O sigurnosnom sadržaju sustava macOS Catalina 10.15.1, sigurnosnom ažuriranju 2019-001 i sigurnosnom ažuriranju 2019-006

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Catalina 10.15.1, sigurnosno ažuriranje 2019-001 i sigurnosno ažuriranje 2019-006.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Catalina 10.15.1, sigurnosno ažuriranje 2019-001, sigurnosno ažuriranje 2019-006

Objavljeno 29. listopada 2019.

Accounts

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: udaljeni napadač mogao bi otkriti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8787: Steffen Klee (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)

Unos je ažuriran 11. veljače 2020.

Accounts

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: AirDrop prijenosi mogu se neočekivano prihvatiti dok ste u modu Svi

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2019-8796: Allison Husain (UC Berkeley)

Unos je dodan 4. travnja 2020.

AirDrop

Dostupno za: macOS Catalina 10.15

Učinak: AirDrop prijenosi mogu se neočekivano prihvatiti dok ste u modu Svi

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2019-8796: Allison Husain (UC Berkeley)

Unos je dodan 4. travnja 2020.

AMD

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8748: Lilang Wu i Moony Li (istraživački tim za mobilnu sigurnost, TrendMicro)

Unos je dodan 11. veljače 2020.

apache_mod_php

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: veći broj problema u PHP-u

Opis: veći broj problema riješen je ažuriranjem na PHP verziju 7.3.8.

CVE-2019-11041

CVE-2019-11042

Unos je dodan 11. veljače 2020.

APFS

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8824: Mac u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 11. veljače 2020.

App Store

Dostupno za: macOS Catalina 10.15

Učinak: lokalni napadač može se bez valjanih vjerodajnica prijaviti na račun korisnika koji je već bio prijavljen.

Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Dostupno za: macOS Catalina 10.15

Učinak: neka bi aplikacija mogla čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8716: Zhiyi Zhang (tim Codesafe, tvrtka Legendsec, grupa Qi'anxin), Zhuo Liang (tim Vulcan, Qihoo 360)

Associated Domains

Dostupno za: macOS Catalina 10.15

Učinak: neispravno procesiranje URL-a može dovesti do eksfiltriranja podataka

Opis: problem je postojao u raščlanjivanju URL-ova. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8788: Juha Lindstedt (Pakastin), Mirko Tanania, Rauli Rikama (Zero Keyboard Ltd)

Audio

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8706: Yu Zhou (Ant-financial Light-Year Security Lab)

Audio

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8785: Ian Beer (Google Project Zero)

CVE-2019-8797: 08Tc3wBB i SSD Secure Disclosure

Unos je ažuriran 11. veljače 2020.

Audio

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: obradom zlonamjernih audiodatoteka može doći do otkrivanja ograničene memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8850: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)

Unos je ažuriran 18. prosinca 2019.

Books

Dostupno za: macOS Catalina 10.15

Učinak: raščlanjivanjem zlonamjerne iBooks datoteke može doći do otkrivanja korisničkih podataka

Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2019-8789: Gertjan Franken (imec-DistriNet, KU Leuven)

Contacts

Dostupno za: macOS Catalina 10.15

Učinak: obradom zlonamjernog kontakta može se krivotvoriti korisničko sučelje

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH (to.com))

CoreAudio

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 6. studenog 2019.

CoreAudio

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: obradom zlonamjernog filma može doći do otkrivanja procesne memorije

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2019-8705: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 11. veljače 2020.

CoreMedia

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8825: otkrio GWP-ASan u pregledniku Google Chrome

Unos je dodan 11. veljače 2020.

CUPS

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: napadač s administratorskim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8736: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)

CUPS

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: obrada zlonamjerno izrađenog niza može dovesti do oštećenja hrpe.

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8767: Stephen Zeisberg

CUPS

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

CVE-2019-8737: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)

File Quarantine

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2019-8509: CodeColorist (Ant-Financial LightYear Labs)

File System Events

Dostupno za: macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8798: ABC Research s.r.o. i inicijativa Zero Day (Trend Micro)

Foundation

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8746: natashenka i Samuel Groß (Google Project Zero)

Unos je dodan 11. veljače 2020.

Graphics

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: obrada zlonamjernog sjenčanja može dovesti do neočekivanog prekida aplikacije ili svojevoljnog izvršenja koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-12152: Piotr Bania (Cisco Talos)

CVE-2018-12153: Piotr Bania (Cisco Talos)

CVE-2018-12154: Piotr Bania (Cisco Talos)

Graphics Driver

Dostupno za: macOS Catalina 10.15

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8784: Vasiliy Vasilyev i Ilya Finogeev (Webinar, LLC)

Intel Graphics Driver

Dostupno za: macOS Catalina 10.15

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8807: Yu Wang (Didi Research America)

IOGraphics

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8759: drugi iz tima 360 Nirvan

iTunes

Dostupno za: macOS Catalina 10.15

Učinak: pokretanje instalacijskog programa za iTunes u nepouzdanom direktoriju može rezultirati izvršavanjem arbitrarnog koda

Opis: u postavkama iTunes postojao je problem s učitavanjem dinamičke medijateke. To je riješeno poboljšanim pretraživanjem putanje.

CVE-2019-8801: Hou JingYi (@hjy79425575) (Qihoo 360 CERT)

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Unos je dodan 11. veljače 2020.

Kernel

Dostupno za: macOS Catalina 10.15

Učinak: neka bi aplikacija mogla čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2019-8794: 08Tc3wBB i SSD Secure Disclosure

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8717: Jann Horn (Google Project Zero)

CVE-2019-8786: Wen Xu (Georgia Tech, stažist istraživačkog tima Microsoft Offensive Security)

Unos je ažuriran 18. listopada 2019. i 11. veljače 2020.

Kernel

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije

Opis: prilikom rukovanja IPv6 paketima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim upravljanjem memorijom.

CVE-2019-8744: Zhuo Liang (tim Vulcan, Qihoo 360)

Kernel

Dostupno za: macOS Catalina 10.15

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2019-8829: Jann Horn (Google Project Zero)

Unos je dodan 6. studenog 2019.

libxml2

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: veći broj problema u medijateci libxml2

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8749: otkrio OSS-Fuzz

CVE-2019-8756: otkrio OSS-Fuzz

libxslt

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: veći broj problema u medijateci libxslt

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8750: otkrio OSS-Fuzz

manpages

Dostupno za: macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: zlonamjerna aplikacija mogla bi steći korijenske ovlasti

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: napadač bi mogao izdvojiti sadržaj šifriranog PDF-a

Opis: postojao je problem u rukovanju vezama u šifriranom PDF-u. Problem je riješen dodavanjem upita za potvrdu.

CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) i Jörg Schwenk (Ruhr University Bochum)

Unos je dodan 11. veljače 2020.

PluginKit

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: lokalni korisnik mogao bi provjeriti postojanje proizvoljnih datoteka

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2019-8708: anonimni istraživač

PluginKit

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8715: anonimni istraživač

Screen Sharing Server

Dostupno za: macOS Catalina 10.15

Učinak: korisnik koji dijeli zaslon možda neće moći prekinuti dijeljenje

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8858: Saul van der Bijl (Saul’s Place Counseling B.V.)

Unos je dodan 18. prosinca 2019.

System Extensions

Dostupno za: macOS Catalina 10.15

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: postojao je problem s provjerom valjanosti u provjeri valjanosti ovlasti. Taj je problem riješen poboljšanom provjerom valjanosti ovlasti za taj postupak.

CVE-2019-8805: Scott Knight (@sdotknight) (VMware Carbon Black TAU)

UIFoundation

Dostupno za: macOS Catalina 10.15

Učinak: zlonamjeran HTML dokument mogao bi obraditi iframes s osjetljivim korisničkim podacima

Opis: u „iframe” elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.

CVE-2019-8754: Renee Trisberg (SpectX)

Unos je dodan 24. veljače 2020.

UIFoundation

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8745: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 11. veljače 2020.

UIFoundation

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8831: riusksk VulWar Corp u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 11. veljače 2020.

UIFoundation

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: raščlanjivanje zlonamjerne tekstne datoteke moglo bi dovesti do otkrivanja korisničkih podataka

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8761: Renee Trisberg (SpectX)

Unos je ažuriran 10. kolovoza 2020. i 21. srpnja 2021.

Wi-Fi

Dostupno za: macOS Catalina 10.15

Učinak: napadač u dometu Wi-Fi mreže može vidjeti dio mrežnog prometa

Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2019-15126: Milos Cermak (ESET)

Unos je dodan 11. veljače 2020.

Dodatna zahvala

CFNetwork

Željeli bismo zahvaliti Lily Chen (Google) na pomoći.

Find My

Želimo zahvaliti Amr Elseehyju za pomoć.

Unos je dodan 28. srpnja 2020.

Kernel

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero), Danielu Roethlisbergeru (Swisscom CSIRT) i Jannu Hornu (Google Project Zero) na pomoći.

Unos je ažuriran 6. studenog 2019.

libresolv

Željeli bismo zahvaliti enh (Google) na pomoći.

Local Authentication

Željeli bismo zahvaliti Ryanu Lopopolou na pomoći.

Unos je dodan 11. veljače 2020.

mDNSResponder

Željeli bismo zahvaliti Gregoru Langu (e.solutions GmbH) na pomoći.

Unos je dodan 11. veljače 2020.

Postfix

Željeli bismo zahvaliti Chrius Barkeru (Puppet) na pomoći.

python

Na pomoći zahvaljujemo anonimnom istraživaču.

VPN

Željeli bismo zahvaliti Royceu Gawronu (Second Son Consulting, Inc.) na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: