทบ: มีปัญหาจำนวนมากใน tcpdump
คำอธิบาย: ปัญหาจำนวนมากได้รับการแก้ไขแล้วโดยการอัพเดทเป็น tcpdump เวอร์ชั่น 4.9.3 และ libpcap เวอร์ชั่น 1.9.1
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
อัพเดทรายการเมื่อวันที่ 11 กุมภาพันธ์ 2020
Wi-Fi
มีให้สำหรับ: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
ผลกระทบ: ผู้โจมตีในช่วงสัญญาณ Wi-Fi อาจสามารถดูการรับส่งข้อมูลผ่านเครือข่ายได้เล็กน้อย
คำอธิบาย: มีปัญหาตรรกะในการจัดการการเปลี่ยนสถานะ ปัญหานี้ได้รับการแก้ไขแล้วด้วยการปรับปรุงการจัดการสถานะให้ดียิ่งขึ้น
CVE-2019-15126: Milos Cermak ที่ ESET
เพิ่มรายการเมื่อวันที่ 27 กุมภาพันธ์ 2020
คำขอบคุณพิเศษ
บัญชี
เราขอขอบคุณสำหรับความช่วยเหลือจาก Allison Husain จาก UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling จาก Loughborough University
อัพเดทรายการเมื่อวันที่ 4 เมษายน 2020
Core Data
เราขอขอบคุณสำหรับความช่วยเหลือจาก Natalie Silvanovich จาก Google Project Zero
Finder
เราขอขอบคุณสำหรับความช่วยเหลือจาก Csaba Fitzl (@theevilbit)
เพิ่มรายการเมื่อวันที่ 18 ธันวาคม 2019
เคอร์เนล
เราขอขอบคุณสำหรับความช่วยเหลือจาก Daniel Roethlisberger จาก Swisscom CSIRT
เพิ่มรายการเมื่อวันที่ 18 ธันวาคม 2019