macOS Mojave 10.14.5, Güvenlik Güncellemesi 2019-003 High Sierra, Güvenlik Güncellemesi 2019-003 Sierra'nın güvenlik içeriği hakkında
Bu belgede macOS Mojave 10.14.5, Güvenlik Güncellemesi 2019-003 High Sierra, Güvenlik Güncellemesi 2019-003 Sierra'nın güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
macOS Mojave 10.14.5, Güvenlik Güncellemesi 2019-003 High Sierra, Güvenlik Güncellemesi 2019-003 Sierra
Erişilebilirlik Çerçevesi
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2019-8603: Phoenhex ve qwerty (@_niklasb, @qwertyoruiopz, @bkth_) (Trend Micro'nun Zero Day Initiative programıyla)
AMD
İlgili sürüm: macOS Mojave 10.14.4
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8635: TrendMicro Mobile Security Research Team'den Lilang Wu ve Moony Li (Trend Micro'nun Zero Day Initiative programıyla)
Uygulama Güvenlik Duvarı
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8590: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)
Arşiv İzlencesi
İlgili sürüm: macOS Mojave 10.14.4
Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8640: Fitbit Ürün Güvenliği ekibinden Ash Fox
Bluetooth
İlgili sürüm: macOS Mojave 10.14.4
Etki: FIDO Güvenlik Anahtarlarına ait bir Bluetooth Düşük Enerji (BLE) sürümünün Bluetooth eşleme protokollerindeki hatalı konfigürasyon nedeniyle, fiziksel olarak yakın bir yerde bulunan bir saldırgan, eşleme sırasında Bluetooth trafiğini ele geçirebilir
Açıklama: Güvenli olmayan Bluetooth bağlantılarına sahip aksesuarlar etkisizleştirilerek bu sorun giderildi. Google'ın Titan Güvenlik Anahtarının Bluetooth Düşük Enerji (BLE) sürümünü kullanan müşteriler gerekli işlemleri yapmak için Android'in Haziran Bültenlerini ve Google'ın önerilerini gözden geçirmelidir.
CVE-2019-2102: Microsoft Corp. şirketinden Matt Beaver ve Erik Peterson
CoreAudio
İlgili sürümler: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Hata işleme iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8592: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
CoreAudio
İlgili sürüm: macOS Mojave 10.14.4
Etki: Kötü amaçla oluşturulmuş bir film dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8585: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
CoreText
İlgili sürüm: macOS Mojave 10.14.4
Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8582: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
DesktopServices
İlgili sürüm: macOS Mojave 10.14.4
Etki: Kötü amaçlı bir uygulama Gatekeeper denetimlerini atlayabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2019-8589: AV-Comparatives'ten Andreas Clementi, Stefan Haselwanter ve Peter Stelzhammer
Disk Görüntüleri
İlgili sürümler: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2019-8560: Bauman Moskova Devlet Teknik Üniversitesinden Nikita Pupyshev
EFI
İlgili sürüm: macOS Mojave 10.14.4
Etki: Bir kullanıcının oturumu beklenmedik bir şekilde başka bir kullanıcının hesabında açılabilir
Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.
CVE-2019-8634: Jenny Sprenger ve Maik Hoepfel
Intel Grafik Sürücüsü
İlgili sürüm: macOS Mojave 10.14.4
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8616: Trend Micro Mobile Security Research Team'den Lilang Wu ve Moony Li (Trend Micro'nun Zero Day Initiative programıyla)
Intel Grafik Sürücüsü
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2019-8629: Solita Oy'dan Arash Tohidi
IOAcceleratorFamily
İlgili sürüm: macOS High Sierra 10.13.6
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2018-4456: Cisco Talos'tan Tyler Bohan
IOKit
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Etki: Yerel bir kullanıcı imzalanmamış çekirdek uzantıları yükleyebilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2019-8606: Phoenhex ve qwerty (@_niklasb, @qwertyoruiopz, @bkth_) (Trend Micro'nun Zero Day Initiative programıyla)
Çekirdek
İlgili sürümler: macOS Mojave 10.14.4, macOS High Sierra 10.13.6
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2019-8633: Qihoo 360 Vulcan Team'den Zhuo Liang
Çekirdek
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8525: Qihoo 360 Nirvan Team'den Zhuo Liang ve shrek_wzw
Çekirdek
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir
Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2019-8547: derrek (@derrekr6)
Çekirdek
İlgili sürüm: macOS Mojave 10.14.4
Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8576: Google Project Zero'dan Brandon Azad, LINE Security Team'den Junho Jang ve Hanul Choi
Çekirdek
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2019-8591: Ned Williamson (Google Project Zero ile)
Mesajlar
İlgili sürüm: macOS Mojave 10.14.4
Etki: Uzaktaki bir saldırgan, sistemde servis reddine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8573: Google Project Zero'dan natashenka
Mesajlar
İlgili sürüm: macOS Mojave 10.14.4
Etki: Bir iMessage yazışmasından kaldırılan kullanıcılar, durumu değiştirmeye devam edebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8631: Dynastic'ten Jamie Bishop
Mikrokod
İlgili sürüm: macOS Mojave 10.14.4
Etki: Spekülatif yürütme özelliğini kullanan mikroişlemcilerle çalışan sistemlerdeki yükleme bağlantı noktaları, doldurma arabellekleri ve depolama arabellekleri, yerel kullanıcı erişimi olan bir saldırganın yan kanal yoluyla bilgileri açığa çıkarmasına izin verebilir
Açıklama: Mikrokod güncellenerek ve OS planlayıcısı, sistemi tarayıcıda çalışan web içeriğinden ayıracak şekilde değiştirilerek, bilgilerin açığa çıkmasına yönelik birden fazla sorun kısmen giderildi. Bu sorunları tamamen ortadan kaldırmak istiyorsanız tüm işlemler için saptanmış olarak hyper threading işlevini etkisizleştirip mikrokod tabanlı önlemlerin kullanılmasını sağlayan ek önlemleri uygulamayı seçebilirsiniz. Önlemlerin ayrıntılarını https://support.apple.com/tr-tr/HT210107 adresinde bulabilirsiniz.
CVE-2018-12126: Intel'den Ke Sun, Henrique Kawakami, Kekai Hu ve Rodrigo Branco; Qihoo 360 CERT'ten Lei Shi; Marina Minkin; Michigan Üniversitesinden Daniel Genkin ve Adelaide Üniversitesinden Yuval Yarom
CVE-2018-12127: Microsoft Windows Platform Security Team'den Brandon Falk ve Intel'den Ke Sun, Henrique Kawakami, Kekai Hu ve Rodrigo Branco
CVE-2018-12130: Microsoft Research'ten Giorgi Maisuradze; Intel'den Ke Sun, Henrique Kawakami, Kekai Hu ve Rodrigo Branco; Graz Teknoloji Üniversitesinden Moritz Lipp, Michael Schwarz ve Daniel Gruss; VU Amsterdam'daki VUSec grubundan Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos ve Cristiano Giuffrida; Volodymyr Pikhur ve BitDefender'dan Dan Horea Lutas
CVE-2019-11091: Intel'den Ke Sun, Henrique Kawakami, Kekai Hu ve Rodrigo Branco; Graz Teknoloji Üniversitesinden Moritz Lipp, Michael Schwarz ve Daniel Gruss
Güvenlik
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8604: Fluoroacetate (Trend Micro'nun Zero Day Initiative programıyla)
SQLite
İlgili sürüm: macOS Mojave 10.14.4
Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8577: Checkpoint Research'ten Omer Gull
SQLite
İlgili sürüm: macOS Mojave 10.14.4
Etki: Kötü amaçlarla oluşturulmuş bir SQL sorgusu rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8600: Checkpoint Research'ten Omer Gull
SQLite
İlgili sürüm: macOS Mojave 10.14.4
Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8598: Checkpoint Research'ten Omer Gull
SQLite
İlgili sürüm: macOS Mojave 10.14.4
Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir
Açıklama: Savunmasız kod kaldırılarak bir bellek bozulması sorunu giderildi.
CVE-2019-8602: Checkpoint Research'ten Omer Gull
StreamingZip
İlgili sürüm: macOS Mojave 10.14.4
Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
sysdiagnose
İlgili sürümler: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: İzin mantığı iyileştirilerek bu sorun giderildi.
CVE-2019-8574: Seekintoo'dan (@seekintoo) Dayton Pidhirney (@_watbulb)
Touch Bar Desteği
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8569: Viktor Oreshkin (@stek29)
WebKit
İlgili sürüm: macOS Mojave 10.14.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.
CVE-2019-6237: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla), Qihoo 360 Vulcan Team'den Liu Long
CVE-2019-8571: 01 (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8583: Tencent Xuanwu Lab'den sakura, Tencent Keen Lab'den jessica (@babyjess1ca_) ve Venustech ADLab'den dwfault
CVE-2019-8584: MWR Labs'ten G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8586: anonim bir araştırmacı
CVE-2019-8587: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8594: KAIST Web Security & Privacy Lab'den Suyoung Lee ile Sooel Son ve KAIST SoftSec Lab'den HyungSeok Han ile Sang Kil Cha
CVE-2019-8595: MWR Labs'ten G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8596: Georgia Tech'teki SSLab'den Wen Xu
CVE-2019-8597: 01 (Trend Micro Zero Day Initiative programıyla)
CVE-2019-8601: Fluoroacetate (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8608: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8609: SSLab, Georgia Tech'ten Wen Xu
CVE-2019-8610: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8611: Google Project Zero'dan Samuel Groß
CVE-2019-8615: MWR Labs'ten G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-8619: Georgia Tech SSLab'den Wen Xu ve Chaitin Security Research Lab'den Hanqing Zhao
CVE-2019-8622: Google Project Zero'dan Samuel Groß
CVE-2019-8623: Google Project Zero'dan Samuel Groß
CVE-2019-8628: Georgia Tech SSLab'den Wen Xu ve Chaitin Security Research Lab'den Hanqing Zhao
WebKit
İlgili sürüm: macOS Mojave 10.14.4
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8607: LINE Security Team'den Junho Jang ve Hanul Choi
Wi-Fi
İlgili sürüm: macOS Mojave 10.14.4
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, sürücü durumunu değiştirebilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8612: Darmstadt Teknik Üniversitesindeki Secure Mobile Networking Lab'den Milan Stute
Ek teşekkür listesi
CoreAudio
VulWar Corp şirketinden riusksk'e (Trend Micro'nun Zero Day Initiative programıyla) yardımıyla teşekkür ederiz.
CoreFoundation
m4bln, Xiangqian Zhang, Huiming Liu (Tencent's Xuanwu Lab), Vozzie ve Rami'ye yardımları için teşekkür ederiz.
Çekirdek
Denis Kopyrin'e yardımı için teşekkür ederiz.
PackageKit
Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.
Safari
Bir Turnitin şirketi olan Gradescope'tan Michael Ball'a yardımı için teşekkür ederiz.
Sistem Tercihleri
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.