macOS Catalina 10.15.2, Güvenlik Güncellemesi 2019-002 Mojave ve Güvenlik Güncellemesi 2019-007 High Sierra'nın güvenlik içeriği hakkında

Bu belgede macOS Catalina 10.15.2, Güvenlik Güncellemesi 2019-002 Mojave ve Güvenlik Güncellemesi 2019-007 High Sierra'nın güvenlik içeriği açıklanmaktadır.

Apple güvenlik güncellemeleri hakkında

Apple, müşterilerini korumak amacıyla, tam bir inceleme gerçekleştirilene ve yamalar veya sürümler kullanıma sunulana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmektedir.

Apple güvenlik belgelerinde güvenlik açıkları mümkün olduğunca CVE Kimliği ile belirtilir.

Güvenlik hakkında daha fazla bilgi için Apple Ürün Güvenliği sayfasına bakın.

macOS Catalina 10.15.2, Güvenlik Güncellemesi 2019-002 Mojave ve Güvenlik Güncellemesi 2019-007 High Sierra

Yayınlanma tarihi: 10 Aralık 2019

ATS

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: Kötü amaçlı bir uygulama, sınırlanmış dosyalara erişebilir

Açıklama: Sınırlamalar iyileştirilerek bir mantık sorunu giderildi.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Giriş güncellenme tarihi: 18 Aralık 2019

Bluetooth

İlgili sürüm: macOS Catalina 10.15

Etki: Bir uygulama, sınırlandırılmış belleği okuyabilir

Açıklama: Giriş temizleme işlemi iyileştirilerek bir doğrulama sorunu giderildi.

CVE-2019-8853: Qihoo 360 Alpha Lab'den Jianjun Dai

CallKit

İlgili sürüm: macOS Catalina 10.15

Etki: Siri üzerinden gerçekleştirilen aramalar, aktif iki planı bulunan aygıtlarda yanlış hücresel plan kullanılarak başlatılabilir

Açıklama: Siri ile başlatılan giden aramaların işlenmesiyle ilgili bir API sorunu vardı. Durumun işlenmesi iyileştirilerek bu sorun giderildi.

CVE-2019-8856: TERRANCLE SARL'dan Fabrice TERRANCLE

CFNetwork Proxy'ler

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: Bir uygulama, yükseltilmiş ayrıcalıklar elde edebilir

Açıklama: Denetimler iyileştirilerek bu sorun giderildi.

CVE-2019-8848: Qihoo 360 Vulcan Team'den Zhuo Liang

Giriş güncellenme tarihi: 18 Aralık 2019

CFNetwork

İlgili sürüm: macOS Catalina 10.15

Etki: Ayrıcalıklı ağ konumundaki bir saldırgan, daha önce HSTS ön yükleme listesinde yer almayan sınırlı sayıdaki belirli üst düzey alan için HSTS'yi atlayabilir

Açıklama: Ek sınırlamalar getirilerek bir konfigürasyon sorunu giderildi.

CVE-2019-8834: Rob Sayre (@sayrer)

Giriş eklenme tarihi: 3 Şubat 2020

CUPS

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: Belirli konfigürasyonlarda uzaktaki bir saldırgan, rastgele yazdırma işleri gönderebilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2019-8842: China Mobile'dan Niky1235

Giriş güncellenme tarihi: 18 Aralık 2019

CUPS

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: Ayrıcalıklı konumdaki bir saldırgan, servis reddi saldırısı gerçekleştirebilir

Açıklama: Sınır denetimi iyileştirilerek bir arabellek taşması sorunu giderildi.

CVE-2019-8839: Security Research Labs'den Stephan Zeisberg

Giriş güncellenme tarihi: 18 Aralık 2019

FaceTime

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: FaceTime'da kötü amaçlı bir videonun işlenmesi rastgele kod yürütülmesine neden olabilir

Açıklama: Giriş doğrulama işlemi iyileştirilerek sınırların dışında okuma sorunu giderildi.

CVE-2019-8830: Google Project Zero'dan natashenka

Giriş güncellenme tarihi: 18 Aralık 2019

IOGraphics

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: Bir Mac uyanır uyanmaz kilitlenmeyebilir

Açıklama: Durum yönetimi iyileştirilerek bir mantık sorunu giderildi.

CVE-2019-8851: DoiT International'dan Vladik Khononov

Giriş eklenme tarihi: 3 Şubat 2020

Çekirdek

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Savunmasız kod kaldırılarak bir bellek bozulması sorunu giderildi.

CVE-2019-8833: Google Project Zero'dan Ian Beer

Giriş güncellenme tarihi: 18 Aralık 2019

Çekirdek

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Etki: Bir uygulama çekirdek ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8828: Cognite'tan Cim Stordal

CVE-2019-8838: InfoSect'ten Dr. Silvio Cesare

CVE-2019-8847: Apple

CVE-2019-8852: WaCai şirketinden pattern-f (@pattern_F_)

libexpat

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: Kötü amaçlarla oluşturulmuş XML dosyasının ayrıştırılması kullanıcı bilgilerinin açığa çıkmasına neden olabilir

Açıklama: expat 2.2.8 sürümüne güncellenerek bu sorun giderildi.

CVE-2019-15903: Joonun Jang

Giriş güncellenme tarihi: 18 Aralık 2019

Notlar

İlgili sürüm: macOS Catalina 10.15

Etki: Uzaktaki bir saldırgan mevcut dosyaların üzerine yazabilir

Açıklama: Yol doğrulaması iyileştirilerek dizin yollarının işlenmesindeki bir ayrıştırma sorunu giderildi.

CVE-2020-9782: UC Berkeley'den Allison Husain

Giriş eklenme tarihi: 4 Nisan 2020

OpenLDAP

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: OpenLDAP'de birden çok sorun

Açıklama: OpenLDAP 2.4.28 sürümüne güncellenerek birden fazla sorun giderildi.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Giriş güncellenme tarihi: 3 Şubat 2020

Güvenlik

İlgili sürümler: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Etki: Bir uygulama sistem ayrıcalıklarıyla rastgele kod yürütebilir

Açıklama: Belleğin işlenmesi iyileştirilerek bir bellek bozulması sorunu giderildi.

CVE-2019-8832: Georgia Tech'teki SSLab'den Insu Yun

tcpdump

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Etki: tcpdump'ta birden fazla sorun

Açıklama: tcpdump 4.9.3 ve libpcap 1.9.1 sürümlerine güncellenerek birden fazla sorun giderildi.

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15166

CVE-2019-15167

Giriş güncellenme tarihi: 11 Şubat 2020

Wi-Fi

İlgili sürümler: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Etki: Wi-Fi kapsama alanındaki bir saldırgan, ağ trafiğinin küçük bir kısmını görebilir

Açıklama: Durum geçişlerinin işlenmesinde bir mantık sorunu vardı. Durum yönetimi iyileştirilerek bu sorun giderildi.

CVE-2019-15126: ESET'ten Milos Cermak

Giriş eklenme tarihi: 27 Şubat 2020

Ek teşekkür listesi

Hesaplar

UC Berkeley'den Allison Husain'e, Kishan Bagaria'ya (KishanBagaria.com), Loughborough Üniversitesi'nden Tom Snelling'e yardımları için teşekkür ederiz.

Giriş güncellenme tarihi: 4 Nisan 2020

Core Data

Google Project Zero'dan natashenka'ya yardımı için teşekkür ederiz.

Finder

Csaba Fitzl'e (@theevilbit) yardımı için teşekkür ederiz.

Giriş eklenme tarihi: 18 Aralık 2019

Çekirdek

Swisscom CSIRT'ten Daniel Roethlisberger'a yardımları için teşekkür ederiz.

Giriş eklenme tarihi: 18 Aralık 2019

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: