Informace o bezpečnostním obsahu macOS Catalina 10.15
Tento dokument popisuje bezpečnostní obsah aktualizace macOS Catalina 10.15.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
macOS Catalina 10.15
AMD
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8748: Lilang Wu a Moony Li z týmu Trend Micro Mobile Security Research
apache_mod_php
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Několik problémů v PHP.
Popis: Několik problémů bylo vyřešeno aktualizováním PHP na verzi 7.3.8.
CVE-2019-11041
CVE-2019-11042
Audio
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2019-8706: Yu Zhou z týmu Ant-Financial Light-Year Security Lab
Audio
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Zpracování škodlivého zvukového souboru může odhalit obsah vyhrazené paměti.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2019-8850: anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro
Books
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Parsování škodlivého souboru iBooks může vést k dlouhodobému odmítnutí služeb.
Popis: Problém s vyčerpáním zdrojů byl vyřešen vylepšením ověřování vstupů.
CVE-2019-8774: Gertjan Franken, imec-DistriNet, KU Leuven
CFNetwork
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Zpracování škodlivého webového obsahu může vést k útoku skriptováním napříč weby.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2019-8753: Łukasz Pilorz ze společnosti Standard Chartered GBS, Polsko
CoreAudio
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Zpracování škodlivého filmu může vést k odhalení procesní paměti.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.
CVE-2019-8705: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro
CoreAudio
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Přehrání škodlivého zvukového souboru může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2019-8592: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro
CoreCrypto
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Zpracování velkého vstupu může vést k odmítnutí služby.
Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování vstupů.
CVE-2019-8741: Nicky Mouha z NIST
CoreMedia
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2019-8825: nalezeno nástrojem GWP-ASan v Google Chromu
Crash Reporter
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Když uživatel zruší výběr volby „Sdílet data analýzy Macu“, nemusí se volba doopravdy vypnout.
Popis: Při čtení a zápisu předvoleb uživatele existoval problém se souběhem. Problém byl vyřešen vylepšením zpracovávání stavů.
CVE-2019-8757: William Cerniuk ze společnosti Core Development, LLC
CUPS
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit odhalit citlivá uživatelská data.
Popis: Problém s ověřováním vstupů byl vyřešen vylepšením ověřování vstupů.
CVE-2019-8736: Pawel Gocyla ze společnosti ING Tech Poland (ingtechpoland.com)
CUPS
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Zpracování škodlivého řetězce může vést k poškození haldy.
Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8767: Stephen Zeisberg
CUPS
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Útočníkovi s vysokými oprávněními se může podařit způsobit útok odmítnutím služby.
Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování.
CVE-2019-8737: Pawel Gocyla ze společnosti ING Tech Poland (ingtechpoland.com)
dyld
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8776: Jann Horn z týmu Google Project Zero
File Quarantine
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Škodlivá aplikace si může navýšit oprávnění.
Popis: Problém byl vyřešen odebráním zranitelného kódu.
CVE-2019-8509: CodeColorist z týmu Ant-Financial Light-Year Labs
Foundation
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2019-8746: natashenka a Samuel Groß z týmu Google Project Zero
Graphics
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Zpracování škodlivého shaderu může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.
CVE-2018-12152: Piotr Bania ze společnosti Cisco Talos
CVE-2018-12153: Piotr Bania ze společnosti Cisco Talos
CVE-2018-12154: Piotr Bania ze společnosti Cisco Talos
IOGraphics
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Místnímu uživateli se může podařit způsobit neočekávané ukončení systému nebo číst paměť jádra.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2019-8759: another z týmu 360 Nirvan
Intel Graphics Driver
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8758: Lilang Wu a Moony Li ze společnosti Trend Micro
IOGraphics
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Škodlivé aplikaci se může podařit rozpoznat rozvržení jádra.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2019-8755: Lilang Wu a Moony Li ze společnosti Trend Micro
Kernel
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Aplikaci se může podařit navýšit si oprávnění.
Popis: Problém byl vyřešen vylepšením oprávnění.
CVE-2019-8703: anonymní výzkumník
Kernel
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Místní aplikaci se může podařit přečíst trvalý identifikátor účtu.
Popis: Problém s ověřováním byl vyřešen vylepšením logiky.
CVE-2019-8809: Apple
Kernel
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Škodlivé aplikaci se může podařit rozpoznat rozvržení jádra.
Popis: Při zpracování paketů IPv6 existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.
CVE-2019-8744: Zhuo Liang z týmu Qihoo 360 Vulcan
Kernel
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8717: Jann Horn z týmu Google Project Zero
Kernel
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
CVE-2019-8781: Linus Henze (pinauten.de)
libxml2
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Několik problémů v knihovně libxml2.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.
CVE-2019-8749: nalezeno programem OSS-Fuzz
CVE-2019-8756: nalezeno programem OSS-Fuzz
libxslt
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Několik problémů v libxslt.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.
CVE-2019-8750: nalezeno programem OSS-Fuzz
mDNSResponder
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Útočníkovi ve fyzické blízkosti se může podařit pasivně zjišťovat názvy zařízení v rámci komunikace AWDL.
Popis: Problém byl vyřešen vyměněním názvů zařízení za náhodný identifikátor.
CVE-2019-8799: David Kreitschmann a Milan Stute ze Secure Mobile Networking Lab na Technické univerzitě v Darmstadtu
Menus
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2019-8826: nalezeno nástrojem GWP-ASan v Google Chromu
Notes
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Místnímu uživateli se může podařit odhalit uživatelovy zamčené poznámky.
Popis: Ve výsledcích vyhledávání se někdy zobrazoval obsah zamčených poznámek. Problém byl vyřešen vylepšením čištění dat.
CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) z Virginského polytechnického institutu a státní univerzity
PDFKit
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Útočníkovi se může podařit exfiltrovat obsah zašifrovaného PDF souboru.
Popis: Existoval problém ve zpracovávání odkazů v zašifrovaných PDF souborech. Problém byl vyřešen přidáním výzvy k potvrzení.
CVE-2019-8772: Jens Müller z Porúrské univerzity v Bochumi, Fabian Ising z Münsterské univerzity aplikovaných věd, Vladislav Mladenov z Porúrské univerzity v Bochumi, Christian Mainka z Porúrské univerzity v Bochumi, Sebastian Schinzel z Münsterské univerzity aplikovaných věd a Jörg Schwenk z Porúrské univerzity v Bochumi
PluginKit
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Místní uživatel může zjišťovat existenci libovolných souborů.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2019-8708: anonymní výzkumník
PluginKit
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8715: anonymní výzkumník
Sandbox
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Škodlivé aplikaci se může podařit získat přístup k omezeným souborům.
Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.
CVE-2019-8855: Apple
SharedFileList
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Škodlivé aplikaci se může podařit získat přístup k nedávným dokumentům.
Popis: Problém byl vyřešen vylepšením logiky oprávnění.
CVE-2019-8770: Stanislav Zinukhov ze společnosti Parallels International GmbH
sips
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) a pjf z týmu IceSword Lab společnosti Qihoo 360
UIFoundation
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Zpracování škodlivého textového souboru může vést k odhalení uživatelských informací.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2019-8761: Renee Trisberg ze společnosti SpectX
UIFoundation
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Zpracování škodlivého textového souboru může vést ke spuštění libovolného kódu.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.
CVE-2019-8745: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro
UIFoundation
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8831: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro
WebKit
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Návštěva škodlivého webu může odhalit historii prohlížení.
Popis: Existoval problém ve vykreslování prvků webových stránek. Problém byl vyřešen vylepšením logiky.
CVE-2019-8769: Piérre Reimertz (@reimertz)
WebKit
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Uživateli nemusí fungovat mazání položek z historie prohlížeče.
Popis: Volba „Smazat historii a data stránek“ nemazala historii. Problém byl vyřešen vylepšením mazání dat.
CVE-2019-8768: Hugo S. Diaz (coldpointblue)
Wi-Fi
K dispozici pro: MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)
Dopad: Zařízení je možné pasivně sledovat podle MAC adresy, se kterou se připojuje k Wi-Fi.
Popis: Problém se soukromím uživatelů byl vyřešen odebráním MAC adresy pro vysílání.
CVE-2019-8854: FuriousMacTeam z Námořní akademie Spojených států a Mitre Cooperation, Ta-Lun Yen z týmu UCCU Hacker
Další poděkování
AppleRTC
Poděkování za pomoc zaslouží Vitaly Cheptsov.
Audio
Poděkování za pomoc zaslouží riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro.
boringssl
Poděkování za pomoc zaslouží Nimrod Aviram z Telavivské univerzity, Robert Merget z Porúrské univerzity v Bochumi, Juraj Somorovsky z Porúrské univerzity v Bochumi a Thijs Alkemade (@xnyhps) ze společnosti Computest.
curl
Poděkování za pomoc zaslouží Joseph Barisa ze školského obvodu ve Filadelfii.
Finder
Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit).
Gatekeeper
Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit).
Identity Service
Poděkování za pomoc zaslouží Yiğit Can YILMAZ (@yilmazcanyigit).
Kernel
Poděkování za pomoc zaslouží Brandon Azad z týmu Google Project Zero a Vlad Tsyrklevich.
Local Authentication
Poděkování za pomoc zaslouží Ryan Lopopolo.
mDNSResponder
Poděkování za pomoc zaslouží Gregor Lang ze společnosti e.solutions GmbH.
python
Poděkování za pomoc zaslouží anonymní výzkumník.
Safari Data Importing
Poděkování za pomoc zaslouží Kent Zoya.
Security
Poděkování za pomoc zaslouží Pepijn Dutour Geerling (pepijn.io) a anonymní výzkumník.
Simple certificate enrollment protocol (SCEP)
Poděkování za pomoc zaslouží anonymní výzkumník.
Siri
Poděkování za pomoc zaslouží Yuval Ron, Amichai Shulman a Eli Biham z týmu Technion Izraelského technologického institutu.
Telephony
Poděkování za pomoc zaslouží Phil Stokes ze společnosti SentinelOne.
VPN
Poděkování za pomoc zaslouží Royce Gawron ze společnosti Second Son Consulting, Inc.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.