macOS Mojave 10.14.5, Güvenlik Güncellemesi 2019-003 High Sierra, Güvenlik Güncellemesi 2019-003 Sierra'nın güvenlik içeriği hakkında

Bu belgede macOS Mojave 10.14.5, Güvenlik Güncellemesi 2019-003 High Sierra, Güvenlik Güncellemesi 2019-003 Sierra'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

macOS Mojave 10.14.5, Güvenlik Güncellemesi 2019-003 High Sierra, Güvenlik Güncellemesi 2019-003 Sierra

Yayınlanma tarihi: 13 Mayıs 2019

Erişilebilirlik Çerçevesi

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2019-8603: Phoenhex ve qwerty (@_niklasb, @qwertyoruiopz, @bkth_) (Trend Micro'nun Zero Day Initiative programıyla)

AMD

İlgili sürüm: macOS Mojave 10.14.4

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8635: TrendMicro Mobile Security Research Team'den Lilang Wu ve Moony Li (Trend Micro'nun Zero Day Initiative programıyla)

Uygulama Güvenlik Duvarı

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2019-8590: Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC)

Arşiv İzlencesi

İlgili sürüm: macOS Mojave 10.14.4

Etki: Korumalı alandaki bir işlem, korumalı alan sınırlamalarını atlayabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2019-8640: Fitbit Ürün Güvenliği ekibinden Ash Fox

Giriş eklenme tarihi: 1 Ağustos 2019

CoreAudio

İlgili sürümler: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Hata işleme iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8592: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)

Giriş güncellenme tarihi: 1 Ağustos 2019

CoreAudio

İlgili sürüm: macOS Mojave 10.14.4

Etki: Kötü amaçla oluşturulmuş bir film dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8585: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)

CoreText

İlgili sürüm: macOS Mojave 10.14.4

Etki: Kötü amaçlarla oluşturulmuş bir fontun işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8582: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)

Giriş eklenme tarihi: 25 Temmuz 2019

DesktopServices

İlgili sürüm: macOS Mojave 10.14.4

Etki: Kötü amaçlı bir uygulama Gatekeeper denetimlerini atlayabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2019-8589: AV-Comparatives'ten Andreas Clementi, Stefan Haselwanter ve Peter Stelzhammer

Disk Görüntüleri

İlgili sürümler: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2019-8560: Bauman Moskova Devlet Teknik Üniversitesi'nden Nikita Pupyshev

Giriş güncellenme tarihi: 14 Mayıs 2019

EFI

İlgili sürüm: macOS Mojave 10.14.4

Etki: Bir kullanıcının oturumu beklenmedik bir şekilde başka bir kullanıcının hesabında açılabilir

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2019-8634: Jenny Sprenger ve Maik Hoepfel

Intel Grafik Sürücüsü

İlgili sürüm: macOS Mojave 10.14.4

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8616: Trend Micro Mobile Security Research Team'den Lilang Wu ve Moony Li (Trend Micro'nun Zero Day Initiative programıyla)

Intel Grafik Sürücüsü

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek ilklendirme sorunu giderildi.

CVE-2019-8629: Solita Oy'dan Arash Tohidi

IOAcceleratorFamily

İlgili sürüm: macOS High Sierra 10.13.6

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2018-4456: Cisco Talos'tan Tyler Bohan

IOKit

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Etki: Yerel bir kullanıcı imzalanmamış çekirdek uzantıları yükleyebilir

Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2019-8606: Phoenhex ve qwerty (@_niklasb, @qwertyoruiopz, @bkth_) (Trend Micro'nun Zero Day Initiative programıyla)

Çekirdek

İlgili sürüm: macOS High Sierra 10.13.6

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2019-8633: Qihoo 360 Vulcan Team'den Zhuo Liang

Giriş eklenme tarihi: 25 Temmuz 2019

Çekirdek

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8525: Qihoo 360 Nirvan Team'den Zhuo Liang ve shrek_wzw

Giriş eklenme tarihi: 14 Mayıs 2019

Çekirdek

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Çekirdek belleğinin açığa çıkmasına neden olan bir sınırların dışında okuma sorunu vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2019-8547: derrek (@derrekr6)

Giriş eklenme tarihi: 14 Mayıs 2019

Çekirdek

İlgili sürüm: macOS Mojave 10.14.4

Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8576: Google Project Zero'dan Brandon Azad, LINE Security Team'den Junho Jang ve Hanul Choi

Giriş güncellenme tarihi: 30 Mayıs 2019

Çekirdek

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Etki: Bir uygulama, sistemin beklenmedik şekilde sonlandırılmasına neden olabilir veya çekirdek belleğe yazabilir

Açıklama: Belleğin işlenmesi iyileştirilerek türle ilgili bir karışıklık sorunu giderildi.

CVE-2019-8591: Ned Williamson (Google Project Zero ile)

Mesajlar

İlgili sürüm: macOS Mojave 10.14.4

Etki: Uzaktaki bir saldırgan, sistemde servis reddine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2019-8573: Google Project Zero'dan Natalie Silvanovich

Giriş eklenme tarihi: 3 Temmuz 2019

Mesajlar

İlgili sürüm: macOS Mojave 10.14.4

Etki: Bir iMessage yazışmasından kaldırılan kullanıcılar, durumu değiştirmeye devam edebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2019-8631: Dynastic'ten Jamie Bishop

Giriş eklenme tarihi: 1 Ağustos 2019

Mikrokod

İlgili sürüm: macOS Mojave 10.14.4

Etki: Spekülatif yürütme özelliğini kullanan mikroişlemcilerle çalışan sistemlerdeki yükleme bağlantı noktaları, doldurma arabellekleri ve depolama arabellekleri, yerel kullanıcı erişimi olan bir saldırganın yan kanal yoluyla bilgileri açığa çıkarmasına izin verebilir

Açıklama: Mikrokod güncellenerek ve OS planlayıcısı, sistemi tarayıcıda çalışan web içeriğinden ayıracak şekilde değiştirilerek, bilgilerin açığa çıkmasına yönelik birden fazla sorun kısmen giderildi. Bu sorunları tamamen ortadan kaldırmak istiyorsanız tüm işlemler için saptanmış olarak hyper threading işlevini etkisizleştirip mikrokod tabanlı önlemlerin kullanılmasını sağlayan ek önlemleri uygulamayı seçebilirsiniz. Önlemlerin ayrıntılarını https://support.apple.com/tr-tr/HT210107 adresinde bulabilirsiniz.

CVE-2018-12126: Intel'den Ke Sun, Henrique Kawakami, Kekai Hu ve Rodrigo Branco; Qihoo 360 CERT'ten Lei Shi; Marina Minkin; Michigan Üniversitesi'nden Daniel Genkin ve Adelaide Üniversitesi'nden Yuval Yarom

CVE-2018-12127: Microsoft Windows Platform Security Team'den Brandon Falk ve Intel'den Ke Sun, Henrique Kawakami, Kekai Hu ve Rodrigo Branco

CVE-2018-12130: Microsoft Research'ten Giorgi Maisuradze; Intel'den Ke Sun, Henrique Kawakami, Kekai Hu ve Rodrigo Branco; Graz Teknoloji Üniversitesi'nden Moritz Lipp, Michael Schwarz ve Daniel Gruss; VU Amsterdam'daki VUSec grubundan Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos ve Cristiano Giuffrida; Volodymyr Pikhur ve BitDefender'dan Dan Horea Lutas

CVE-2019-11091: Intel'den Ke Sun, Henrique Kawakami, Kekai Hu ve Rodrigo Branco; Graz Teknoloji Üniversitesi'nden Moritz Lipp, Michael Schwarz ve Daniel Gruss

Giriş eklenme tarihi: 14 Mayıs 2019

Güvenlik

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8604: Fluoroacetate (Trend Micro'nun Zero Day Initiative programıyla)

SQLite

İlgili sürüm: macOS Mojave 10.14.4

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2019-8577: Checkpoint Research'ten Omer Gull

SQLite

İlgili sürüm: macOS Mojave 10.14.4

Etki: Kötü amaçlarla oluşturulmuş bir SQL sorgusu rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8600: Checkpoint Research'ten Omer Gull

SQLite

İlgili sürüm: macOS Mojave 10.14.4

Etki: Kötü amaçlı bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2019-8598: Checkpoint Research'ten Omer Gull

SQLite

İlgili sürüm: macOS Mojave 10.14.4

Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir

Açıklama: Savunmasız kod kaldırılarak bir bellek bozulması sorunu giderildi.

CVE-2019-8602: Checkpoint Research'ten Omer Gull

StreamingZip

İlgili sürüm: macOS Mojave 10.14.4

Etki: Yerel bir kullanıcı, dosya sisteminin korumalı bölümlerini değiştirebilir

Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

sysdiagnose

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8574: Seekintoo'dan (@seekintoo) Dayton Pidhirney (@_watbulb)

Touch Bar Desteği

İlgili sürümler: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8569: Viktor Oreshkin (@stek29)

WebKit

İlgili sürüm: macOS Mojave 10.14.4

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek birden fazla bellek bozulması sorunu giderildi.

CVE-2019-6237: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla), Qihoo 360 Vulcan Team'den Liu Long

CVE-2019-8571: 01 (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8583: Tencent Xuanwu Lab'den sakura, Tencent Keen Lab'den jessica (@babyjess1ca_) ve Venustech ADLab'den dwfault

CVE-2019-8584: MWR Labs'ten G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8586: anonim bir araştırmacı

CVE-2019-8587: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8594: KAIST Web Security & Privacy Lab'den Suyoung Lee ile Sooel Son ve KAIST SoftSec Lab'den HyungSeok Han ile Sang Kil Cha

CVE-2019-8595: MWR Labs'ten G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8596: Georgia Tech'teki SSLab'den Wen Xu

CVE-2019-8597: 01 (Trend Micro Zero Day Initiative programıyla)

CVE-2019-8601: Fluoroacetate (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8608: G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8609: SSLab, Georgia Tech'ten Wen Xu

CVE-2019-8610: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8611: Google Project Zero'dan Samuel Groß

CVE-2019-8615: MWR Labs'ten G. Geshev (Trend Micro'nun Zero Day Initiative programıyla)

CVE-2019-8619: Georgia Tech SSLab'den Wen Xu ve Chaitin Security Research Lab'den Hanqing Zhao

CVE-2019-8622: Google Project Zero'dan Samuel Groß

CVE-2019-8623: Google Project Zero'dan Samuel Groß

CVE-2019-8628: Georgia Tech SSLab'den Wen Xu ve Chaitin Security Research Lab'den Hanqing Zhao

WebKit

İlgili sürüm: macOS Mojave 10.14.4

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8607: LINE Security Team'den Junho Jang ve Hanul Choi

Wi-Fi

İlgili sürüm: macOS Mojave 10.14.4

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, sürücü durumunu değiştirebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2019-8612: Darmstadt Teknik Üniversitesi'ndeki Secure Mobile Networking Lab'den Milan Stute

Giriş eklenme tarihi: 14 Mayıs 2019

Ek teşekkür listesi

CoreAudio

VulWar Corp şirketinden riusksk'e (Trend Micro'nun Zero Day Initiative programıyla) yardımıyla teşekkür ederiz.

Giriş eklenme tarihi: 25 Temmuz 2019

CoreFoundation

m4bln, Xiangqian Zhang, Huiming Liu (Tencent's Xuanwu Lab), Vozzie ve Rami'ye yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 14 Mayıs 2019

Çekirdek

Denis Kopyrin'e yardımı için teşekkür ederiz.

Giriş güncellenme tarihi: 14 Mayıs 2019

PackageKit

Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.

Safari

Bir Turnitin şirketi olan Gradescope'tan Michael Ball'a yardımı için teşekkür ederiz.

Sistem Tercihleri

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler öneri veya onay alınmadan sağlanır. Apple üçüncü taraf web sitelerinin veya ürünlerinin seçimi, performansı veya kullanımıyla ilgili hiçbir sorumluluk almaz. Apple üçüncü taraf web sitesi doğruluğu veya güvenilirliği ile ilgili hiçbir fikir belirtmez. Riskler Internet kullanımının doğal bir parçasıdır. Ek bilgiler için satıcı ile irtibat kurun. Diğer ürün ve şirket adları ilgili sahiplerinin ticari markaları olabilir.

Yayın Tarihi: