Informace o bezpečnostním obsahu macOS Catalina 10.15.2, bezpečnostní aktualizace 2019-002 pro Mojave a bezpečnostní aktualizace 2019-007 pro High Sierra
Tento dokument popisuje bezpečnostní obsah macOS Catalina 10.15.2, bezpečnostní aktualizace 2019-002 pro Mojave a bezpečnostní aktualizace 2019-007 pro High Sierra.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
macOS Catalina 10.15.2, bezpečnostní aktualizace 2019-002 pro Mojave, bezpečnostní aktualizace 2019-007 pro High Sierra
ATS
K dispozici pro: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Škodlivé aplikaci se může podařit získat přístup k omezeným souborům.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2019-8837: Csaba Fitzl (@theevilbit)
Bluetooth
K dispozici pro: macOS Catalina 10.15
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2019-8853: Jianjun Dai z týmu Qihoo 360 Alpha Lab
CallKit
K dispozici pro: macOS Catalina 10.15
Dopad: Na zařízeních se dvěma aktivními tarify můžou hovory iniciované pomocí Siri používat nesprávný mobilní tarif.
Popis: Ve zpracování odchozích hovorů iniciovaných pomocí Siri existoval problém s API. Problém byl vyřešen vylepšením zpracovávání stavů.
CVE-2019-8856: Fabrice TERRANCLE ze společnosti TERRANCLE SARL
Proxy servery frameworku CFNetwork
K dispozici pro: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Aplikaci se může podařit navýšit si oprávnění.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2019-8848: Zhuo Liang z týmu Qihoo 360 Vulcan
CFNetwork
K dispozici pro: macOS Catalina 10.15
Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit obejít mechanismus HSTS u omezeného počtu konkrétních domén prvního řádu, které dříve nebyly v HSTS preload listu.
Popis: Problém s konfigurací byl vyřešen přidáním dalších omezení.
CVE-2019-8834: Rob Sayre (@sayrer)
CUPS
K dispozici pro: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: V určitých konfiguracích se vzdálenému útočníkovi může podařit zadat libovolné tiskové úlohy.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.
CVE-2019-8842: Niky1235 ze společnosti China Mobile
CUPS
K dispozici pro: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Útočníkovi s vysokými oprávněními se může podařit způsobit útok odmítnutím služby.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.
CVE-2019-8839: Stephan Zeisberg ze Security Research Labs
FaceTime
K dispozici pro: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Zpracování škodlivého videa přes FaceTime může vést ke spuštění libovolného kódu.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2019-8830: natashenka z týmu Google Project Zero
IOGraphics
K dispozici pro: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Mac se nemusí zamknout hned po probuzení.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2019-8851: Vladik Khononov ze společnosti DoiT International
Jádro
K dispozici pro: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen odstraněním zranitelného kódu.
CVE-2019-8833: Ian Beer z týmu Google Project Zero
Jádro
K dispozici pro: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8828: Cim Stordal ze společnosti Cognite
CVE-2019-8838: Dr Silvio Cesare ze společnosti InfoSect
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) z WaCai
libexpat
K dispozici pro: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Parsování škodlivého XML souboru může vést k odhalení uživatelských informací.
Popis: Problém byl vyřešen aktualizováním součásti expat na verzi 2.2.8.
CVE-2019-15903: Joonun Jang
Poznámky
K dispozici pro: macOS Catalina 10.15
Dopad: Vzdálenému útočníkovi se může podařit přepisovat existující soubory.
Popis: Problém s parsováním ve zpracování cest adresářů byl vyřešen lepším ověřováním cest.
CVE-2020-9782: Allison Husain z UC Berkeley
OpenLDAP
K dispozici pro: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Několik problémů v OpenLDAP.
Popis: Několik problémů bylo vyřešeno aktualizováním OpenLDAP na verzi 2.4.28.
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
Zabezpečení
K dispozici pro: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8832: Insu Yun z týmu SSLab na univerzitě Georgia Tech
tcpdump
K dispozici pro: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Dopad: Několik problémů v programu tcpdump
Popis: Několik problémů bylo vyřešeno aktualizováním součásti tcpdump na verzi 4.9.3 a knihovny libpcap na verzi 1.9.1.
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
Wi-Fi
K dispozici pro: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Dopad: Útočníkovi v dosahu Wi-Fi se může podařit zobrazit malou část síťového provozu.
Popis: Ve zpracování přechodů stavu existoval problém v logice. Problém byl vyřešen vylepšením správy stavu.
CVE-2019-15126: Miloš Čermák ze společnosti ESET
Další poděkování
Účty
Poděkování za pomoc zaslouží Allison Husain z UC Berkeley, Kishan Bagaria (KishanBagaria.com) a Tom Snelling z Loughborough University.
Core Data
Poděkování za pomoc zaslouží natashenka z týmu Google Project Zero.
Finder
Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit).
Jádro
Poděkování za pomoc zaslouží Daniel Roethlisberger z týmu Swisscom CSIRT.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.