macOS Mojave 10.14.6, Güvenlik Güncellemesi 2019-004 High Sierra, Güvenlik Güncellemesi 2019-004 Sierra'nın güvenlik içeriği hakkında

Bu belgede macOS Mojave 10.14.6, Güvenlik Güncellemesi 2019-004 High Sierra, Güvenlik Güncellemesi 2019-004 Sierra'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

macOS Mojave 10.14.6, Güvenlik Güncellemesi 2019-004 High Sierra, Güvenlik Güncellemesi 2019-004 Sierra

AppleGraphicsControl

İlgili sürüm: macOS Mojave 10.14.5

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2019-8693: Solita'dan Arash Tohidi

autofs

İlgili sürümler: macOS Sierra 10.12.6, macOS Mojave 10.14.5, macOS High Sierra 10.13.6

Etki: Bağlı bir NFS'de yer alan ve bir saldırgan tarafından kontrol edilen uç noktaya sembolik bağlantı içeren bir ZIP dosyasını ayıklama işlemi Gatekeeper'ı atlayabilir

Açıklama: Bir ağ paylaşımı aracılığıyla bağlanan dosyalar üzerinde Gatekeeper tarafından uygulanan ek denetimlerle bu sorun giderildi.

CVE-2019-8656: Filippo Cavallarin

Bluetooth

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-19860

Bluetooth

İlgili sürümler: macOS Sierra 10.12.6, macOS Mojave 10.14.5, macOS High Sierra 10.13.6

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, Bluetooth trafiğini ele geçirebilir (Key Negotiation of Bluetooth - KNOB)

Açıklama: Bluetooth'ta bir giriş doğrulama sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2019-9506: SUTD'den (Singapur) Daniele Antonioli, CISPA'dan (Almanya) Dr. Nils Ole Tippenhauer ve Oxford Üniversitesinden (İngiltere) Prof. Kasper Rasmussen

Bu sorunla ilgili olarak yapılan değişiklikler CVE-2020-10135 numaralı sorunu hafifletir.

Karbon Çekirdek

İlgili sürüm: macOS Mojave 10.14.5

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Bellek yönetimi iyileştirilerek, boşaltılan belleğin kullanılmasıyla ilgili bir sorun giderildi.

CVE-2019-8661: Google Project Zero'dan natashenka

Core Data

İlgili sürüm: macOS Mojave 10.14.5

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8646: Google Project Zero'dan natashenka

Core Data

İlgili sürüm: macOS Mojave 10.14.5

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8660: Google Project Zero'dan Samuel Groß ve natashenka

CUPS

İlgili sürümler: macOS Sierra 10.12.6, macOS Mojave 10.14.5, macOS High Sierra 10.13.6

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2019-8675: Security Research Labs'den (srlabs.de) Stephan Zeisberg (github.com/stze)

CVE-2019-8696: Security Research Labs'den (srlabs.de) Stephan Zeisberg (github.com/stze)

Disk Yönetimi

İlgili sürüm: macOS Mojave 10.14.5

Etki: Kötü amaçlı bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2019-8539: ccpwd (Trend Micro'nun Zero Day Initiative programıyla)

Disk Yönetimi

İlgili sürüm: macOS Mojave 10.14.5

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8697: ccpwd (Trend Micro'nun Zero Day Initiative programıyla)

FaceTime

İlgili sürüm: macOS Mojave 10.14.5

Etki: Uzaktaki bir saldırgan rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8648: Team Pangu'dan Tao Huang ve Tielei Wang

Found in Apps

İlgili sürüm: macOS Mojave 10.14.5

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2019-8663: Google Project Zero'dan natashenka

Game Center

İlgili sürüm: macOS Mojave 10.14.5

Etki: Yerel bir kullanıcı kalıcı bir hesap tanımlayıcıyı okuyabilir

Açıklama: Yeni bir yetki ile bu sorun giderildi.

CVE-2019-8702: Alibaba Inc. şirketinden Min (Spark) Zheng ve Xiaolong Bai

Grafik Çizer

İlgili sürüm: macOS Mojave 10.14.5

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8695: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)

Grafik Sürücüleri

İlgili sürümler: macOS Mojave 10.14.5, macOS High Sierra 10.13.6

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2019-8691: Aleksandr Tarasikov (@astarasikov), Solita'dan Arash Tohidi, Trend Micro Mobile Security Research Team'den Lilang Wu ve Moony Li (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8692: Trend Micro Mobile Security Research Team'den Lilang Wu ve Moony Li (Trend Micro'nun Zero Day Initiative programıyla)

Heimdal

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5

Etki: Samba'da, saldırganların servisler arasındaki iletişimi ele geçirerek yetkisiz işlemler gerçekleştirmesine izin verebilen bir sorun vardı

Açıklama: Yetkisiz işlemlerin önlenmesine yönelik denetimler iyileştirilerek bu sorun giderildi.

CVE-2018-16860: Samba Ekibi ve Catalyst'ten Isaac Boukris ve Andrew Bartlett

IOAcceleratorFamily

İlgili sürüm: macOS Mojave 10.14.5

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8694: Solita'dan Arash Tohidi

libxslt

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5

Etki: Uzaktaki bir saldırgan hassas bilgileri görebilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek yığın taşması sorunu giderildi.

CVE-2019-13118: OSS-Fuzz tarafından bulundu

Göz At

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5

Etki: Bir saldırgan, güvenilir olmayan bir NSDictionary'yi seri durumdan çıkararak bir uygulamada boşaltılan belleğin kullanılmasını tetikleyebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2019-8662: Google Project Zero'dan natashenka ve Samuel Groß

Safari

İlgili sürüm: macOS Mojave 10.14.5

Etki: Kötü amaçlarla oluşturulmuş bir web sitesinin ziyaret edilmesi adres çubuğu sahteciliğine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2019-8670: Tsubasa FUJII (@reinforchu)

Güvenlik

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8697: ccpwd (Trend Micro'nun Zero Day Initiative programıyla)

sips

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8701: Qihoo 360 IceSword Lab'den Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) ve pjf

Siri

İlgili sürüm: macOS Mojave 10.14.5

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8646: Google Project Zero'dan natashenka

Time Machine

İlgili sürüm: macOS Mojave 10.14.5

Etki: Time Machine yedeklemesinin şifreleme durumu yanlış olabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2019-8667: cyber:con GmbH şirketinden Roland Kletzing

UIFoundation

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5

Etki: Kötü amaçlarla oluşturulmuş bir Office belgesinin ayrıştırılması, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8657: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)

WebKit

İlgili sürüm: macOS Mojave 10.14.5

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Belge yüklemelerinin işlenmesinde bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2019-8690: Google Project Zero'dan Sergei Glazunov

WebKit

İlgili sürüm: macOS Mojave 10.14.5

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Eşzamanlı sayfa yüklemelerinin işlenmesinde bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2019-8649: Google Project Zero'dan Sergei Glazunov

WebKit

İlgili sürüm: macOS Mojave 10.14.5

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi siteler arası evrensel betik kullanımına neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2019-8658: akayn (Trend Micro'nun Zero Day Initiative programıyla)

WebKit

İlgili sürüm: macOS Mojave 10.14.5

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2019-8644: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8666: Qihoo 360 Technology Co. Ltd. şirketinin Chengdu Güvenlik Müdahale Merkezi'nden Zongming Wang (王宗明) ve Zhe Jin (金哲)

CVE-2019-8669: akayn (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8671: Apple

CVE-2019-8672: Google Project Zero'dan Samuel Groß

CVE-2019-8673: Georgia Tech'teki SSLab'den Soyeon Park ve Wen Xu

CVE-2019-8676: Georgia Tech'teki SSLab'den Soyeon Park ve Wen Xu

CVE-2019-8677: Tencent KeenLab'den Jihui Lu

CVE-2019-8678: anonim bir araştırmacı, Knownsec'ten Anthony Lai (@darkfloyd1014), VXRL'den Ken Wong (@wwkenwong), Theori'den Jeonghoon Shin (@singi21a), VX Browser Exploitation Group'tan Johnny Yu (@straight_blast), VX Browser Exploitation Group'tan Chris Chan (@dr4g0nfl4me), VX Browser Exploitation Group'tan Phil Mok (@shadyhamsters), Knownsec'ten Alan Ho (@alan_h0), VX Browser Exploitation'dan Byron Wai

CVE-2019-8679: Tencent KeenLab'den Jihui Lu

CVE-2019-8680: Tencent KeenLab'den Jihui Lu

CVE-2019-8681: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8683: Google Project Zero'dan lokihardt

CVE-2019-8684: Google Project Zero'dan lokihardt

CVE-2019-8685: akayn, Venustech ADLab ile çalışan Dongzhuo Zhao, VXRL'den Ken Wong (@wwkenwong), VXRL'den Anthony Lai (@darkfloyd1014) ve VXRL'den Eric Lung (@Khlung1)

CVE-2019-8686: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8687: Apple

CVE-2019-8688: Georgia Tech'teki SSLab'den Insu Yun

CVE-2019-8689: Google Project Zero'dan lokihardt

Ek teşekkür listesi

Derslik

Underpassapp.com'dan Jeff Johnson'a yardımı için teşekkür ederiz.

Game Center

Alibaba Inc. şirketinden Min (Spark) Zheng ve Xiaolong Bai'ye yardımları için teşekkür ederiz.