אודות תוכן האבטחה של macOS Mojave 10.14.4, עדכון האבטחה ‎2019-002 High Sierra ועדכון האבטחה ‎2019-002 Sierra

מסמך זה מתאר את תוכן האבטחה של macOS Mojave 10.14.4, עדכון האבטחה ‎2019-002 High Sierra ועדכון האבטחה ‎2019-002 Sierra.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Mojave 10.14.4, עדכון האבטחה ‎2019-002 High Sierra, עדכון האבטחה ‎2019-002 Sierra

הושק ב-25 במארס 2019

802.1X

זמין עבור: macOS Mojave 10.14.3

השפעה: תוקף במיקום מורשה ברשת עשוי להצליח ליירט תעבורה ברשת

תיאור: בעיה לוגית טופלה באמצעות ניהול מצב משופר.

CVE-2019-6203: ‏דומיניק ווייט מ-SensePost ‏(‎@singe)

הערך נוסף ב-15 באפריל 2019

802.1X

זמין עבור: macOS High Sierra 10.13.6

השפעה: אישור שרת רדיוס לא מהימן עלול להיחשב כמהימן

תיאור: ב'ניהול עוגן אמון' הייתה בעיית אימות. בעיה זו טופלה באמצעות שיפור האימות.

CVE-2019-8531: חוקר אנונימי, צוות QA של SecureW2

הערך נוסף ב-15 במאי 2019

חשבונות

זמין עבור: macOS Mojave 10.14.3

השפעה: עיבוד קובץ vcf בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.

CVE-2019-8538: טרבור ספיניולאס‎ ‏(‎@TrevorSpiniolas)

הערך נוסף ב-3 באפריל 2019

APFS

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה לוגית שהייתה קיימת גרמה להשחתת זיכרון. בעיה זו טופלה באמצעות ניהול מצב משופר.

CVE-2019-8534:‏ Mac בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-15 באפריל 2019

AppleGraphicsControl

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.

CVE-2019-8555: ‏ג'י-יי ג'אנג מ-360 ESG Codesafe Team, ג'ואו ליאנג ו-shrek_wzw מ-Qihoo 360 Nirvan Team

Bom

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה להצליח לעקוף את הבדיקות של Gatekeeper

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים בקובץ.

CVE-2019-6239: ‏איאן מורהאוס ומייקל טרים

CFString

זמין עבור: macOS Mojave 10.14.3

השפעה: עיבוד מחרוזת בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.

CVE-2019-8516:‏SWIPS Team מ-Frifee Inc.

configd

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8552: ‏מוחמד גנאם ‏(‎@_simo36)

אנשי קשר

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8511: חוקר אנונימי

CoreCrypto

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה להשיג הרשאות ברמה גבוהה יותר

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2019-8542: חוקר אנונימי

DiskArbitration

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: משתמש אחר עלול להצליח לבטל טעינה של אמצעי אחסון מוצפן ולטעון אותו מחדש ללא בקשת סיסמה

תיאור: בעיה לוגית טופלה באמצעות ניהול מצב משופר.

CVE-2019-8522: ‏קולין מגיניס ‏(‎@falc420)

FaceTime

זמין עבור: macOS Mojave 10.14.3

השפעה: ייתכן ששידור הווידאו של משתמש לא יושהה במהלך שיחת FaceTime אם הוא יוצא מאפליקציית FaceTime במהלך הצלצול של השיחה

תיאור: הייתה קיימת בעיה בהשהיה של וידאו ב-FaceTime. הבעיה טופלה באמצעות לוגיקה משופרת.

CVE-2019-8550: ‏לורן גוזניצ'ק מ-Keystone Academy

FaceTime

זמין עבור: macOS Mojave 10.14.3

השפעה: תוקף מקומי עלול להצליח להציג אנשי קשר ממסך הנעילה

תיאור: בעיה במסך הנעילה אפשרה גישה לאנשי קשר במכשיר נעול. בעיה זו טופלה באמצעות ניהול מצב משופר.

CVE-2019-8777: ‏עבדאללה ה. אל-ג'אבר ‏(‎@aljaber) מ-AJ.SA

הערך נוסף ב-8 באוקטובר 2019

עזרה במשוב

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה להשיג הרשאות בסיס

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2019-8565: ‏CodeColorist מ-Ant-Financial LightYear Labs

עזרה במשוב

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה למחוק קבצים אקראיים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרת.

CVE-2019-8521: ‏CodeColorist מ-Ant-Financial LightYear Labs

קובץ

זמין עבור: macOS Mojave 10.14.3

השפעה: עיבוד קובץ זדוני עלול לחשוף את פרטי המשתמש

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2019-8906: ‏פרנסיסקו אלונסו

הערך עודכן ב-15 באפריל 2019

מנהלי התקנים גרפיים

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2019-8519: אלכסנדר טראסיקוב ‏(‎@astarasikov), ‏ג'ו-וויי לין ‏(‎@panicaII) וג'ונג'י לו מ-Trend Micro Research בעבודה עם Zero Day Initiative של Trend Micro, לילאנג וו ומוני לי מ-Trend Micro

הערך עודכן ב-1 באוגוסט 2019

iAP

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה להשיג הרשאות ברמה גבוהה יותר

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2019-8542: חוקר אנונימי

IOGraphics

זמין עבור: macOS Mojave 10.14.3

השפעה: Mac עלול לא להינעל בניתוק ממסך חיצוני

תיאור: בעיית טיפול בנעילה טופלה באמצעות טיפול משופר בנעילה.

CVE-2019-8533: חוקר אנונימי, ג'יימס איגן מ-Télécom ParisTech, ‏ר. סקוט קמפ מ-MIT ורומקה ון דיק מ-Z-CERT

IOHIDFamily

זמין עבור: macOS Mojave 10.14.3

השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של המערכת או לקריאת זיכרון ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8545: ‏אדם דוננפלד ‏(‎@doadam) מ-Zimperium zLabs Team

IOKit

זמין עבור: ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: משתמש מקומי עלול להצליח לקרוא זיכרון ליבה

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8504: חוקר אנונימי

IOKit SCSI

זמין עבור: ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2019-8529: ‏ג'ו-וויי לין ‏(‎@panicaII) מ-Trend Micro Research בעבודה עם Zero Day Initiative של Trend Micro

הערך עודכן ב-15 באפריל 2019

ליבה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: משתמש מקומי עלול להצליח לקרוא זיכרון ליבה

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4448: ‏ברנדון אזאד

הערך נוסף ב-17 בספטמבר 2019

ליבה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: תוקף מרחוק עלול להצליח לשנות נתוני תעבורת רשת

תיאור: בעיית השחתת זיכרון הייתה קיימת בטיפול במנות IPv6. בעיה זו טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2019-5608:‏ Apple

הערך נוסף ב-6 באוגוסט 2019

ליבה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: תוקף מרחוק עלול לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.

CVE-2019-8527: ‏נד וויליאמסון מ-Google ודרק ‏(‎@derrekr6)

ליבה

זמין עבור: macOS Mojave 10.14.3, ‏macOS High Sierra 10.13.6

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2019-8528: ‏פביאנו אנמונה ‏(‎@anoane), ‏ג'או צ'י-שון ‏(‎@S0rryMybad) מ-Qihoo 360 Vulcan Team

הערך נוסף ב-3 באפריל 2019, עודכן ב-1 באוגוסט 2019

ליבה

זמין עבור: macOS Sierra 10.12.6,‏ macOS Mojave 10.14.3

השפעה: טעינת שיתוף רשת NFS בעל מבנה זדוני עלולה להוביל להפעלת קוד שרירותי עם הרשאות מערכת

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2019-8508: ‏ד"ר סילביו צ'זרה מ-InfoSect

ליבה

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה עלולה לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיה לוגית טופלה באמצעות ניהול מצב משופר.

CVE-2019-8514:‏ סמואל גרוס מ-Google Project Zero

ליבה

זמין עבור: macOS Sierra 10.12.6,‏ macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה לקבוע את פריסת זיכרון הליבה

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8540: ‏ווייבו ואנג ‏(‎@ma1fan) מ-Qihoo 360 Nirvan Team

ליבה

זמין עבור: macOS Mojave 10.14.3

השפעה: משתמש מקומי עלול להצליח לקרוא זיכרון ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-7293: ‏נד וויליאמסון מ-Google

ליבה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה לקבוע את פריסת זיכרון הליבה

תיאור: הייתה בעיה של קריאה מחוץ לתחום שהובילה לחשיפת זיכרון ליבה. הבעיה טופלה באמצעות אימות קלט משופר.

CVE-2019-6207: ‏ווייבו ואנג מ-Qihoo 360 Nirvan Team ‏(‎@ma1fan)

CVE-2019-8510: ‏סטפן אסר מ-Antid0te UG

ליבה

זמין עבור: macOS Mojave 10.14.3

השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון

תיאור: הייתה בעיה של קריאה מחוץ לתחום שהובילה לחשיפת זיכרון ליבה. הבעיה טופלה באמצעות אימות קלט משופר.

CVE-2019-8547: ‏דרק ‏(‎@derrekr6)

הערך נוסף ב-1 באוגוסט 2019

ליבה

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8525: ג'ואו ליאנג ו-shrek_wzw מ-Qihoo 360 Nirvan Team

הערך נוסף ב-1 באוגוסט 2019

libmalloc

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: אפליקציה זדונית עלולה להצליח לשנות חלקים מוגנים במערכת הקבצים

תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.

CVE-2018-4433: ‏ויטלי צ'פטסוב

הערך נוסף ב-1 באוגוסט 2019, עודכן ב-17 בספטמבר 2019

דואר

זמין עבור: macOS Mojave 10.14.3

השפעה: עיבוד הודעת דואר בעלת מבנה זדוני עלול להוביל לזיוף חתימת S/MIME

תיאור: בטיפול באישורי S-MIME הייתה בעיה. בעיה זו טופלה באמצעות אימות משופר של אישורי S-MIME.

CVE-2019-8642: ‏מאיה סיגל מהאוניברסיטה החופשית של ברלין, וולקר רות מהאוניברסיטה החופשית של ברלין

הערך נוסף ב-1 באוגוסט 2019

דואר

זמין עבור: macOS Mojave 10.14.3

השפעה: תוקף במיקום מורשה ברשת עשוי להצליח ליירט את התוכן של דוא"ל שמוצפן באמצעות S/MIME

תיאור: בטיפול בדואר מוצפן הייתה בעיה. בעיה זו טופלה באמצעות שיפור הבידוד של MIME ב'דואר'.

CVE-2019-8645: ‏מאיה סיגל מהאוניברסיטה החופשית של ברלין, וולקר רות מהאוניברסיטה החופשית של ברלין

הערך נוסף ב-1 באוגוסט 2019

הודעות

זמין עבור: macOS Mojave 10.14.3

השפעה: משתמש מקומי עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2019-8546: ‏צ'י-יואן צ'אנג

CCL של מודם

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה עלולה להצליח לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית אימות קלט טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8579: חוקר אנונימי

הערך נוסף ב-15 באפריל 2019

הערות

זמין עבור: macOS Mojave 10.14.3

השפעה: משתמש מקומי עלול להצליח לצפות בפתקים נעולים של המשתמש

תיאור: בעיית גישה טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2019-8537: ‏גרג ווקר ‏(gregwalker.us)

PackageKit

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2019-8561: ‏ג'רון ברדלי מ-Crowdstrike

Perl

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: מספר תקלות ב-Perl

תיאור: מספר תקלות ב-Perl טופלו בעדכון זה.

CVE-2018-12015: ‏ג'קוב ווילק

CVE-2018-18311: ‏ג'איאקרישנה מנון

CVE-2018-18313: ‏אייצ'י צוקטה

ניהול צריכת חשמל

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בקוד שנוצר על ידי MIG היו מספר תקלות. בעיות אלה טופלו באמצעות אימות משופר.

CVE-2019-8549: ‏מוחמד גנאם ‏(‎@_simo36) מ-SSD Secure Disclosure ‏(ssd-disclosure.com)

QuartzCore

זמין עבור: macOS Mojave 10.14.3

השפעה: עיבוד נתונים זדוניים עלול להוביל לסיום אפליקציה לא צפוי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות אימות קלט משופר.

CVE-2019-8507: ‏קאי לו מ-FortiGuard Labs של Fortinet

Sandbox

זמין עבור: macOS Mojave 10.14.3

השפעה: תהליך בשלב ארגז החול עלול להצליח לעקוף את ההגבלות של ארגז החול

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2019-8618: ‏ברנדון אזאד

הערך נוסף ב-1 באוגוסט 2019

אבטחה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: אפליקציה עלולה לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2019-8526: ‏ליינוס הנזה ‏(pinauten.de)

אבטחה

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה להצליח לקרוא זיכרון מוגבל

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2019-8520: אנטוניו גרוצה, National Cyber Security Centre ‏(NCSC) בבריטניה

אבטחה

זמין עבור: macOS Mojave 10.14.3

השפעה: אישור שרת רדיוס לא מהימן עלול להיחשב כמהימן

תיאור: ב'ניהול עוגן אמון' הייתה בעיית אימות. בעיה זו טופלה באמצעות שיפור האימות.

CVE-2019-8531: חוקר אנונימי, צוות QA של SecureW2

אבטחה

זמין עבור: macOS Mojave 10.14.3

השפעה: אישור שרת רדיוס לא מהימן עלול להיחשב כמהימן

תיאור: ב'ניהול עוגן אמון' הייתה בעיית אימות. בעיה זו טופלה באמצעות שיפור האימות.

CVE-2019-8531: חוקר אנונימי, צוות QA של SecureW2

הערך נוסף ב-15 במאי 2019

Siri

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה להצליח ליזום בקשת 'הכתבה' ללא אישור המשתמש

תיאור: בעיית API שהייתה קיימת בטיפול בבקשות 'הכתבה'. בעיה זו טופלה באמצעות שיפור האימות.

CVE-2019-8502: ‏לוק דשוטלס מאוניברסיטת המדינה של צפון קרוליינה, ג'ורדן בייקלר מאוניברסיטת המדינה של צפון קרוליינה, ‏וויליאם אנק מאוניברסיטת המדינה של צפון קרוליינה, קוסטין קרבש מאוניברסיטת פוליטכניקה בבוקרשט ורזבן דקונסקו מאוניברסיטת פוליטכניקה בבוקרשט

Time Machine

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: משתמש מקומי עלול להצליח להפעיל פקודות מעטפת אקראיות

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2019-8513: ‏CodeColorist מ-Ant-Financial LightYear Labs

תמיכה ב-Touch Bar

זמין עבור: macOS Mojave 10.14.3

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8569: ‏ויקטור אורשקין ‏(‎@stek29)

הערך נוסף ב-1 באוגוסט 2019

TrueTypeScaler

זמין עבור: macOS Mojave 10.14.3

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2019-8517:‏ riusksk מ-VulWar Corp בעבודה עם Trend Micro Zero Day Initiative

Wi-Fi

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6, ‏macOS Mojave 10.14.3

השפעה: תוקף במיקום מורשה ברשת יכול לשנות מצב מנהל התקן

תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.

CVE-2019-8564: ‏הוגו אנגלקוב במהלך התמחות ב-Quarkslab

הערך נוסף ב-15 באפריל 2019

Wi-Fi

זמין עבור: macOS Sierra 10.12.6, ‏macOS High Sierra 10.13.6

השפעה: תוקף במיקום מורשה ברשת עלול להצליח לשנות מצב של מנהל התקן

תיאור: בעיה לוגית טופלה באמצעות ניהול מצב משופר.

CVE-2019-8612: ‏מילאן סטוט מ-Secure Mobile Networking Lab מהאוניברסיטה הטכנית של דרשמטדט

הערך נוסף ב-1 באוגוסט 2019

Wi-Fi

זמין עבור: macOS Mojave 10.14.3

השפעה: מכשיר עלול להיות במעקב פאסיבי לפי כתובת ה-MAC האלחוטית שלו

תיאור: בעיית פרטיות משתמש טופלה על ידי הסרת כתובת ה-MAC המשודרת.

CVE-2019-8567: ‏דייויד קרייצ'מן ומילאן סטוט מ-Secure Mobile Networking Lab באוניברסיטה הטכנית של דרשמטדט

הערך נוסף ב-1 באוגוסט 2019

xar

זמין עבור: macOS Mojave 10.14.3

השפעה: עיבוד מנה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: בטיפול בקישורים סימבוליים הייתה בעיית אימות. בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2019-6238: ‏ייגיט ג'ן ילמז ‏(‎@yilmazcanyigit)

הערך נוסף ב-15 באפריל 2019

XPC

זמין עבור: macOS Sierra 10.12.6,‏ macOS Mojave 10.14.3

השפעה: אפליקציה זדונית עלולה להצליח למחוק קבצים שרירותיים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרת.

CVE-2019-8530: ‏CodeColorist מ-Ant-Financial LightYear Labs

תודות נוספות

חשבונות

אנחנו מבקשים להודות למילאן סטוט מ-Secure Mobile Networking Lab מהאוניברסיטה הטכנית של דרשמטדט על הסיוע.

ספרים

אנחנו מבקשים להודות ל‏ייגיט ג'ן ילמז ‏(@yilmazcanyigit) על הסיוע.

ליבה

אנחנו מבקשים להודות לברנדון אזאד, ברנדון אזאד מ-Google Project Zero, לדניאל רות'ליסברגר מ-Swisscom CSIRT ולרז משט ‏(‎@RazMashat) מבית הספר התיכון אילן רמון על הסיוע.

הערך עודכן ב-17 בספטמבר 2019

דואר

אנחנו מבקשים להודות לקרייג יאנג מ-Tripwire VERT ולהאנו בוק על הסיוע.

Time Machine

אנחנו מבקשים להודות ל-CodeColorist מ-Ant-Financial LightYear Labs על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופקים ללא המלצות או חסות. Apple לא תישא באחריות לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מייצגת את מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. הסיכונים כרוכים בעצם השימוש באינטרנט. צור קשר עם הספק לקבלת מידע נוסף. שמות של חברות ומוצרים אחרים עשויים להוות סימנים מסחריים של בעליהם, בהתאמה.

תאריך פרסום: