אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
macOS Catalina 10.15.2, עדכון אבטחה Mojave 2019-002 ועדכון אבטחה High Sierra 2019-007
הופץ ב-10 בדצמבר 2019
ATS
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: ייתכן שאפליקציה זדונית תצליח לגשת לקבצים מוגבלים
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2019-8837: סאבה פיצל (@theevilbit)
הערך עודכן ב-18 בדצמבר 2019
Bluetooth
זמין עבור: macOS Catalina 10.15
השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל
תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.
CVE-2019-8853: ג'יאנג'ון דאי מ-Qihoo 360 Alpha Lab
CallKit
זמין עבור: macOS Catalina 10.15
השפעה: ייתכן ששיחות שבוצעו באמצעות Siri הופעלו על ידי תוכנית סלולרית לא נכונה במכשירים שבהם קיימות שתי תוכניות פעילות
תיאור: בעיית API שהייתה קיימת בטיפול בשיחות טלפון יוצאות שבוצעו באמצעות Siri. בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8856: פבריס טראנקל מ-TERRANCLE SARL
CFNetwork Proxies
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: אפליקציה עלולה לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2019-8848: ז'ואו ליאנג מצוות Vulcan ב-Qihoo 360
הערך עודכן ב-18 בדצמבר 2019
CFNetwork
זמין עבור: macOS Catalina 10.15
השפעה: תוקף במיקום מורשה ברשת עלול להצליח לעקוף את HSTS למספר מוגבל של דומיינים מסוימים ברמה עליונה שקודם לכן לא הופיעו ברשימת הטעינה מראש של HSTS
תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.
CVE-2019-8834: רוב סאייר (@sayrer)
הערך נוסף ב-3 בפברואר 2020
CUPS
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: בתצורות מסוימות, ייתכן שתוקף מרחוק יוכל לשלוח עבודות הדפסה שרירותיות
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2019-8842: ניקי1235 מ-China Mobile
הערך עודכן ב-18 בדצמבר 2019
CUPS
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: ייתכן שתוקף במיקום מורשה יוכל לבצע מתקפה של מניעת שירות
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2019-8839: סטפן זייסברג מ-Security Research Labs
הערך עודכן ב-18 בדצמבר 2019
FaceTime
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: עיבוד סרטונים בעלי תוכן זדוני דרך FaceTime עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2019-8830: נטלי סילבנוביץ' מ-Google Project Zero
הערך עודכן ב-18 בדצמבר 2019
IOGraphics
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: Mac עלול שלא להינעל מיד לאחר התעוררות
תיאור: בעיה לוגית טופלה באמצעות ניהול מצב משופר.
CVE-2019-8851: ולאדיק חונונוב מ-DoiT International
הערך נוסף ב-3 בפברואר 2020
ליבה
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה על-ידי הסרת הקוד הפגיע.
CVE-2019-8833: איאן ביר מ-Google Project Zero
הערך עודכן ב-18 בדצמבר 2019
ליבה
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8828: קים סטורדל מ-Cognite
CVE-2019-8838: ד"ר סילביו צ'זרה מ-InfoSect
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) מ-WaCai
libexpat
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: ניתוח קובץ XML בעל מבנה זדוני עלול להוביל לחשיפת מידע משתמש
תיאור: בעיה זו טופלה באמצעות עדכון ל-expat בגרסה 2.2.8.
CVE-2019-15903: ג'ונאן ג'אנג
הערך עודכן ב-18 בדצמבר 2019
הערות
זמין עבור: macOS Catalina 10.15
השפעה: ייתכן שתוקף מרוחק יוכל למחוק קבצים קיימים
תיאור: בעיית ניתוח בטיפול בנתיבים של ספריות טופלה על ידי אימות נתיבים משופר.
CVE-2020-9782: אליסון חוסיין מאוניברסיטת קליפורניה בברקלי
הערך נוסף ב-4 באפריל 2020
OpenLDAP
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: מספר בעיות ב-OpenLDAP
תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 2.4.28 של OpenLDAP.
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
הרשומה עודכנה ב-3 בפברואר 2020
אבטחה
זמין עבור: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8832: אינסו יון מ-SSLab במכון הטכנולוגי של ג'ורג'יה
tcpdump
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
השפעה: מספר בעיות ב-tcpdump
תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 4.9.3 של tcpdump ולגרסה 1.9.1 של libpcap
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
הערך עודכן ב-11 בפברואר 2020
Wi-Fi
זמין עבור: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
השפעה: ייתכן שתוקף בטווח Wi-Fi יוכל להציג כמות קטנה של תעבורת רשת
תיאור: בטיפול במעבר בין מצבים הייתה בעיה לוגית. בעיה זו טופלה באמצעות ניהול מצב משופר.
CVE-2019-15126: מילוש צ'רמאק מ-ESET
הערך נוסף ב-27 בפברואר 2020
תודות נוספות
חשבונות
ברצוננו להודות לאליסון חוסיין מאוניברסיטת קליפורניה בברקלי, לקישאן בגאריה (KishanBagaria.com) ולטום סנלינג מאוניברסיטת לאפבורו על הסיוע.
הערך עודכן ב-4 באפריל 2020
נתוני ליבה
ברצוננו להודות לנטלי סילבנוביץ' מ-Google Project Zero על הסיוע.
Finder
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) על הסיוע.
הערך נוסף ב-18 בדצמבר 2019
ליבה
ברצוננו להודות לדניאל רותליסברגר מ-Swisscom CSIRT על הסיוע.
הערך נוסף ב-18 בדצמבר 2019