אודות תוכן האבטחה של macOS Catalina 10.15

מסמך זה מתאר את תוכן האבטחה של macOS Catalina 10.15.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

macOS Catalina 10.15

הופץ ב-7 באוקטובר 2019

AMD

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8748: לילנג וו ומוני לי מ-TrendMicro Mobile Security Research Team

apache_mod_php

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: מספר בעיות ב-PHP

תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 7.3.8 של PHP.

CVE-2019-11041

CVE-2019-11042

שמע

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8706: יו ג'ואו מ-Ant-Financial Light-Year Security Lab

הערך נוסף ב-29 באוקטובר 2019

שמע

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול לחשוף זיכרון מוגבל

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2019-8850:‏ אנונימי יחד עם Zero Day Initiative של Trend Micro

הערך נוסף ב-4 בדצמבר 2019

Books

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: ניתוח קובץ iBooks בעל מבנה זדוני עלול להוביל למניעת שירות באופן מתמיד

תיאור: בעיה של מיצוי משאבים טופלה באמצעות אימות קלט משופר.

CVE-2019-8774:‏ חרטיאן פרנקן, imec-DistriNet מאוניברסיטת לוון

הערך נוסף ב-29 באוקטובר 2019

CFNetwork

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2019-8753:‏ לוקאס פילורז מ-Standard Chartered GBS Poland

הערך נוסף ב-29 באוקטובר 2019

CoreAudio

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: עיבוד של סרט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2019-8705: ‏riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro

CoreAudio

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: הפעלת קובץ שמע זדוני עלולה להוביל להפעלת קוד שרירותי

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2019-8592: ‏riusksk מ-VulWar Corp יחד עם Zero Day Initiative של Trend Micro

הערך נוסף ב-6 בנובמבר 2019

CoreCrypto

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: עיבוד קלט גדול עלול להוביל למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.

CVE-2019-8741: ניקי מוהא מ-NIST

הערך נוסף ב-29 באוקטובר 2019

CoreMedia

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8825: התגלה על ידי GWP-ASan ב-Google Chrome

הערך נוסף ב-29 באוקטובר 2019

Crash Reporter

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: ייתכן שההגדרה 'שתף נתוני Mac' לא תושבת כשמשתמש מעביר את המתג למצב שבו הבחירה לשתף נתונים מבוטלת

תיאור: התקיים בקריאה וכתיבה של העדפות המשתמש נוצרה תופעה של מרוץ תהליכים. בעיה זו טופלה באמצעות טיפול משופר במצב.

CVE-2019-8757:‏ וויליאם צ'רניאק מ-Core Development, LLC

CUPS

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: ייתכן שתוקף במיקום מורשה ברשת יוכל להדליף מידע משתמש רגיש

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2019-8736: פאבל גוצילה מ-ING Tech Poland‏ (ingtechpoland.com)

הערך נוסף ב-29 באוקטובר 2019

CUPS

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: עיבוד מחרוזת בעלת מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: בעיית צריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2019-8767: סטיבן זייסברג

הערך נוסף ב-29 באוקטובר 2019

CUPS

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: תוקף במיקום מורשה עלול להצליח לבצע מתקפה של מניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.

CVE-2019-8737: פאבל גוצילה מ-ING Tech Poland‏ (ingtechpoland.com)

הערך נוסף ב-29 באוקטובר 2019

dyld

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8776:‏ יאן הורן מ-Google Project Zero

הערך נוסף ב-3 בפברואר 2020

הסגר קובץ

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2019-8509: CodeColorist מ-Ant-Financial LightYear Labs

הערך נוסף ב-29 באוקטובר 2019

יסוד

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2019-8746: נטאשנקה וסמואל גרוס מ-Google Project Zero

הערך נוסף ב-29 באוקטובר 2019

גרפיקה

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: עיבוד תוכנת shader זדונית עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.

CVE-2018-12152: פיוטר באניה מ-Cisco Talos

CVE-2018-12153: פיוטר באניה מ-Cisco Talos

CVE-2018-12154: פיוטר באניה מ-Cisco Talos

הערך נוסף ב-29 באוקטובר 2019

IOGraphics

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של המערכת או לקריאת זיכרון ליבה

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2019-8759: עוד אחד מ-360 Nirvan Team

הערך נוסף ב-29 באוקטובר 2019

Intel Graphics Driver

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8758:‏ לילנג וו ומוני לי מ-Trend Micro

IOGraphics

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2019-8755:‏ לילנג וו ומוני לי מ-Trend Micro

ליבה

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.

CVE-2019-8703: חוקר אנונימי

הערך נוסף ב-16 במרץ 2021

ליבה

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: אפליקציה מקומית עלולה לקרוא מזהה חשבון מתמיד

תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.

CVE-2019-8809:‏ Apple

הערך נוסף ב-29 באוקטובר 2019

ליבה

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיית השחתת זיכרון הייתה קיימת בטיפול במנות IPv6. בעיה זו טופלה באמצעות ניהול זיכרון משופר.

CVE-2019-8744: ‏ז'ואו ליאנג מ-Qihoo 360 Vulcan Team

הערך נוסף ב-29 באוקטובר 2019

ליבה

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8717:‏ יאן הורן מ-Google Project Zero

ליבה

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8709: דרק (‎@derrekr6) דרק (‎@derrekr6)

CVE-2019-8781:‏ לינוס הנצה (pinauten.de)

הערך עודכן ב-29 באוקטובר 2019

libxml2

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: מספר בעיות ב-libxml2

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.

CVE-2019-8749: התגלה על-ידי OSS-Fuzz

CVE-2019-8756: התגלה על-ידי OSS-Fuzz

הערך נוסף ב-29 באוקטובר 2019

libxslt

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: מספר בעיות ב-libxslt

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.

CVE-2019-8750: התגלה על-ידי OSS-Fuzz

הערך נוסף ב-29 באוקטובר 2019

mDNSResponder

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: תוקף שנמצא בקרבת מקום עלול להצליח להתבונן בצורה פסיבית בשמות מכשירים בתקשורת AWDL

תיאור: בעיה זו נפתרה על-ידי החלפת שמות מכשירים עם מזהה אקראי.

CVE-2019-8799: דייוויד קרייטשמן ומילאן סטוט מ-Secure Mobile Networking Lab באוניברסיטה הטכנית של דרמשטאדט

הערך נוסף ב-29 באוקטובר 2019

תפריטים

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8826: התגלה על ידי GWP-ASan ב-Google Chrome

הערך נוסף ב-29 באוקטובר 2019

הערות

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: משתמש מקומי עלול להצליח לצפות בפתקים נעולים של המשתמש

תיאור: התוכן של פתקים נעולים היה מופיע לעיתים בתוצאות חיפוש. בעיה זו טופלה באמצעות שיפור ניקוי הנתונים.

CVE-2019-8730: ג'יימי בלומברג ‏(‎@jamie_blumberg) מהמכון הפוליטכני של וירג'ינה ואוניברסיטת המדינה

PDFKit

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: ייתכן שתוקף יוכל לחלץ את התוכן של קובץ PDF מוצפן

תיאור: הייתה בעיה בטיפול בקישורים בקובצי PDF מוצפנים. הבעיה טופלה באמצעות הוספת בקשה לאישור.

CVE-2019-8772:‏ ינס מילר מאוניברסיטת רוהר בוכום,‏ פביאן איסינג מאוניברסיטת מינסטר FH למדעים שימושיים,‏ ולדיסלב מלדנוב מאוניברסיטת רוהר בוכום, כריסטיאן מיינקה מאוניברסיטת רוהר בוכום,‏ סבסטיאן שינצל מאוניברסיטת מינסטר FH למדעים שימושיים ויירג שוונק מאוניברסיטת רוהר בוכום

PluginKit

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: ייתכן שמשתמש מקומי יוכל לחפש קבצים שרירותיים

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2019-8708: חוקר אנונימי

הערך נוסף ב-29 באוקטובר 2019

PluginKit

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8715: חוקר אנונימי

הערך נוסף ב-29 באוקטובר 2019

Sandbox

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: יישום זדוני עלול להצליח לגשת לקבצים מוגבלים

תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.

CVE-2019-8855:‏ Apple

הערך נוסף ב-18 בדצמבר 2019

SharedFileList

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: אפליקציה זדונית עלולה להצליח לגשת למסמכים מהתקופה האחרונה

תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.

CVE-2019-8770:‏ סטניסלב זינוחוב מ-Parallels International GmbH

sips

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8701: סימון הואנג‏ (‎@HuangShaomang), רונג פן ‏(‎@fanrong1992) ו-pjf מ-IceSword Lab ב-Qihoo 360

UIFoundation

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: ניתוח קובץ טקסט בעל מבנה זדוני עלול להוביל להסגרת מידע משתמש

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2019-8761: פאולוס ייבלו מ-Limehats, רנה טריסברג מ-SpectX

הערך עודכן ב-10 באוגוסט 2020

UIFoundation

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2019-8745:‏ riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro

UIFoundation

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8831:‏ riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-18 בנובמבר 2019

WebKit

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: ביקור באתר בעל מבנה זדוני עלול לחשוף את היסטוריית הגלישה באינטרנט

תיאור: בציור רכיבים של דפי אינטרנט הייתה בעיה. הבעיה טופלה באמצעות לוגיקה משופרת.

CVE-2019-8769:‏ פייר ריימרץ (@reimertz)

WebKit

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: ייתכן שמשתמש לא יוכל למחוק פריטים בהיסטוריית הגלישה באינטרנט

תיאור: הפעולה 'נקה היסטוריה ונתוני אתרים' לא ניקתה את ההיסטוריה. הבעיה טופלה באמצעות שיפור מחיקת הנתונים.

CVE-2019-8768: הוגו ס. דיאז ‏(coldpointblue)

Wi-Fi

זמין עבור: MacBook (תחילת 2015 ואילך), MacBook Air (אמצע 2012 ואילך), MacBook Pro (אמצע 2012 ואילך), Mac mini (סוף 2012 ואילך), iMac (סוף 2012 ואילך), iMac Pro (כל הדגמים), Mac Pro (סוף 2013 ואילך)

השפעה: מכשיר עלול להיות במעקב פאסיבי לפי כתובת ה-MAC האלחוטית שלו

תיאור: בעיית פרטיות משתמש טופלה על ידי הסרת כתובת ה-MAC המשודרת.

CVE-2019-8854: צוות FuriousMac מאקדמיית הצי של ארה"ב ו-Mitre Cooperation, ‏Ta-Lun Yen מ-UCCU Hacker

הערך נוסף ב-4 בדצמבר 2019, עודכן ב-18 בדצמבר 2019

תודות נוספות

AppleRTC

אנחנו מבקשים להודות לויטאלי צ'פטוב על עזרתו.

הערך נוסף ב-29 באוקטובר 2019

שמע

אנחנו מבקשים להודות ל-riusksk מ-VulWar Corp יחד עם Zero Day Initiative של Trend Micro על הסיוע.

הערך נוסף ב-29 באוקטובר 2019

boringssl

אנחנו מבקשים להודות לנמרוד אבירם מאוניברסיטת תל-אביב, לרוברט מרגט מאוניברסיטת רוהר בוכום, ליורי סומורובסקי מאוניברסיטת רוהר בוכום ולטיס אלקמאדה (‎@xnyhps) מ-Computest על הסיוע.

הערך נוסף ב-8 באוקטובר 2019, עודכן ב-29 באוקטובר 2019

curl

אנחנו מבקשים להודות לג'וזף באריסה ממחוז חינוך פילדלפיה על הסיוע.

הערך נוסף ב-3 בפברואר 2020, עודכן ב-11 בפברואר 2020

Finder

אנחנו מבקשים להודות לסאבה פיצל ‏(‎@theevilbit) על הסיוע.

Gatekeeper

אנחנו מבקשים להודות לסאבה פיצל ‏(‎@theevilbit) על הסיוע.

שירות זיהוי

ברצוננו להודות לייגיט קאן יילמז (Yiğit Can YILMAZ)‏ (‎@yilmazcanyigit) על העזרה.

הערך נוסף ב-29 באוקטובר 2019

ליבה

אנחנו מבקשים להודות לברנדון אזאד מ-Google Project Zero ולוולאד צירקלביץ' על הסיוע.

הערך עודכן ב-28 ביולי 2020

אימות מקומי

אנחנו מבקשים להודות לראיין לופופולו על הסיוע.

הערך נוסף ב-3 בפברואר 2020

mDNSResponder

אנחנו מבקשים להודות לגרגור לאנג מ-e.solutions GmbH על הסיוע.

הערך נוסף ב-29 באוקטובר 2019

python

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

הערך נוסף ב-29 באוקטובר 2019

יבוא נתונים של Safari

אנחנו מבקשים להודות לקנט זויה על הסיוע.

אבטחה

אנחנו מבקשים להודות לפפין דוטור גירלינג (pepijn.io), חוקר אנונימי, על הסיוע.

הערך נוסף ב-18 בנובמבר 2019

פרוטוקול הרשמה באמצעות אישור פשוט (SCEP)

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

Siri

אנחנו מבקשים להודות ליובל רון, עמיחי שולמן ואלי ביהם מהטכניון - מכון טכנולוגי לישראל על הסיוע.

הערך נוסף ב-4 בדצמבר 2019, עודכן ב-18 בדצמבר 2019

טלפוניה

אנחנו מבקשים להודות לפיל סטוקס מ-SentinelOne על הסיוע.

VPN

אנחנו מבקשים להודות לרויס גאורון מ-Second Son Consulting, Inc.‎ על הסיוע.

הערך נוסף ב-29 באוקטובר 2019

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: