macOS Mojave 10.14.3, Güvenlik Güncellemesi 2019-001 High Sierra, Güvenlik Güncellemesi 2019-001 Sierra'nın güvenlik içeriği hakkında
Bu belgede macOS Mojave 10.14.3, Güvenlik Güncellemesi 2019-001 High Sierra, Güvenlik Güncellemesi 2019-001 Sierra'nın güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
macOS Mojave 10.14.3, Güvenlik Güncellemesi 2019-001 High Sierra, Güvenlik Güncellemesi 2019-001 Sierra
AppleKeyStore
İlgili sürüm: macOS Mojave 10.14.2
Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-6235: Brandon Azad
Bluetooth
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-6200: anonim bir araştırmacı
Core Media
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-6202: Fluoroacetate (Trend Micro'nun Zero Day Initiative programıyla)
CVE-2019-6221: Fluoroacetate (Trend Micro'nun Zero Day Initiative programıyla)
CoreAnimation
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-6231: Qihoo 360 Nirvan Team'den Zhuo Liang
CoreAnimation
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Kötü amaçlı bir uygulama, korumalı alanını ihlal edebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2019-6230: Qihoo 360 Nirvan Team'den Proteas, Shrek_wzw ve Zhuo Liang
FaceTime
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Uzaktaki bir saldırgan, FaceTime araması başlatarak rastgele kod yürütülmesine neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2019-6224: Google Project Zero'dan natashenka
Hypervisor
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2018-4467: VMware, Inc. Sanal Makine İzleme Grubu'ndan Martim Carbone, David Vernet, Sam Scalise ve Fred Jacobs
Intel Grafik Sürücüsü
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.
CVE-2018-4452: Qihoo 360 Vulcan Team'den Liu Long
IOKit
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Kötü amaçlı bir uygulama, korumalı alanını ihlal edebilir
Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.
CVE-2019-6214: Google Project Zero'dan Ian Beer
Çekirdek
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-6225: Google Project Zero'dan Brandon Azad, Qihoo 360 Vulcan Team'den Qixun Zhao
Çekirdek
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-6210: Google'dan Ned Williamson
Çekirdek
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Kötü amaçlı bir uygulama, işlemler arasında paylaşılan bellekte beklenmeyen değişikliklere neden olabilir
Açıklama: Kilit durumu denetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-6205: Google Project Zero'dan Ian Beer
Çekirdek
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2019-6213: Google Project Zero'dan Ian Beer
Çekirdek
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir
Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2019-6209: Google Project Zero'dan Brandon Azad
Çekirdek
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Kötü amaçlı bir uygulama, işlemler arasında paylaşılan bellekte beklenmeyen değişikliklere neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.
CVE-2019-6208: Google Project Zero'dan Jann Horn
libxpc
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Kötü amaçlı bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-6218: Google Project Zero'dan Ian Beer
Doğal Dil İşleme
İlgili sürüm: macOS Mojave 10.14.2
Etki: Kötü amaçlarla oluşturulmuş bir iletinin işlenmesi servis reddine yol açabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.
CVE-2019-6219: Authier Thomas
QuartzCore
İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.2
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-6220: Chaitin Security Research Lab'den Yufeng Ruan
SQLite
İlgili sürüm: macOS Mojave 10.14.2
Etki: Kötü amaçlarla oluşturulmuş bir SQL sorgusu rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2018-20346: Tencent Blade Team
CVE-2018-20505: Tencent Blade Team
CVE-2018-20506: Tencent Blade Team
WebRTC
İlgili sürüm: macOS Mojave 10.14.2
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-6211: MWR Labs'den (@mwrlabs) Georgi Geshev (@munmap), Fabi Beterke (@pwnfl4k3s) ve Rob Miller (@trotmaster99) (Trend Micro'nun Zero Day Initiative programıyla)
Ek teşekkür listesi
apache_mod_php
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
Çekirdek
Swisscom CSIRT'ten Daniel Roethlisberger'a yardımları için teşekkür ederiz.
LibreSSL
Viktor Szakats'a yardımları için teşekkür ederiz.
mDNSResponder
Riverside'daki California Üniversitesi (UCR) ve Taibah Üniversitesi'nden (TU) Fatemah Alharbi, LinkSure Network'ten Jie Chang, Northeastern Üniversitesi'nden Yuchen Zhou, Twin City'deki Minnesota Üniversitesi'nden Feng Qian, Riverside'daki California Üniversitesi'nden (UCR) Zhiyun Qian ve Riverside'daki California Üniversitesi'nden (UCR) Nael Abu-Ghazaleh'e yardımları için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.