macOS Catalina 10.15.1, Güvenlik Güncellemesi 2019-001 ve Güvenlik Güncellemesi 2019-006'nın güvenlik içeriği hakkında

Bu belgede macOS Catalina 10.15.1, Güvenlik Güncellemesi 2019-001 ve Güvenlik Güncellemesi 2019-006'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

macOS Catalina 10.15.1, Güvenlik Güncellemesi 2019-001, Güvenlik Güncellemesi 2019-006

Accounts

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: Uzaktaki bir saldırgan, bellekteki bilgileri sızdırabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8787: Darmstadt Teknik Üniversitesindeki Secure Mobile Networking Lab'den Steffen Klee

Accounts

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: Herkes modunda, AirDrop aktarımları beklenmedik şekilde kabul edilebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2019-8796: UC Berkeley'den Allison Husain

AirDrop

İlgili sürüm: macOS Catalina 10.15

Etki: Herkes modunda, AirDrop aktarımları beklenmedik şekilde kabul edilebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir mantık sorunu giderildi.

CVE-2019-8796: UC Berkeley'den Allison Husain

AMD

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8748: TrendMicro Mobile Security Research Team'den Lilang Wu ve Moony Li

apache_mod_php

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: PHP'de birden çok güvenlik açığı

Açıklama: PHP 7.3.8 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2019-11041

CVE-2019-11042

APFS

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8824: Mac (Trend Micro'nun Zero Day Initiative programıyla)

App Store

İlgili sürüm: macOS Catalina 10.15

Etki: Yerel bir saldırgan, geçerli kimlik bilgileri olmadan, daha önce oturum açmış bir kullanıcının hesabında oturum açabilir.

Açıklama: Durum yönetimi iyileştirilerek kimlik doğrulama sorunu giderildi.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

İlgili sürüm: macOS Catalina 10.15

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8716: Qi'anxin Group Legendsec Codesafe Team'den Zhiyi Zhang, Qihoo 360 Vulcan Team'den Zhuo Liang

Associated Domains

İlgili sürüm: macOS Catalina 10.15

Etki: URL'lerin yanlış bir şekilde işlenmesi verilerin sızmasına neden olabilir

Açıklama: URL'lerin ayrıştırılmasında sorun vardı. Giriş doğrulama işlemi iyileştirilerek bu sorun giderildi.

CVE-2019-8788: Pakastin'den Juha Lindstedt, Zero Keyboard Ltd. şirketinden Mirko Tanania ve Rauli Rikama

Audio

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8706: Ant-Financial Light-Year Security Lab'den Yu Zhou

Audio

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8785: Google Project Zero'dan Ian Beer

CVE-2019-8797: SSD Secure Disclosure ile çalışan 08Tc3wBB

Audio

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: Kötü amaçlarla oluşturulmuş bir ses dosyasının işlenmesi sınırlandırılmış belleğin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8850: Anonim bir kişi (Trend Micro'nun Zero Day Initiative programıyla)

Books

İlgili sürüm: macOS Catalina 10.15

Etki: Kötü amaçlarla oluşturulmuş bir iBooks dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Sembolik bağlantıların işlenmesinde doğrulama sorunu vardı. Sembolik bağlantı doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2019-8789: KU Leuven'deki imec-DistriNet'ten Gertjan Franken

Contacts

İlgili sürüm: macOS Catalina 10.15

Etki: Kötü amaçlarla oluşturulmuş bir kişinin işlenmesi kullanıcı arabirimi sahteciliğine (UI spoofing) neden olabilir

Açıklama: Durum yönetimi iyileştirilerek tutarsız kullanıcı arabirimi sorunu giderildi.

CVE-2017-7152: Thinking Objects GmbH'den (to.com) Oliver Paukstadt

CoreAudio

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: Kötü amaçlı bir ses dosyasını çalmak rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8592: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)

CoreAudio

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: Kötü amaçlarla oluşturulmuş bir filmin işlenmesi işlem belleğinin açığa çıkmasına neden olabilir

Açıklama: Doğrulama işlemi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8705: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)

CoreMedia

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: Kötü amaçlarla oluşturulmuş web içeriğinin işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8825: Google Chrome'da GWP-ASan tarafından bulundu

CUPS

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan gizli kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek bir giriş doğrulama sorunu giderildi.

CVE-2019-8736: ING Tech Poland (ingtechpoland.com) şirketinden Pawel Gocyla

CUPS

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: Kötü amaçlarla oluşturulmuş bir dizenin işlenmesi yığın bozulmasına (heap corruption) neden olabilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek tüketimi sorunu giderildi.

CVE-2019-8767: Stephen Zeisberg

CUPS

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: Ayrıcalıklı konumdaki bir saldırgan, servis reddi saldırısı gerçekleştirebilir

Açıklama: Doğrulama işlemi iyileştirilerek bir servis reddi sorunu giderildi.

CVE-2019-8737: ING Tech Poland (ingtechpoland.com) şirketinden Pawel Gocyla

File Quarantine

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: Kötü amaçlı bir uygulama ayrıcalıkları yükseltebilir

Açıklama: Savunmasız kod kaldırılarak bu sorun giderildi.

CVE-2019-8509: Ant-Financial LightYear Labs'den CodeColorist

File System Events

İlgili sürümler: macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8798: ABC Research s.r.o. (Trend Micro'nun Zero Day Initiative programıyla)

Foundation

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: Uzaktaki bir saldırgan uygulamanın beklenmedik bir şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8746: Google Project Zero'dan natashenka ve Samuel Groß

Graphics

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: Kötü amaçlı bir gölgelendiricinin işlenmesi, uygulamanın beklenmedik şekilde sonlandırılmasına veya rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2018-12152: Cisco Talos'tan Piotr Bania

CVE-2018-12153: Cisco Talos'tan Piotr Bania

CVE-2018-12154: Cisco Talos'tan Piotr Bania

Graphics Driver

İlgili sürüm: macOS Catalina 10.15

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8784: Webinar, LLC'den Vasiliy Vasilyev ve Ilya Finogeev

Intel Graphics Driver

İlgili sürüm: macOS Catalina 10.15

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8807: Didi Research America'dan Yu Wang

IOGraphics

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: Yerel bir kullanıcı, sistemin beklenmedik bir şekilde sonlandırılmasına neden olabilir veya çekirdek belleği okuyabilir

Açıklama: Sınır denetimi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8759: 360 Nirvan Team'den another

iTunes

İlgili sürüm: macOS Catalina 10.15

Etki: iTunes yükleyicinin güvenilmeyen bir dizinde çalıştırılması rastgele kod yürütülmesine neden olabilir

Açıklama: iTunes ayarlama işleminde bir dinamik arşiv yükleme sorunu vardı. Yol arama işlemi iyileştirilerek bu sorun giderildi.

CVE-2019-8801: Qihoo 360 CERT'ten Hou JingYi (@hjy79425575)

Kernel

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Durum yönetimi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8709: derrek (@derrekr6)

Kernel

İlgili sürüm: macOS Catalina 10.15

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2019-8794: SSD Secure Disclosure ile çalışan 08Tc3wBB

Kernel

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8717: Google Project Zero'dan Jann Horn

CVE-2019-8786: Georgia Tech'ten Wen Xu, Microsoft Saldırı Güvenliği Araştırması Stajyeri

Kernel

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: Kötü amaçlı bir uygulama, çekirdek belleği düzenini belirleyebilir

Açıklama: IPv6 paketlerinin işlenmesinde bir bellek bozulması sorunu vardı. Bellek yönetimi iyileştirilerek bu sorun giderildi.

CVE-2019-8744: Qihoo 360 Vulcan Team'den Zhuo Liang

Kernel

İlgili sürüm: macOS Catalina 10.15

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Kilitleme iyileştirilerek bellek bozulması güvenlik açığı giderildi.

CVE-2019-8829: Google Project Zero'dan Jann Horn

libxml2

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: libxml2'de birden çok sorun

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2019-8749: OSS-Fuzz tarafından bulundu

CVE-2019-8756: OSS-Fuzz tarafından bulundu

libxslt

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: libxslt'de birden çok sorun

Açıklama: Giriş doğrulama işlemi iyileştirilerek birden çok bellek bozulması sorunu giderildi.

CVE-2019-8750: OSS-Fuzz tarafından bulundu

manpages

İlgili sürümler: macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: Kötü amaçlı bir uygulama kök ayrıcalıkları kazanabilir

Açıklama: Mantık iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: Bir saldırgan, şifreli PDF'lerin içeriğini sızdırabilir

Açıklama: Şifreli PDF'lerdeki bağlantıların işlenmesinde bir sorun vardı. Bir onay istemi eklenerek bu sorun giderildi.

CVE-2019-8772: Bochum Ruhr Üniversitesinden Jens Müller, FH Münster Üniversitesi Uygulamalı Bilimler Fakültesinden Fabian Ising, Bochum Ruhr Üniversitesinden Vladislav Mladenov, Bochum Ruhr Üniversitesinden Christian Mainka, FH Münster Üniversitesi Uygulamalı Bilimler Fakültesinden Sebastian Schinzel ve Bochum Ruhr Üniversitesinden Jörg Schwenk

PluginKit

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: Yerel bir kullanıcı rastgele dosyaların varlığını kontrol edebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2019-8708: anonim bir araştırmacı

PluginKit

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8715: anonim bir araştırmacı

Screen Sharing Server

İlgili sürüm: macOS Catalina 10.15

Etki: Ekranını paylaşan bir kullanıcı ekran paylaşımını sonlandıramayabilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2019-8858: Saul’s Place Counseling B.V. şirketinden Saul van der Bijl

System Extensions

İlgili sürüm: macOS Catalina 10.15

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Yetki doğrulamasında bir doğrulama sorunu vardı. İşlem yetkisi doğrulaması iyileştirilerek bu sorun giderildi.

CVE-2019-8805: VMware Carbon Black TAU'dan Scott Knight (@sdotknight)

UIFoundation

İlgili sürüm: macOS Catalina 10.15

Etki: Kötü amaçlarla oluşturulmuş bir HTML belgesi, gizli kullanıcı bilgilerini içeren iFrame'leri işleyebilir

Açıklama: "iFrame" öğeleriyle ilgili kaynaklar arası veri sızdırma sorunu (cross-origin issue) vardı. Güvenlik kaynaklarının takibi iyileştirilerek bu sorun giderildi.

CVE-2019-8754: SpectX'ten Renee Trisberg

UIFoundation

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2019-8745: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)

UIFoundation

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8831: VulWar Corp şirketinden riusksk (Trend Micro'nun Zero Day Initiative programıyla)

UIFoundation

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: Kötü amaçlarla oluşturulmuş bir metin dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2019-8761: SpectX'ten Renee Trisberg

Wi-Fi

İlgili sürüm: macOS Catalina 10.15

Etki: Wi-Fi kapsama alanındaki bir saldırgan, ağ trafiğinin küçük bir kısmını görebilir

Açıklama: Durum geçişlerinin işlenmesinde bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2019-15126: ESET'ten Milos Cermak

Ek teşekkür listesi

CFNetwork

Google'dan Lily Chen'e yardımı için teşekkür ederiz.

Find My

Amr Elseehy'ye yardımı için teşekkür ederiz.

Kernel

Google Project Zero'dan Brandon Azad'a, Swisscom CSIRT şirketinden Daniel Roethlisberger'e ve Google Project Zero'dan Jann Horn'a yardımları için teşekkür ederiz.

libresolv

Google'dan enh'ye yardımı için teşekkür ederiz.

Local Authentication

Ryan Lopopolo'ya yardımı için teşekkür ederiz.

mDNSResponder

e.solutions GmbH şirketinden Gregor Lang'e yardımı için teşekkür ederiz.

Postfix

Puppet'tan Chris Barker'a yardımı için teşekkür ederiz.

python

Anonim bir araştırmacıya yardımı için teşekkür ederiz.

VPN

Second Son Consulting, Inc. şirketinden Royce Gawron'a yardımı için teşekkür ederiz.