Informace o bezpečnostním obsahu macOS Catalina 10.15

Tento dokument popisuje bezpečnostní obsah aktualizace macOS Catalina 10.15.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

macOS Catalina 10.15

Vydáno 7. října 2019

AMD

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2019-8748: Lilang Wu a Moony Li z týmu Trend Micro Mobile Security Research

apache_mod_php

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Několik problémů v PHP.

Popis: Několik problémů bylo vyřešeno aktualizováním PHP na verzi 7.3.8.

CVE-2019-11041

CVE-2019-11042

Zvuk

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2019-8706: Yu Zhou z týmu Ant-Financial Light-Year Security Lab

Záznam přidán 29. října 2019

Zvuk

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Zpracování škodlivého zvukového souboru může odhalit obsah vyhrazené paměti.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2019-8850: Anonymní výzkumník z Trend Micro Zero Day Initiative

Záznam přidán 4. prosince 2019

Knihy

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Parsování škodlivého souboru iBooks může vést k dlouhodobému odmítnutí služeb.

Popis: Problém s vyčerpáním zdrojů byl vyřešen vylepšením ověřování vstupů.

CVE-2019-8774: Gertjan Franken, imec-DistriNet, KU Leuven

Záznam přidán 29. října 2019

CFNetwork

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Zpracování škodlivého webového obsahu může vést k útoku skriptováním napříč weby.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2019-8753: Łukasz Pilorz, Standard Chartered GBS, Polsko

Záznam přidán 29. října 2019

CoreAudio

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Zpracování škodlivého filmu může vést k odhalení procesní paměti.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.

CVE-2019-8705: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro

CoreAudio

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Přehrání škodlivého zvukového souboru může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2019-8592: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro

Záznam přidán 6. listopadu 2019

CoreCrypto

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Zpracování velkého vstupu může vést k odmítnutí služby.

Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování vstupů.

CVE-2019-8741: Nicky Mouha z NIST

Záznam přidán 29. října 2019

CoreMedia

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2019-8825: Nalezeno nástrojem GWP-ASan v Google Chromu

Záznam přidán 29. října 2019

Oznamovatel pádů softwaru

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Když uživatel zruší výběr volby „Sdílet data analýzy Macu“, nemusí se volba doopravdy vypnout.

Popis: Při čtení a zápisu předvoleb uživatele existoval problém se souběhem. Problém byl vyřešen vylepšením zpracovávání stavů.

CVE-2019-8757: William Cerniuk ze společnosti Core Development, LLC

CUPS

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit odhalit citlivá uživatelská data.

Popis: Problém s ověřováním vstupů byl vyřešen vylepšením ověřování vstupů.

CVE-2019-8736: Pawel Gocyla ze společnosti ING Tech Poland (ingtechpoland.com)

Záznam přidán 29. října 2019

CUPS

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Zpracování škodlivého řetězce může vést k poškození haldy.

Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.

CVE-2019-8767: Stephen Zeisberg

Záznam přidán 29. října 2019

CUPS

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Útočníkovi s vysokými oprávněními se může podařit způsobit útok odmítnutím služby.

Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování.

CVE-2019-8737: Pawel Gocyla ze společnosti ING Tech Poland (ingtechpoland.com)

Záznam přidán 29. října 2019

Karanténa souborů

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Škodlivá aplikace si může navýšit oprávnění.

Popis: Problém byl vyřešen odebráním zranitelného kódu.

CVE-2019-8509: CodeColorist z týmu Ant-Financial Light-Year Labs

Záznam přidán 29. října 2019

Foundation

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.

CVE-2019-8746: Natalie Silvanovich a Samuel Groß z týmu Google Project Zero

Záznam přidán 29. října 2019

Grafika

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Zpracování škodlivého shaderu může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.

CVE-2018-12152: Piotr Bania ze společnosti Cisco Talos

CVE-2018-12153: Piotr Bania ze společnosti Cisco Talos

CVE-2018-12154: Piotr Bania ze společnosti Cisco Talos

Záznam přidán 29. října 2019

IOGraphics

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Místnímu uživateli se může podařit způsobit neočekávané ukončení systému nebo číst paměť jádra.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2019-8759: another z týmu 360 Nirvan

Záznam přidán 29. října 2019

Ovladač grafiky Intel

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2019-8758: Lilang Wu a Moony Li ze společnosti Trend Micro

IOGraphics

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Škodlivé aplikaci se může podařit rozpoznat rozvržení jádra.

Popis: Problém v logice byl vyřešen vylepšením omezení.

CVE-2019-8755: Lilang Wu a Moony Li ze společnosti Trend Micro

Jádro

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Místní aplikaci se může podařit přečíst trvalý identifikátor účtu.

Popis: Problém s ověřováním byl vyřešen vylepšením logiky.

CVE-2019-8809: Apple

Záznam přidán 29. října 2019

Jádro

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Škodlivé aplikaci se může podařit rozpoznat rozvržení jádra.

Popis: Při zpracování paketů IPv6 existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.

CVE-2019-8744: Zhuo Liang z týmu Qihoo 360 Vulcan

Záznam přidán 29. října 2019

Jádro

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2019-8717: Jann Horn z týmu Google Project Zero

Jádro

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

Záznam aktualizován 29. října 2019

libxml2

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Několik problémů v knihovně libxml2.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.

CVE-2019-8749: nalezeno programem OSS-Fuzz

CVE-2019-8756: nalezeno programem OSS-Fuzz

Záznam přidán 29. října 2019

libxslt

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Několik problémů v libxslt

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.

CVE-2019-8750: nalezeno programem OSS-Fuzz

Záznam přidán 29. října 2019

mDNSResponder

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Útočníkovi ve fyzické blízkosti se může podařit pasivně zjišťovat názvy zařízení v rámci komunikace AWDL.

Popis: Problém byl vyřešen vyměněním názvů zařízení za náhodný identifikátor.

CVE-2019-8799: David Kreitschmann a Milan Stute ze Secure Mobile Networking Lab na Technické univerzitě v Darmstadtu

Záznam přidán 29. října 2019

Nabídky

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2019-8826: Nalezeno nástrojem GWP-ASan v Google Chromu

Záznam přidán 29. října 2019

Poznámky

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Místnímu uživateli se může podařit odhalit uživatelovy zamčené poznámky.

Popis: Ve výsledcích vyhledávání se někdy zobrazoval obsah zamčených poznámek. Problém byl vyřešen vylepšením čištění dat.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) z Virginského polytechnického institutu a státní univerzity

PDFKit

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Útočníkovi může podařit zjistit obsah zašifrovaného PDF souboru.

Popis: Existoval problém ve zpracovávání odkazů v zašifrovaných PDF souborech. Problém byl vyřešen přidáním výzvy k potvrzení.

CVE-2019-8772: Jens Müller z Porúrské univerzity v Bochumu, Fabian Ising z Münsterské univerzity aplikovaných věd, Vladislav Mladenov z Porúrské univerzity v Bochumu, Christian Mainka z Porúrské univerzity v Bochumu, Sebastian Schinzel z Münsterské univerzity aplikovaných věd a Jörg Schwenk z Porúrské univerzity v Bochumu

PluginKit

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Místní uživatel může zjišťovat existenci libovolných souborů.

Popis: Problém v logice byl vyřešen vylepšením omezení.

CVE-2019-8708: anonymní výzkumník

Záznam přidán 29. října 2019

PluginKit

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2019-8715: anonymní výzkumník

Záznam přidán 29. října 2019

Sandbox

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Škodlivé aplikaci se může podařit získat přístup k omezeným souborům.

Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu.

CVE-2019-8855: Apple

Záznam přidán 18. prosince 2019

SharedFileList

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Škodlivé aplikaci se může podařit získat přístup k posledním dokumentům.

Popis: Problém byl vyřešen vylepšením logiky oprávnění.

CVE-2019-8770: Stanislav Zinukhov ze společnosti Parallels International GmbH

sips

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) a pjf z týmu IceSword Lab společnosti Qihoo 360

UIFoundation

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Zpracování škodlivého textového souboru může vést ke zveřejnění uživatelských informací.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2019-8761: Renee Trisberg ze společnosti SpectX

Záznam přidán 29. října 2019

UIFoundation

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Zpracování škodlivého textového souboru může vést ke spuštění libovolného kódu.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.

CVE-2019-8745: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro

UIFoundation

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2019-8831: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro

Záznam přidán 18. listopadu 2019

WebKit

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Návštěva škodlivého webu může odhalit historii prohlížení.

Popis: Existoval problém ve vykreslování prvků webových stránek. Problém byl vyřešen vylepšením logiky.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Uživateli nemusí fungovat mazání položek z historie prohlížeče.

Popis: Volba „Smazat historii a data stránek“ nemazala historii. Problém byl vyřešen vylepšením mazání dat.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Wi-Fi

MacBook (začátek roku 2015 nebo novější), MacBook Air (polovina roku 2012 nebo novější), MacBook Pro (polovina roku 2012 nebo novější), Mac mini (konec roku 2012 nebo novější), iMac (konec roku 2012 nebo novější), iMac Pro (všechny modely), Mac Pro (konec roku 2013 nebo novější)

Dopad: Zařízení je možné pasivně sledovat podle jeho MAC adresy Wi-Fi rozhraní.

Popis: Problém se soukromím uživatelů byl vyřešen odebráním MAC adresy pro vysílání.

CVE-2019-8854: FuriousMacTeam z Námořní akademie Spojených států a Mitre Cooperation, Ta-Lun Yen z týmu UCCU Hacker

Záznam přidán 4. prosince 2019, aktualizován 18. prosince 2019

Další poděkování

AppleRTC

Poděkování za pomoc zaslouží Vitaly Cheptsov.

Záznam přidán 29. října 2019

Zvuk

Poděkování za pomoc zaslouží riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro.

Záznam přidán 29. října 2019

boringssl

Poděkování za pomoc zaslouží Nimrod Aviram z Telavivské univerzity, Robert Merget z Porúrské univerzity v Bochumi, Juraj Somorovsky z Porúrské univerzity v Bochumi a Thijs Alkemade (@xnyhps) ze společnosti Computest.

Záznam přidán 8. října 2019, aktualizován 29. října 2019

Finder

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit).

Gatekeeper

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit).

Identity Service

Poděkování za pomoc zaslouží Yiğit Can YILMAZ (@yilmazcanyigit).

Záznam přidán 29. října 2019

Jádro

Poděkování za pomoc zaslouží Brandon Azad z týmu Google Project Zero.

Záznam přidán 29. října 2019

mDNSResponder

Poděkování za pomoc zaslouží Gregor Lang ze společnosti e.solutions GmbH.

Záznam přidán 29. října 2019

Python

Poděkování za pomoc zaslouží anonymní výzkumník.

Záznam přidán 29. října 2019

Import dat Safari

Poděkování za pomoc zaslouží Kent Zoya.

Zabezpečení

Poděkování za pomoc zaslouží Pepijn Dutour Geerling (pepijn.io) a anonymní výzkumník.

Záznam přidán 18. listopadu 2019

Protokol SCEP (Simple Certificate Enrollment Protocol)

Poděkování za pomoc zaslouží anonymní výzkumník.

Siri

Poděkování za pomoc zaslouží Yuval Ron, Amichai Shulman a Eli Biham z týmu Technion z Israel Institute of Technology.

Záznam přidán 4. prosince 2019, aktualizován 18. prosince 2019

Telefonování

Poděkování za pomoc zaslouží Phil Stokes ze společnosti SentinelOne.

VPN

Poděkování za pomoc zaslouží Royce Gawron ze společnosti Second Son Consulting, Inc.

Záznam přidán 29. října 2019

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: