关于 macOS Catalina 10.15 的安全性内容

本文介绍了 macOS Catalina 10.15 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。

macOS Catalina 10.15

发布于 2019 年 10 月 7 日

AMD

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8748: Lilang Wu and Moony Li of TrendMicro Mobile Security Research Team

apache_mod_php

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:PHP 中存在多个问题

描述:已通过更新至 PHP 版本 7.3.8 解决多个问题。

CVE-2019-11041

CVE-2019-11042

音频

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:处理恶意制作的音频文件可能会导致任意代码执行

描述:已通过改进状态管理解决内存损坏问题。

CVE-2019-8706: Yu Zhou of Ant-financial Light-Year Security Lab

条目添加于 2019 年 10 月 29 日

图书

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:解析恶意制作的 iBooks 文件可能会导致服务永久遭拒

描述:已通过改进输入验证解决资源耗尽问题。

CVE-2019-8774: Gertjan Franken imec-DistriNet of KU Leuven

条目添加于 2019 年 10 月 29 日

CFNetwork

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:处理恶意制作的网页内容可能会导致跨站点脚本攻击

描述:已通过改进检查解决这个问题。

CVE-2019-8753: Łukasz Pilorz of Standard Chartered GBS Poland

条目添加于 2019 年 10 月 29 日

CoreAudio

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:处理恶意制作的影片可能会导致进程内存泄露

描述:已通过改进验证解决内存损坏问题。

CVE-2019-8705: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative

CoreAudio

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:播放恶意音频文件可能会导致任意代码执行

描述:已通过改进输入验证解决内存损坏问题。

CVE-2019-8592: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative

条目添加于 2019 年 11 月 6 日

CoreCrypto

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:处理较大输入可能会导致服务遭拒

描述:已通过改进输入验证解决服务遭拒问题。

CVE-2019-8741: Nicky Mouha of NIST

条目添加于 2019 年 10 月 29 日

CoreMedia

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进状态管理解决内存损坏问题。

CVE-2019-8825: Found by GWP-ASan in Google Chrome

条目添加于 2019 年 10 月 29 日

Crash Reporter

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:“共享 Mac 分析”设置可能不会在用户选择关闭共享分析时被停用

描述:读取和写入用户偏好设置时存在竞态条件问题。已通过改进状态处理解决这个问题。

CVE-2019-8757: William Cerniuk of Core Development, LLC

CUPS

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:拥有特权网络地位的攻击者或许能够泄露敏感用户信息

描述:已通过改进输入验证解决输入验证问题。

CVE-2019-8736: Pawel Gocyla of ING Tech Poland (ingtechpoland.com)

条目添加于 2019 年 10 月 29 日

CUPS

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:处理恶意制作的字符串可能会导致堆损坏

描述:已通过改进内存处理解决内存消耗问题。

CVE-2019-8767: Stephen Zeisberg

条目添加于 2019 年 10 月 29 日

CUPS

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:拥有特权地位的攻击者或许能够发动拒绝服务攻击

描述:已通过改进验证解决服务遭拒问题。

CVE-2019-8737: Pawel Gocyla of ING Tech Poland (ingtechpoland.com)

条目添加于 2019 年 10 月 29 日

文件隔离

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:恶意应用程序或许能够提升权限

描述:已通过移除有漏洞的代码解决这个问题。

CVE-2019-8509: CodeColorist of Ant-Financial LightYear Labs

条目添加于 2019 年 10 月 29 日

Foundation

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:远程攻击者可能会导致应用程序意外终止或任意代码执行

描述:已通过改进输入验证解决越界读取问题。

CVE-2019-8746: Natalie Silvanovich and Samuel Groß of Google Project Zero

条目添加于 2019 年 10 月 29 日

图形卡

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:处理恶意着色器可能会导致应用程序意外终止或任意代码执行

描述:已通过改进输入验证解决多个内存损坏问题。

CVE-2018-12152: Piotr Bania of Cisco Talos

CVE-2018-12153: Piotr Bania of Cisco Talos

CVE-2018-12154: Piotr Bania of Cisco Talos

条目添加于 2019 年 10 月 29 日

IOGraphics

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:本地用户或许能够导致系统意外终止或读取内核内存

描述:已通过改进边界检查解决越界读取问题。

CVE-2019-8759: another of 360 Nirvan Team

条目添加于 2019 年 10 月 29 日

Intel 图形卡驱动程序

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8758: Lilang Wu and Moony Li of Trend Micro

IOGraphics

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:恶意应用程序或许能够确定内核内存布局

描述:已通过改进访问限制解决逻辑问题。

CVE-2019-8755: Lilang Wu and Moony Li of Trend Micro

内核

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:本地 App 或许能够读取持久性帐户识别码

描述:已通过改进逻辑解决验证问题。

CVE-2019-8809: Apple

条目添加于 2019 年 10 月 29 日

内核

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:恶意应用程序或许能够确定内核内存布局

描述:处理 IPv6 数据包时存在内存损坏问题。已通过改进内存管理解决这个问题。

CVE-2019-8744: Zhuo Liang of Qihoo 360 Vulcan Team

条目添加于 2019 年 10 月 29 日

内核

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8717: Jann Horn of Google Project Zero

内核

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进状态管理解决内存损坏问题。

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

条目更新于 2019 年 10 月 29 日

libxml2

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:libxml2 中存在多个问题

描述:已通过改进输入验证解决多个内存损坏问题。

CVE-2019-8749: found by OSS-Fuzz

CVE-2019-8756: found by OSS-Fuzz

条目添加于 2019 年 10 月 29 日

libxslt

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:libxslt 中存在多个问题

描述:已通过改进输入验证解决多个内存损坏问题。

CVE-2019-8750: found by OSS-Fuzz

条目添加于 2019 年 10 月 29 日

mDNSResponder

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:物理位置比较靠近的攻击者或许能够被动地观察 AWDL 通信中的设备名称

描述:已通过使用随机标识符替换设备名称来解决这个问题。

CVE-2019-8799: David Kreitschmann and Milan Stute of Secure Mobile Networking Lab at Technische Universität Darmstadt

条目添加于 2019 年 10 月 29 日

菜单

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进状态管理解决内存损坏问题。

CVE-2019-8826: Found by GWP-ASan in Google Chrome

条目添加于 2019 年 10 月 29 日

备注

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:本地用户或许能够查看用户锁定的备忘录

描述:锁定的备忘录的内容有时候会出现在搜索结果中。已通过改进数据清理解决这个问题。

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) of Virginia Polytechnic Institute and State University

PDFKit

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:攻击者或许能够泄露加密 PDF 的内容

描述:处理加密 PDF 中的链接时存在问题。已通过增加确认提示解决这个问题。

CVE-2019-8772: Jens Müller of Ruhr University Bochum, Fabian Ising of FH Münster University of Applied Sciences, Vladislav Mladenov of Ruhr University Bochum, Christian Mainka of Ruhr University Bochum, Sebastian Schinzel of FH Münster University of Applied Sciences, and Jörg Schwenk of Ruhr University Bochum

PluginKit

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:本地用户或许能够查看任意文件是否存在

描述:已通过改进访问限制解决逻辑问题。

CVE-2019-8708: an anonymous researcher

条目添加于 2019 年 10 月 29 日

PluginKit

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8715: an anonymous researcher

条目添加于 2019 年 10 月 29 日

SharedFileList

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:恶意应用程序或许能够访问近期文稿

描述:已通过改进权限逻辑解决这个问题。

CVE-2019-8770: Stanislav Zinukhov of Parallels International GmbH

sips

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8701: Simon Huang(@HuangShaomang), Rong Fan(@fanrong1992) and pjf of IceSword Lab of Qihoo 360

UIFoundation

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:解析恶意制作的文本文件可能会导致用户信息泄露

描述:已通过改进检查解决这个问题。

CVE-2019-8761: Renee Trisberg of SpectX

条目添加于 2019 年 10 月 29 日

UIFoundation

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:处理恶意制作的文本文件可能会导致任意代码执行

描述:已通过改进边界检查解决缓冲区溢出问题。

CVE-2019-8745: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative

UIFoundation

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8831: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative

条目添加于 2019 年 11 月 18 日

WebKit

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:访问恶意制作的网站可能会泄露浏览历史记录

描述:绘制网页元素时存在问题。已通过改进逻辑解决这个问题。

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

适用于:MacBook(2015 年初及更新机型)、MacBook Air(2012 年中及更新机型)、MacBook Pro(2012 年中及更新机型)、Mac mini(2012 年末及更新机型)、iMac(2012 年末及更新机型)、iMac Pro(所有机型)和 Mac Pro(2013 年末及更新机型)

影响:用户可能无法删除浏览历史记录项

描述:“清除历史记录与网站数据”没有清除历史记录。已通过改进数据删除操作解决这个问题。

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

其他表彰

AppleRTC

由衷感谢 Vitaly Cheptsov 为我们提供的协助。

条目添加于 2019 年 10 月 29 日

音频

由衷感谢致力于 Trend Micro 的“Zero Day Initiative”(零时差计划)的 VulWar Corp 的 riusksk 为我们提供的协助。

条目添加于 2019 年 10 月 29 日

boringssl

由衷感谢 Tel Aviv University 的 Nimrod Aviram、Ruhr University Bochum 的 Robert Merget、Ruhr University Bochum 的 Juraj Somorovsky 以及 Computest 的 Thijs Alkemade (@xnyhps) 为我们提供的协助。

条目添加于 2019 年 10 月 8 日,更新于 2019 年 10 月 29 日

访达

由衷感谢 Csaba Fitzl (@theevilbit) 为我们提供的协助。

门禁

由衷感谢 Csaba Fitzl (@theevilbit) 为我们提供的协助。

身份服务

由衷感谢 Yiğit Can YILMAZ (@yilmazcanyigit) 为我们提供的协助。

条目添加于 2019 年 10 月 29 日

内核

由衷感谢 Google Project Zero 的 Brandon Azad 为我们提供的协助。

条目添加于 2019 年 10 月 29 日

mDNSResponder

由衷感谢 e.solutions GmbH 的 Gregor Lang 为我们提供的协助。

条目添加于 2019 年 10 月 29 日

python

由衷感谢一位匿名研究人员为我们提供的协助。

条目添加于 2019 年 10 月 29 日

Safari 浏览器数据导入

由衷感谢 Kent Zoya 为我们提供的协助。

安全性

由衷感谢匿名研究人员 Pepijn Dutour Geerling (pepijn.io) 为我们提供的协助。

条目添加于 2019 年 11 月 18 日

简单证书注册协议 (SCEP)

由衷感谢一位匿名研究人员为我们提供的协助。

电话

由衷感谢来自 SentinelOne 的 Phil Stokes 为我们提供的协助。

VPN

由衷感谢 Second Son Consulting, Inc. 的 Royce Gawron 为我们提供的协助。

条目添加于 2019 年 10 月 29 日

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: