(2019年12月19日掲載)
Appleより、macOS Catalina 10.15.2、セキュリティアップデート 2019-002 Mojave、セキュリティアップデート 2019-007 High Sierra がリリースされました。
アップデート内容は以下の項目に関するものとなっています。
macOS Catalina 10.15.2、セキュリティアップデート 2019-002 Mojave、セキュリティアップデート 2019-007 High Sierra
2019 年 12 月 10 日リリース
ATS
対象 OS:macOS Catalina 10.15
影響:アプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。
説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。
CVE-2019-8837:Csaba Fitzl 氏 (@theevilbit)
Bluetooth
対象 OS:macOS Catalina 10.15
影響:アプリケーションが、制限されたメモリを読み取れる可能性がある。
説明:入力のサニタイズ処理を強化し、検証の脆弱性に対処しました。
CVE-2019-8853:Qihoo 360 Alpha Lab の Jianjun Dai 氏
CallKit
対象 OS:macOS Catalina 10.15
影響:Siri を使ってかけた電話が、モバイル通信プランが 2 つ有効になっているデバイスで、間違ったプランを使ってかかってしまう場合がある。
説明:Siri で発信した通話の処理における API に脆弱性がありました。この問題は、ステート処理を改善することで解決されました。
CVE-2019-8856:TERRANCLE SARL の Fabrice TERRANCLE 氏
CFNetwork Proxies
対象 OS:macOS Catalina 10.15
影響:アプリケーションに、昇格した権限を取得される可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2019-8848:Qihoo 360 Vulcan Team の Zhuo Liang 氏
CUPS
対象 OS:macOS Catalina 10.15
影響:特定の構成において、リモートの攻撃者が任意のプリントジョブを送信できる場合がある。
説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。
CVE-2019-8842:China Mobile の Niky1235 氏
CUPS
対象 OS:macOS Catalina 10.15
影響:ネットワーク上で特権的な地位を悪用した攻撃者から、サービス運用妨害を受ける可能性がある。
説明:配列境界チェック機能を改善することで、バッファオーバーフローに対処しました。
CVE-2019-8839:Security Research Labs の Stephan Zeisberg 氏
FaceTime
対象 OS:macOS Catalina 10.15
影響:悪意のあるビデオを FaceTime で処理すると、任意のコードが実行される可能性がある。
説明:入力検証を強化することで、領域外読み込みに対処しました。
CVE-2019-8830:Google Project Zero の Natalie Silvanovich 氏
カーネル
対象 OS:macOS Catalina 10.15
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:脆弱なコードを削除することで、メモリ破損の脆弱性に対処しました。
CVE-2019-8833:Google Project Zero の Ian Beer 氏
カーネル
対象 OS:macOS High Sierra 10.13.6、macOS Mojave 10.14.6、macOS Catalina 10.15
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。
CVE-2019-8828:Cognite の Cim Stordal 氏
CVE-2019-8838:InfoSect の Silvio Cesare 博士
CVE-2019-8847:Apple
CVE-2019-8852:WaCai の pattern-f 氏 (@pattern_F_)
libexpat
対象 OS:macOS Catalina 10.15
影響:悪意を持って作成された XML ファイルを解析すると、ユーザ情報が漏洩する可能性がある。
説明:この問題は、expat バージョン 2.2.8 にアップデートすることで解決されました。
CVE-2019-15903:Joonun Jang 氏
OpenLDAP
対象 OS:macOS Catalina 10.15
影響:OpenLDAP に複数の脆弱性がある。
説明:OpenLDAP バージョン 2.4.28 にアップデートして、複数の脆弱性に対処しました。
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
セキュリティ
対象 OS:macOS High Sierra 10.13.6、macOS Mojave 10.14.6、macOS Catalina 10.15
影響:アプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。
説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。
CVE-2019-8832:Georgia Tech の SSLab の Insu Yun 氏
tcpdump
対象 OS:macOS Catalina 10.15
影響:tcpdump に複数の脆弱性がある。
説明:tcpdump バージョン 4.9.3 および libpcap バージョン 1.9.1 にアップデートして、複数の脆弱性に対処しました。
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
CVE-2019-15166
CVE-2019-15167
ご協力いただいたその他の方々
アカウント
Kishan Bagaria 氏 (KishanBagaria.com) およびラフバラー大学の Tom Snelling 氏のご協力に感謝いたします。
Core Data
Google Project Zero の Natalie Silvanovich 氏のご協力に感謝いたします。
