关于 macOS Mojave 10.14.5、安全性更新 2019-003 High Sierra、安全性更新 2019-003 Sierra 的安全性内容
本文介绍了 macOS Mojave 10.14.5、安全性更新 2019-003 High Sierra、安全性更新 2019-003 Sierra 的安全性内容。
关于 Apple 安全性更新
为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。
Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞。
如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。
macOS Mojave 10.14.5、安全性更新 2019-003 High Sierra、安全性更新 2019-003 Sierra
访问权限框架
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14.4
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2019-8603: Phoenhex and qwerty (@_niklasb, @qwertyoruiopz, @bkth_) working with Trend Micro's Zero Day Initiative
AMD
适用于:macOS Mojave 10.14.4
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2019-8635: Lilang Wu and Moony Li of TrendMicro Mobile Security Research Team working with Trend Micro's Zero Day Initiative
应用程序防火墙
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14.4
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进访问限制解决逻辑问题。
CVE-2019-8590: The UK’s National Cyber Security Centre (NCSC)
归档实用工具
适用于:macOS Mojave 10.14.4
影响:沙箱化进程或许能够绕过沙箱限制
描述:已通过改进验证解决逻辑问题。
CVE-2019-8640: Ash Fox of Fitbit Product Security
蓝牙
适用于:macOS Mojave 10.14.4
影响:由于低功耗蓝牙 (BLE) 版 FIDO 安全密钥的蓝牙配对协议中存在错误配置,因此物理距离较近的攻击者或许能够在配对期间拦截蓝牙流量
描述:已通过停用蓝牙连接不安全的配件解决这个问题。如果客户使用 Google 低功耗蓝牙 (BLE) 版 Titan 安全密钥,则客户应查看安卓六月发布的公告以及 Google 发布的忠告,并采取相应措施。
CVE-2019-2102:Microsoft Corp. 的 Matt Beaver 和 Erik Peterson
CoreAudio
适用于:macOS Sierra 10.12.6、macOS Mojave 10.14.4、macOS High Sierra 10.13.6
影响:处理恶意制作的音频文件可能会导致任意代码执行
描述:已通过改进错误处理方式解决内存损坏问题。
CVE-2019-8592: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative
CoreAudio
适用于:macOS Mojave 10.14.4
影响:处理恶意制作的影片文件可能会导致任意代码执行
描述:已通过改进输入验证解决越界读取问题。
CVE-2019-8585: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative
CoreText
适用于:macOS Mojave 10.14.4
影响:处理恶意制作的字体可能会导致进程内存泄漏
描述:已通过改进边界检查解决越界读取问题。
CVE-2019-8582: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative
DesktopServices
适用于:macOS Mojave 10.14.4
影响:恶意应用程序可能绕过门禁检查
描述:已通过改进检查解决这个问题。
CVE-2019-8589: Andreas Clementi, Stefan Haselwanter, and Peter Stelzhammer of AV-Comparatives
磁盘映像
适用于:macOS Sierra 10.12.6、macOS Mojave 10.14.4、macOS High Sierra 10.13.6
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2019-8560: Nikita Pupyshev of Bauman Moscow State Technological University
EFI
适用于:macOS Mojave 10.14.4
影响:用户可能意外登录到另一个用户的帐户
描述:已通过改进状态管理解决认证问题。
CVE-2019-8634: Jenny Sprenger and Maik Hoepfel
Intel 图形卡驱动程序
适用于:macOS Mojave 10.14.4
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2019-8616: Lilang Wu and Moony Li of Trend Micro Mobile Security Research Team working with Trend Micro's Zero Day Initiative
Intel 图形卡驱动程序
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.4
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存初始化问题。
CVE-2019-8629: Arash Tohidi of Solita Oy
IOAcceleratorFamily
适用于:macOS High Sierra 10.13.6
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2018-4456: Tyler Bohan of Cisco Talos
IOKit
适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.4
影响:本地用户或许能够载入未经签名的内核扩展
描述:处理符号链接时存在验证问题。已通过改进对符号链接的验证解决这个问题。
CVE-2019-8606: Phoenhex and qwerty (@_niklasb, @qwertyoruiopz, @bkth_) working with Trend Micro's Zero Day Initiative
内核
适用于:macOS Mojave 10.14.4、macOS High Sierra 10.13.6
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2019-8633: Zhuo Liang of Qihoo 360 Vulcan Team
内核
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进状态管理解决内存损坏问题。
CVE-2019-8525: Zhuo Liang and shrek_wzw of Qihoo 360 Nirvan Team
内核
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:远程攻击者或许能够泄漏内存
描述:存在导致内核内存泄漏的越界读取问题。已通过改进输入验证解决这个问题。
CVE-2019-8547: derrek (@derrekr6)
内核
适用于:macOS Mojave 10.14.4
影响:本地用户或许能够导致系统意外终止或读取内核内存
描述:已通过改进边界检查解决越界读取问题。
CVE-2019-8576: Brandon Azad of Google Project Zero, Junho Jang and Hanul Choi of LINE Security Team
内核
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14.4
影响:应用程序可能会导致系统意外终止或写入内核内存
描述:已通过改进内存处理解决类型混淆问题。
CVE-2019-8591: Ned Williamson working with Google Project Zero
信息
适用于:macOS Mojave 10.14.4
影响:远程攻击者或许能够导致服务遭系统拒绝
描述:已通过改进输入验证解决输入验证问题。
CVE-2019-8573:Google Project Zero 的 natashenka
信息
适用于:macOS Mojave 10.14.4
影响:从 iMessage 信息对话中移除的用户可能仍然能更改状态
描述:已通过改进状态管理解决逻辑问题。
CVE-2019-8631: Jamie Bishop of Dynastic
微代码
适用于:macOS Mojave 10.14.4
影响:如果在配备微处理器且采用预测执行的系统中载入端口、填充缓冲区和储存缓冲区,可能会允许具有本地用户访问权限的攻击者能够通过边信道泄漏信息。
描述:已通过更新微代码并更改 OS 安排工具以将系统与浏览器中运行的网页内容隔离开来,部分解决了多个信息泄漏问题。默认情况下,要完全解决这类问题,可以采取其他可选缓解措施以停用超线程,并为所有进程启用基于微代码的缓解措施。有关缓解措施的详细信息,请参阅 https://support.apple.com/zh-cn/HT210107。
CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu, and Rodrigo Branco from Intel; Lei Shi - Qihoo 360 CERT; Marina Minkin; Daniel Genkin from University of Michigan; and Yuval Yarom from University of Adelaide
CVE-2018-12127: Brandon Falk from Microsoft Windows Platform Security Team; and Ke Sun, Henrique Kawakami, Kekai Hu, and Rodrigo Branco from Intel
CVE-2018-12130: Giorgi Maisuradze from Microsoft Research; Ke Sun, Henrique Kawakami, Kekai Hu, and Rodrigo Branco from Intel; Moritz Lipp, Michael Schwarz, and Daniel Gruss from Graz University of Technology; Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos, and Cristiano Giuffrida from VUSec group at VU Amsterdam; Volodymyr Pikhur; and Dan Horea Lutas from BitDefender
CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu, and Rodrigo Branco from Intel; and Moritz Lipp, Michael Schwarz, and Daniel Gruss from Graz University of Technology
安全性
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6、macOS Mojave 10.14.4
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2019-8604: Fluoroacetate working with Trend Micro's Zero Day Initiative
SQLite
适用于:macOS Mojave 10.14.4
影响:应用程序或许能够获取提升的权限
描述:已通过改进内存处理解决输入验证问题。
CVE-2019-8577: Omer Gull of Checkpoint Research
SQLite
适用于:macOS Mojave 10.14.4
影响:恶意制作的 SQL 查询可能会导致任意代码执行
描述:已通过改进输入验证解决内存损坏问题。
CVE-2019-8600: Omer Gull of Checkpoint Research
SQLite
适用于:macOS Mojave 10.14.4
影响:恶意应用程序或许能够读取受限内存
描述:已通过改进输入验证解决输入验证问题。
CVE-2019-8598: Omer Gull of Checkpoint Research
SQLite
适用于:macOS Mojave 10.14.4
影响:恶意应用程序或许能够提升权限
描述:已通过移除易受攻击的代码解决内存损坏问题。
CVE-2019-8602: Omer Gull of Checkpoint Research
StreamingZip
适用于:macOS Mojave 10.14.4
影响:本地用户或许能够修改文件系统的受保护部分
描述:处理符号链接时存在验证问题。已通过改进对符号链接的验证解决这个问题。
CVE-2019-8568: Dany Lisiansky (@DanyL931)
sysdiagnose
适用于:macOS Sierra 10.12.6、macOS Mojave 10.14.4、macOS High Sierra 10.13.6
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进权限逻辑解决这个问题。
CVE-2019-8574: Dayton Pidhirney (@_watbulb) of Seekintoo (@seekintoo)
触控栏支持
适用于:macOS Sierra 10.12.6、macOS High Sierra 10.13.6
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2019-8569: Viktor Oreshkin (@stek29)
WebKit
适用于:macOS Mojave 10.14.4
影响:处理恶意制作的网页内容可能会导致任意代码执行
描述:已通过改进内存处理解决多个内存损坏问题。
CVE-2019-6237: G. Geshev working with Trend Micro Zero Day Initiative, Liu Long of Qihoo 360 Vulcan Team
CVE-2019-8571: 01 working with Trend Micro's Zero Day Initiative
CVE-2019-8583: sakura of Tencent Xuanwu Lab, jessica (@babyjess1ca_) of Tencent Keen Lab, and dwfault working at ADLab of Venustech
CVE-2019-8584: G. Geshev of MWR Labs working with Trend Micro Zero Day Initiative
CVE-2019-8586: an anonymous researcher
CVE-2019-8587: G. Geshev working with Trend Micro Zero Day Initiative
CVE-2019-8594: Suyoung Lee and Sooel Son of KAIST Web Security & Privacy Lab and HyungSeok Han and Sang Kil Cha of KAIST SoftSec Lab
CVE-2019-8595: G. Geshev from MWR Labs working with Trend Micro Zero Day Initiative
CVE-2019-8596: Wen Xu of SSLab at Georgia Tech
CVE-2019-8597: 01 working with Trend Micro Zero Day Initiative
CVE-2019-8601: Fluoroacetate working with Trend Micro's Zero Day Initiative
CVE-2019-8608: G. Geshev working with Trend Micro Zero Day Initiative
CVE-2019-8609: Wen Xu of SSLab, Georgia Tech
CVE-2019-8610: Anonymous working with Trend Micro Zero Day Initiative
CVE-2019-8611: Samuel Groß of Google Project Zero
CVE-2019-8615: G. Geshev from MWR Labs working with Trend Micro's Zero Day Initiative
CVE-2019-8619: Wen Xu of SSLab at Georgia Tech and Hanqing Zhao of Chaitin Security Research Lab
CVE-2019-8622: Samuel Groß of Google Project Zero
CVE-2019-8623: Samuel Groß of Google Project Zero
CVE-2019-8628: Wen Xu of SSLab at Georgia Tech and Hanqing Zhao of Chaitin Security Research Lab
WebKit
适用于:macOS Mojave 10.14.4
影响:处理恶意制作的网页内容可能会导致进程内存泄漏
描述:已通过改进输入验证解决越界读取问题。
CVE-2019-8607: Junho Jang and Hanul Choi of LINE Security Team
Wi-Fi
适用于:macOS Mojave 10.14.4
影响:拥有特权网络地位的攻击者可以修改驱动器状态
描述:已通过改进状态管理解决逻辑问题。
CVE-2019-8612: Milan Stute of Secure Mobile Networking Lab at Technische Universität Darmstadt
其他表彰
CoreAudio
由衷感谢致力于 Trend Micro 的“Zero Day Initiative”(零时差计划)的 VulWar Corp 的 riusksk 为我们提供的协助。
CoreFoundation
由衷感谢腾讯玄武实验室的 m4bln、Xiangqian Zhang、Huiming Liu 以及 Vozzie、Rami 为我们提供的协助。
内核
由衷感谢 Denis Kopyrin 为我们提供的协助。
PackageKit
由衷感谢 Csaba Fitzl (@theevilbit) 为我们提供的协助。
Safari 浏览器
由衷感谢来自 Gradescope by Turnitin 的 Michael Ball 为我们提供的协助。
系统偏好设置
由衷感谢一位匿名研究人员为我们提供的协助。
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。