关于 macOS Catalina 10.15 的安全性内容

本文介绍了 macOS Catalina 10.15 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。

macOS Catalina 10.15

发布于 2019 年 10 月 7 日

AMD

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8748: Lilang Wu and Moony Li of TrendMicro Mobile Security Research Team

apache_mod_php

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:PHP 中存在多个问题

描述:已通过更新至 PHP 版本 7.3.8 解决多个问题。

CVE-2019-11041

CVE-2019-11042

CoreAudio

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:处理恶意制作的影片可能会导致进程内存泄露

描述:已通过改进验证解决内存损坏问题。

CVE-2019-8705: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative

Crash Reporter

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:“共享 Mac 分析”设置可能不会在用户选择关闭共享分析时停用

描述:读取和写入用户偏好设置时存在竞态条件问题。已通过改进状态处理解决这个问题。

CVE-2019-8757: William Cerniuk of Core Development, LLC

Intel 图形卡驱动程序

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8758: Lilang Wu and Moony Li of Trend Micro

IOGraphics

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:恶意应用程序或许能够确定内核内存布局

描述:已通过改进访问限制解决逻辑问题。

CVE-2019-8755: Lilang Wu and Moony Li of Trend Micro

内核

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8717: Jann Horn of Google Project Zero

内核

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进状态管理解决内存损坏问题。

CVE-2019-8781: Linus Henze (pinauten.de)

备注

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:本地用户或许能够查看用户锁定的备忘录

描述:锁定的备忘录的内容有时候会出现在搜索结果中。已通过改进数据清理解决这个问题。

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) of Virginia Polytechnic Institute and State University

PDFKit

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:攻击者或许能够泄露加密 PDF 的内容

描述:处理加密 PDF 中的链接时存在问题。已通过增加确认提示解决这个问题。

CVE-2019-8772: Jens Müller of Ruhr University Bochum, Fabian Ising of FH Münster University of Applied Sciences, Vladislav Mladenov of Ruhr University Bochum, Christian Mainka of Ruhr University Bochum, Sebastian Schinzel of FH Münster University of Applied Sciences, and Jörg Schwenk of Ruhr University Bochum

SharedFileList

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:恶意应用程序或许能够访问近期文稿

描述:已通过改进权限逻辑解决这个问题。

CVE-2019-8770: Stanislav Zinukhov of Parallels International GmbH

sips

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) and pjf of IceSword Lab of Qihoo 360

UIFoundation

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:处理恶意制作的文本文件可能会导致任意代码执行

描述:已通过改进边界检查解决缓冲区溢出问题。

CVE-2019-8745: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative

WebKit

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:访问恶意制作的网站可能会泄露浏览历史记录

描述:绘制网页元素时存在问题。已通过改进逻辑解决这个问题。

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:用户可能无法删除浏览历史记录项

描述:“清除历史记录与网站数据”没有清除历史记录。已通过改进数据删除操作解决这个问题。

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

其他表彰

访达

由衷感谢 Csaba Fitzl (@theevilbit) 为我们提供的协助。

门禁

由衷感谢 Csaba Fitzl (@theevilbit) 为我们提供的协助。

Safari 浏览器导入数据

由衷感谢 Kent Zoya 为我们提供的协助。

简单证书注册协议 (SCEP)

由衷感谢一位匿名研究人员为我们提供的协助。

电话

由衷感谢来自 SentinelOne 的 Phil Stokes 为我们提供的协助。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: