关于 macOS Catalina 10.15.1、安全性更新 2019-001 和安全性更新 2019-006 的安全性内容

本文介绍了 macOS Catalina 10.15.1、安全性更新 2019-001 和安全性更新 2019-006 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。

macOS Catalina 10.15.1、安全性更新 2019-001、安全性更新 2019-006

发布于 2019 年 10 月 29 日

帐户

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影响:远程攻击者或许能够泄漏内存

描述:已通过改进输入验证解决越界读取问题。

CVE-2019-8787: Steffen Klee of Secure Mobile Networking Lab at Technische Universität Darmstadt

条目更新于 2020 年 2 月 11 日

AMD

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8748: Lilang Wu and Moony Li of TrendMicro Mobile Security Research Team

条目添加于 2020 年 2 月 11 日

apache_mod_php

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6

影响:PHP 中存在多个问题

描述:已通过更新至 PHP 版本 7.3.8 解决多个问题。

CVE-2019-11041

CVE-2019-11042

条目添加于 2020 年 2 月 11 日

APFS

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进状态管理解决内存损坏问题。

CVE-2019-8824: Mac working with Trend Micro's Zero Day Initiative

条目添加于 2020 年 2 月 11 日

App Store

适用于:macOS Catalina 10.15

影响:本地攻击者或许能够在没有有效凭证的情况下登录以前曾登录过的用户的帐户。

描述:已通过改进状态管理解决认证问题。

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

适用于:macOS Catalina 10.15

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8716: Zhiyi Zhang of Codesafe Team of Legendsec at Qi'anxin Group, Zhuo Liang of Qihoo 360 Vulcan Team

关联域

适用于:macOS Catalina 10.15

影响:URL 处理不当可能会导致数据泄露

描述:解析 URL 时存在问题。已通过改进输入验证解决这个问题。

CVE-2019-8788: Juha Lindstedt of Pakastin, Mirko Tanania, Rauli Rikama of Zero Keyboard Ltd

音频

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:处理恶意制作的音频文件可能会导致任意代码执行

描述:已通过改进状态管理解决内存损坏问题。

CVE-2019-8706: Yu Zhou of Ant-financial Light-Year Security Lab

音频

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8785: Ian Beer of Google Project Zero

CVE-2019-8797: 08Tc3wBB working with SSD Secure Disclosure

条目更新于 2020 年 2 月 11 日

音频

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6

影响:处理恶意制作的音频文件可能会泄露受限内存

描述:已通过改进输入验证解决越界读取问题。

CVE-2019-8850: Anonymous working with Trend Micro Zero Day Initiative

条目更新于 2019 年 12 月 18 日

图书

适用于:macOS Catalina 10.15

影响:解析恶意制作的 iBooks 文件可能会导致用户信息泄露

描述:处理符号链接时存在验证问题。已通过改进对符号链接的验证解决这个问题。

CVE-2019-8789: Gertjan Franken of imec-DistriNet, KU Leuven

通讯录

适用于:macOS Catalina 10.15

影响:处理恶意制作的联系人信息可能会导致 UI 伪造问题

描述:已通过改进状态管理解决用户界面不一致问题。

CVE-2017-7152: Oliver Paukstadt of Thinking Objects GmbH (to.com)

CoreAudio

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6

影响:播放恶意音频文件可能会导致任意代码执行

描述:已通过改进输入验证解决内存损坏问题。

CVE-2019-8592: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative

条目添加于 2019 年 11 月 6 日

CoreAudio

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6

影响:处理恶意制作的影片可能会导致进程内存泄露

描述:已通过改进验证解决内存损坏问题。

CVE-2019-8705: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative

条目添加于 2020 年 2 月 11 日

CoreMedia

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进状态管理解决内存损坏问题。

CVE-2019-8825: Found by GWP-ASan in Google Chrome

条目添加于 2020 年 2 月 11 日

CUPS

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:拥有特权网络地位的攻击者或许能够泄露敏感用户信息

描述:已通过改进输入验证解决输入验证问题。

CVE-2019-8736: Pawel Gocyla of ING Tech Poland (ingtechpoland.com)

CUPS

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:处理恶意制作的字符串可能会导致堆损坏

描述:已通过改进内存处理解决内存消耗问题。

CVE-2019-8767: Stephen Zeisberg

CUPS

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:拥有特权地位的攻击者或许能够发动拒绝服务攻击

描述:已通过改进验证解决服务遭拒问题。

CVE-2019-8737: Pawel Gocyla of ING Tech Poland (ingtechpoland.com)

文件隔离

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:恶意应用程序或许能够提升权限

描述:已通过移除有漏洞的代码解决这个问题。

CVE-2019-8509: CodeColorist of Ant-Financial LightYear Labs

文件系统事件

适用于:macOS High Sierra 10.13.6、macOS Catalina 10.15

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8798: ABC Research s.r.o. working with Trend Micro's Zero Day Initiative

Foundation

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6

影响:远程攻击者可能会导致应用程序意外终止或任意代码执行

描述:已通过改进输入验证解决越界读取问题。

CVE-2019-8746: Natalie Silvanovich and Samuel Groß of Google Project Zero

条目添加于 2020 年 2 月 11 日

图形卡

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:处理恶意着色器可能会导致应用程序意外终止或任意代码执行

描述:已通过改进输入验证解决多个内存损坏问题。

CVE-2018-12152: Piotr Bania of Cisco Talos

CVE-2018-12153: Piotr Bania of Cisco Talos

CVE-2018-12154: Piotr Bania of Cisco Talos

图形卡驱动程序

适用于:macOS Catalina 10.15

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8784: Vasiliy Vasilyev and Ilya Finogeev of Webinar, LLC

Intel 图形卡驱动程序

适用于:macOS Catalina 10.15

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8807: Yu Wang of Didi Research America

IOGraphics

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:本地用户或许能够导致系统意外终止或读取内核内存

描述:已通过改进边界检查解决越界读取问题。

CVE-2019-8759: another of 360 Nirvan Team

iTunes

适用于:macOS Catalina 10.15

影响:在不受信任的目录中运行 iTunes 安装器可能会导致任意代码执行

描述:iTunes 设置中存在动态资料库载入问题。已通过改进路径搜索解决这个问题。

CVE-2019-8801: Hou JingYi (@hjy79425575) of Qihoo 360 CERT

内核

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进状态管理解决内存损坏问题。

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

条目添加于 2020 年 2 月 11 日

内核

适用于:macOS Catalina 10.15

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2019-8794: 08Tc3wBB working with SSD Secure Disclosure

内核

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6、macOS Catalina 10.15

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8717: Jann Horn of Google Project Zero

CVE-2019-8786: Wen Xu of Georgia Tech, Microsoft Offensive Security Research Intern

条目更新于 2019 年 11 月 18 日,更新于 2020 年 2 月 11 日

内核

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:恶意应用程序或许能够确定内核内存布局

描述:处理 IPv6 数据包时存在内存损坏问题。已通过改进内存管理解决这个问题。

CVE-2019-8744: Zhuo Liang of Qihoo 360 Vulcan Team

内核

适用于:macOS Catalina 10.15

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进锁定解决内存损坏漏洞问题。

CVE-2019-8829: Jann Horn of Google Project Zero

条目添加于 2019 年 11 月 6 日

libxml2

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:libxml2 中存在多个问题

描述:已通过改进输入验证解决多个内存损坏问题。

CVE-2019-8749: found by OSS-Fuzz

CVE-2019-8756: found by OSS-Fuzz

libxslt

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:libxslt 中存在多个问题

描述:已通过改进输入验证解决多个内存损坏问题。

CVE-2019-8750: found by OSS-Fuzz

手册页面

适用于:macOS High Sierra 10.13.6、macOS Catalina 10.15

影响:某个恶意应用程序可能会获得根权限

描述:已通过改进逻辑解决验证问题。

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6

影响:攻击者或许能够泄露加密 PDF 的内容

描述:处理加密 PDF 中的链接时存在问题。已通过增加确认提示解决这个问题。

CVE-2019-8772: Jens Müller of Ruhr University Bochum, Fabian Ising of FH Münster University of Applied Sciences, Vladislav Mladenov of Ruhr University Bochum, Christian Mainka of Ruhr University Bochum, Sebastian Schinzel of FH Münster University of Applied Sciences, and Jörg Schwenk of Ruhr University Bochum

条目添加于 2020 年 2 月 11 日

PluginKit

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:本地用户或许能够查看任意文件是否存在

描述:已通过改进访问限制解决逻辑问题。

CVE-2019-8708: an anonymous researcher

PluginKit

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8715: an anonymous researcher

屏幕共享服务器

适用于:macOS Catalina 10.15

影响:共享屏幕的用户可能无法结束屏幕共享

描述:已通过改进状态管理解决逻辑问题。

CVE-2019-8858: Saul van der Bijl of Saul’s Place Counseling B.V.

条目添加于 2019 年 12 月 18 日

系统扩展

适用于:macOS Catalina 10.15

影响:应用程序或许能够以系统权限执行任意代码

描述:授权验证中存在验证问题。已通过改进对进程授权的验证解决这个问题。

CVE-2019-8805: Scott Knight (@sdotknight) of VMware Carbon Black TAU

UIFoundation

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6

影响:处理恶意制作的文本文件可能会导致任意代码执行

描述:已通过改进边界检查解决缓冲区溢出问题。

CVE-2019-8745: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative

条目添加于 2020 年 2 月 11 日

UIFoundation

适用于:macOS Mojave 10.14.6、macOS High Sierra 10.13.6

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2019-8831: riusksk of VulWar Corp working with Trend Micro's Zero Day Initiative

条目添加于 2020 年 2 月 11 日

UIFoundation

适用于:macOS High Sierra 10.13.6、macOS Mojave 10.14.6

影响:解析恶意制作的文本文件可能会导致用户信息泄露

描述:已通过改进检查解决这个问题。

CVE-2019-8761: Renee Trisberg of SpectX

Wi-Fi

适用于:macOS Catalina 10.15

影响:Wi-Fi 覆盖范围内的攻击者或许能够查看少量网络流量

描述:处理状态过渡时存在逻辑问题。已通过改进状态管理解决这个问题。

CVE-2019-15126: Milos Cermak at ESET

条目添加于 2020 年 2 月 11 日

其他表彰

CFNetwork

由衷感谢 Google 的 Lily Chen 为我们提供的协助。

内核

由衷感谢 Google Project Zero 的 Brandon Azad、Swisscom CSIRT 的 Daniel Roethlisberger、Google Project Zero 的 Jann Horn 为我们提供的协助。

条目更新于 2019 年 11 月 6 日

libresolv

由衷感谢 Google 的 enh 为我们提供的协助。

本地认证

由衷感谢 Ryan Lopopolo 为我们提供的协助。

条目添加于 2020 年 2 月 11 日

mDNSResponder

由衷感谢 e.solutions GmbH 的 Gregor Lang 为我们提供的协助。

条目添加于 2020 年 2 月 11 日

Postfix

由衷感谢 Puppet 的 Chris Barker 为我们提供的协助。

python

由衷感谢一位匿名研究人员为我们提供的协助。

VPN

由衷感谢 Second Son Consulting, Inc. 的 Royce Gawron 为我们提供的协助。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: