macOS Catalina 10.15.1, Güvenlik Güncellemesi 2019-001 ve Güvenlik Güncellemesi 2019-006'nın güvenlik içeriği hakkında
Bu belgede macOS Catalina 10.15.1, Güvenlik Güncellemesi 2019-001 ve Güvenlik Güncellemesi 2019-006'nın güvenlik içeriği açıklanmaktadır.
Apple güvenlik güncellemeleri hakkında
Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.
Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.
Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.
macOS Catalina 10.15.1, Güvenlik Güncellemesi 2019-001, Güvenlik Güncellemesi 2019-006
Accounts
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8787: Darmstadt Teknik Üniversitesindeki Secure Mobile Networking Lab'den Steffen Klee
Accounts
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Herkes modunda, AirDrop aktarımları beklenmedik şekilde kabul edilebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8796: UC Berkeley'den Allison Husain
AirDrop
İlgili sürüm: macOS Catalina 10.15
Etki: Herkes modunda, AirDrop aktarımları beklenmedik şekilde kabul edilebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8796: UC Berkeley'den Allison Husain
AMD
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8748: TrendMicro Mobile Security Research Team'den Lilang Wu ve Moony Li
apache_mod_php
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: PHP'de birden çok güvenlik açığı
Açıklama: PHP 7.3.8 sürümüne güncellenerek birden fazla sorun giderildi.
CVE-2019-11041
CVE-2019-11042
APFS
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8824: Mac (Trend Micro'nun Zero Day Initiative programıyla)
App Store
İlgili sürüm: macOS Catalina 10.15
Etki: Yerel bir saldırgan, geçerli kimlik bilgileri olmadan, daha önce oturum açmış bir kullanıcının hesabında oturum açabilir.
Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleGraphicsControl
İlgili sürüm: macOS Catalina 10.15
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2019-8817: Arash Tohidi
AppleGraphicsControl
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8716: Qi'anxin Group Legendsec Codesafe Team'den Zhiyi Zhang, Qihoo 360 Vulcan Team'den Zhuo Liang
Associated Domains
İlgili sürüm: macOS Catalina 10.15
Etki: URL'lerin yanlış bir şekilde işlenmesi verilerin sızmasına neden olabilir
Açıklama: URL'lerin ayrıştırılmasında sorun vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.
CVE-2019-8788: Pakastin'den Juha Lindstedt, Zero Keyboard Ltd. şirketinden Mirko Tanania ve Rauli Rikama
Audio
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8706: Ant-Financial Light-Year Security Lab'den Yu Zhou
Audio
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8785: Google Project Zero'dan Ian Beer
CVE-2019-8797: SSD Secure Disclosure ile çalışan 08Tc3wBB
Audio
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi sınırlandırılmış belleğin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8850: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla)
Books
İlgili sürüm: macOS Catalina 10.15
Etki: Kötü amaçlarla oluşturulmuş bir iBooks dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2019-8789: KU Leuven'deki imec-DistriNet'ten Gertjan Franken
Contacts
İlgili sürüm: macOS Catalina 10.15
Etki: Kötü amaçlarla oluşturulmuş bir kişinin işlenmesi kullanıcı arabirimi sahteciliğine (UI spoofing) neden olabilir
Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.
CVE-2017-7152: Thinking Objects GmbH'den (to.com) Oliver Paukstadt
CoreAudio
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Kötü amaçlı bir ses dosyasını çalmak rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8592: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
CoreAudio
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Kötü amaçlarla oluşturulmuş bir filmin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir
Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8705: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
CoreMedia
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8825: Google Chrome'da GWP-ASan tarafından bulundu
CUPS
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.
CVE-2019-8736: ING Tech Poland (ingtechpoland.com) şirketinden Pawel Gocyla
CUPS
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi yığın bozulmasına (heap corruption) neden olabilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.
CVE-2019-8767: Stephen Zeisberg
CUPS
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: Ayrıcalıklı konumdaki bir saldırgan, servis reddi saldırısı gerçekleştirebilir
Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.
CVE-2019-8737: ING Tech Poland (ingtechpoland.com) şirketinden Pawel Gocyla
File Quarantine
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir
Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.
CVE-2019-8509: Ant-Financial LightYear Labs'den CodeColorist
File System Events
İlgili sürümler: macOS High Sierra 10.13.6, macOS Catalina 10.15
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8798: ABC Research s.r.o. (Trend Micro'nun Zero Day Initiative programıyla)
Foundation
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8746: Google Project Zero'dan natashenka ve Samuel Groß
Graphics
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: Kötü amaçlı bir gölgelendiricinin işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2018-12152: Cisco Talos'tan Piotr Bania
CVE-2018-12153: Cisco Talos'tan Piotr Bania
CVE-2018-12154: Cisco Talos'tan Piotr Bania
Graphics Driver
İlgili sürüm: macOS Catalina 10.15
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8784: Webinar, LLC'den Vasiliy Vasilyev ve Ilya Finogeev
Intel Graphics Driver
İlgili sürüm: macOS Catalina 10.15
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8807: Didi Research America'dan Yu Wang
IOGraphics
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir
Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.
CVE-2019-8759: 360 Nirvan Team'den another
iTunes
İlgili sürüm: macOS Catalina 10.15
Etki: iTunes yükleyicinin güvenilmeyen bir dizinde çalıştırılması rastgele kod yürütülmesine neden olabilir
Açıklama: iTunes ayarlama işleminde bir dinamik arşiv yükleme sorunu vardı. Yol arama işlemi iyileştirilerek bu sorun giderildi.
CVE-2019-8801: Qihoo 360 CERT'ten Hou JingYi (@hjy79425575)
Kernel
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8709: derrek (@derrekr6)
Kernel
İlgili sürüm: macOS Catalina 10.15
Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir
Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2019-8794: SSD Secure Disclosure ile çalışan 08Tc3wBB
Kernel
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8717: Google Project Zero'dan Jann Horn
CVE-2019-8786: Georgia Tech'ten Wen Xu, Microsoft Saldırı Güvenliği Araştırması Stajyeri
Kernel
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir
Açıklama: IPv6 paketlerinin işlenmesinde bir bellek bozulması sorunu vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.
CVE-2019-8744: Qihoo 360 Vulcan Team'den Zhuo Liang
Kernel
İlgili sürüm: macOS Catalina 10.15
Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Kilitleme iyileştirilerek bellek bozulması güvenlik açığı giderildi.
CVE-2019-8829: Google Project Zero'dan Jann Horn
libxml2
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: libxml2'de birden çok sorun
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2019-8749: OSS-Fuzz tarafından bulundu
CVE-2019-8756: OSS-Fuzz tarafından bulundu
libxslt
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: libxslt'de birden çok sorun
Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.
CVE-2019-8750: OSS-Fuzz tarafından bulundu
manpages
İlgili sürümler: macOS High Sierra 10.13.6, macOS Catalina 10.15
Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir
Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.
CVE-2019-8802: Csaba Fitzl (@theevilbit)
PDFKit
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Bir saldırgan, şifreli PDF'lerin içeriğini sızdırabilir
Açıklama: Şifreli PDF'lerdeki bağlantıların işlenmesinde bir sorun vardı. Bir onay istemi eklenerek bu sorun giderildi.
CVE-2019-8772: Bochum Ruhr Üniversitesinden Jens Müller, FH Münster Üniversitesi Uygulamalı Bilimler Fakültesinden Fabian Ising, Bochum Ruhr Üniversitesinden Vladislav Mladenov, Bochum Ruhr Üniversitesinden Christian Mainka, FH Münster Üniversitesi Uygulamalı Bilimler Fakültesinden Sebastian Schinzel ve Bochum Ruhr Üniversitesinden Jörg Schwenk
PluginKit
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: Yerel bir kullanıcı rastgele dosyaların varlığını kontrol edebilir
Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8708: anonim bir araştırmacı
PluginKit
İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8715: anonim bir araştırmacı
Screen Sharing Server
İlgili sürüm: macOS Catalina 10.15
Etki: Ekranını paylaşan bir kullanıcı ekran paylaşımını sonlandıramayabilir
Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.
CVE-2019-8858: Saul’s Place Counseling B.V. şirketinden Saul van der Bijl
System Extensions
İlgili sürüm: macOS Catalina 10.15
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Yetki doğrulamasında bir doğrulama sorunu vardı. İşlem yetkisi doğrulaması iyileştirilerek bu sorun giderildi.
CVE-2019-8805: VMware Carbon Black TAU'dan Scott Knight (@sdotknight)
UIFoundation
İlgili sürüm: macOS Catalina 10.15
Etki: Kötü amaçlarla oluşturulmuş bir HTML belgesi, gizli kullanıcı bilgilerini içeren iFrame'leri işleyebilir
Açıklama: "iFrame" öğeleriyle ilgili kaynaklar arası veri sızdırma sorunu (cross-origin issue) vardı. Güvenlik kaynaklarının takibi iyileştirilerek bu sorun giderildi.
CVE-2019-8754: SpectX'ten Renee Trisberg
UIFoundation
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir
Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.
CVE-2019-8745: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
UIFoundation
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir
Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.
CVE-2019-8831: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)
UIFoundation
İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir
Açıklama: Denetimler iyileştirilerek bu sorun giderildi.
CVE-2019-8761: SpectX'ten Renee Trisberg
Wi-Fi
İlgili sürüm: macOS Catalina 10.15
Etki: Wi-Fi kapsama alanındaki bir saldırgan, ağ trafiğinin küçük bir kısmını görebilir
Açıklama: Durum geçişlerinin işlenmesinde bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.
CVE-2019-15126: ESET'ten Milos Cermak
Ek teşekkür listesi
CFNetwork
Google'dan Lily Chen'e yardımı için teşekkür ederiz.
Find My
Amr Elseehy'ye yardımı için teşekkür ederiz.
Kernel
Google Project Zero'dan Brandon Azad'a, Swisscom CSIRT şirketinden Daniel Roethlisberger'e ve Google Project Zero'dan Jann Horn'a yardımları için teşekkür ederiz.
libresolv
Google'dan enh'ye yardımı için teşekkür ederiz.
Local Authentication
Ryan Lopopolo'ya yardımı için teşekkür ederiz.
mDNSResponder
e.solutions GmbH şirketinden Gregor Lang'e yardımı için teşekkür ederiz.
Postfix
Puppet'tan Chris Barker'a yardımı için teşekkür ederiz.
python
Anonim bir araştırmacıya yardımı için teşekkür ederiz.
VPN
Second Son Consulting, Inc. şirketinden Royce Gawron'a yardımı için teşekkür ederiz.
Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.