O sigurnosnom sadržaju sustava macOS Catalina 10.15.1, sigurnosnom ažuriranju 2019-001 i sigurnosnom ažuriranju 2019-006
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Catalina 10.15.1, sigurnosno ažuriranje 2019-001 i sigurnosno ažuriranje 2019-006.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Catalina 10.15.1, sigurnosno ažuriranje 2019-001, sigurnosno ažuriranje 2019-006
Accounts
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: udaljeni napadač mogao bi otkriti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8787: Steffen Klee (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
Accounts
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: AirDrop prijenosi mogu se neočekivano prihvatiti dok ste u modu Svi
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8796: Allison Husain (UC Berkeley)
AirDrop
Dostupno za: macOS Catalina 10.15
Učinak: AirDrop prijenosi mogu se neočekivano prihvatiti dok ste u modu Svi
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8796: Allison Husain (UC Berkeley)
AMD
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8748: Lilang Wu i Moony Li (istraživački tim za mobilnu sigurnost, TrendMicro)
apache_mod_php
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: veći broj problema u PHP-u
Opis: veći broj problema riješen je ažuriranjem na PHP verziju 7.3.8.
CVE-2019-11041
CVE-2019-11042
APFS
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8824: Mac u suradnji s inicijativom Zero Day (Trend Micro)
App Store
Dostupno za: macOS Catalina 10.15
Učinak: lokalni napadač može se bez valjanih vjerodajnica prijaviti na račun korisnika koji je već bio prijavljen.
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleGraphicsControl
Dostupno za: macOS Catalina 10.15
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8817: Arash Tohidi
AppleGraphicsControl
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8716: Zhiyi Zhang (tim Codesafe, tvrtka Legendsec, grupa Qi'anxin), Zhuo Liang (tim Vulcan, Qihoo 360)
Associated Domains
Dostupno za: macOS Catalina 10.15
Učinak: neispravno procesiranje URL-a može dovesti do eksfiltriranja podataka
Opis: problem je postojao u raščlanjivanju URL-ova. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8788: Juha Lindstedt (Pakastin), Mirko Tanania, Rauli Rikama (Zero Keyboard Ltd)
Audio
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8706: Yu Zhou (Ant-financial Light-Year Security Lab)
Audio
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8785: Ian Beer (Google Project Zero)
CVE-2019-8797: 08Tc3wBB i SSD Secure Disclosure
Audio
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: obradom zlonamjernih audiodatoteka može doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8850: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
Books
Dostupno za: macOS Catalina 10.15
Učinak: raščlanjivanjem zlonamjerne iBooks datoteke može doći do otkrivanja korisničkih podataka
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2019-8789: Gertjan Franken (imec-DistriNet, KU Leuven)
Contacts
Dostupno za: macOS Catalina 10.15
Učinak: obradom zlonamjernog kontakta može se krivotvoriti korisničko sučelje
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH (to.com))
CoreAudio
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
CoreAudio
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: obradom zlonamjernog filma može doći do otkrivanja procesne memorije
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2019-8705: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
CoreMedia
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8825: otkrio GWP-ASan u pregledniku Google Chrome
CUPS
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: napadač s administratorskim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8736: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)
CUPS
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: obrada zlonamjerno izrađenog niza može dovesti do oštećenja hrpe.
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8767: Stephen Zeisberg
CUPS
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.
CVE-2019-8737: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)
File Quarantine
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2019-8509: CodeColorist (Ant-Financial LightYear Labs)
File System Events
Dostupno za: macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8798: ABC Research s.r.o. i inicijativa Zero Day (Trend Micro)
Foundation
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8746: natashenka i Samuel Groß (Google Project Zero)
Graphics
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: obrada zlonamjernog sjenčanja može dovesti do neočekivanog prekida aplikacije ili svojevoljnog izvršenja koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-12152: Piotr Bania (Cisco Talos)
CVE-2018-12153: Piotr Bania (Cisco Talos)
CVE-2018-12154: Piotr Bania (Cisco Talos)
Graphics Driver
Dostupno za: macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8784: Vasiliy Vasilyev i Ilya Finogeev (Webinar, LLC)
Intel Graphics Driver
Dostupno za: macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8807: Yu Wang (Didi Research America)
IOGraphics
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8759: drugi iz tima 360 Nirvan
iTunes
Dostupno za: macOS Catalina 10.15
Učinak: pokretanje instalacijskog programa za iTunes u nepouzdanom direktoriju može rezultirati izvršavanjem arbitrarnog koda
Opis: u postavkama iTunes postojao je problem s učitavanjem dinamičke medijateke. To je riješeno poboljšanim pretraživanjem putanje.
CVE-2019-8801: Hou JingYi (@hjy79425575) (Qihoo 360 CERT)
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Kernel
Dostupno za: macOS Catalina 10.15
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8794: 08Tc3wBB i SSD Secure Disclosure
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8717: Jann Horn (Google Project Zero)
CVE-2019-8786: Wen Xu (Georgia Tech, stažist istraživačkog tima Microsoft Offensive Security)
Kernel
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije
Opis: prilikom rukovanja IPv6 paketima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim upravljanjem memorijom.
CVE-2019-8744: Zhuo Liang (tim Vulcan, Qihoo 360)
Kernel
Dostupno za: macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2019-8829: Jann Horn (Google Project Zero)
libxml2
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: veći broj problema u medijateci libxml2
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8749: otkrio OSS-Fuzz
CVE-2019-8756: otkrio OSS-Fuzz
libxslt
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: veći broj problema u medijateci libxslt
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8750: otkrio OSS-Fuzz
manpages
Dostupno za: macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2019-8802: Csaba Fitzl (@theevilbit)
PDFKit
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: napadač bi mogao izdvojiti sadržaj šifriranog PDF-a
Opis: postojao je problem u rukovanju vezama u šifriranom PDF-u. Problem je riješen dodavanjem upita za potvrdu.
CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) i Jörg Schwenk (Ruhr University Bochum)
PluginKit
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: lokalni korisnik mogao bi provjeriti postojanje proizvoljnih datoteka
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2019-8708: anonimni istraživač
PluginKit
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8715: anonimni istraživač
Screen Sharing Server
Dostupno za: macOS Catalina 10.15
Učinak: korisnik koji dijeli zaslon možda neće moći prekinuti dijeljenje
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8858: Saul van der Bijl (Saul’s Place Counseling B.V.)
System Extensions
Dostupno za: macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: postojao je problem s provjerom valjanosti u provjeri valjanosti ovlasti. Taj je problem riješen poboljšanom provjerom valjanosti ovlasti za taj postupak.
CVE-2019-8805: Scott Knight (@sdotknight) (VMware Carbon Black TAU)
UIFoundation
Dostupno za: macOS Catalina 10.15
Učinak: zlonamjeran HTML dokument mogao bi obraditi iframes s osjetljivim korisničkim podacima
Opis: u „iframe” elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.
CVE-2019-8754: Renee Trisberg (SpectX)
UIFoundation
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-8745: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
UIFoundation
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8831: riusksk VulWar Corp u suradnji s inicijativom Zero Day (Trend Micro)
UIFoundation
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: raščlanjivanje zlonamjerne tekstne datoteke moglo bi dovesti do otkrivanja korisničkih podataka
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8761: Renee Trisberg (SpectX)
Wi-Fi
Dostupno za: macOS Catalina 10.15
Učinak: napadač u dometu Wi-Fi mreže može vidjeti dio mrežnog prometa
Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2019-15126: Milos Cermak (ESET)
Dodatna zahvala
CFNetwork
Željeli bismo zahvaliti Lily Chen (Google) na pomoći.
Find My
Želimo zahvaliti Amr Elseehyju za pomoć.
Kernel
Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero), Danielu Roethlisbergeru (Swisscom CSIRT) i Jannu Hornu (Google Project Zero) na pomoći.
libresolv
Željeli bismo zahvaliti enh (Google) na pomoći.
Local Authentication
Željeli bismo zahvaliti Ryanu Lopopolou na pomoći.
mDNSResponder
Željeli bismo zahvaliti Gregoru Langu (e.solutions GmbH) na pomoći.
Postfix
Željeli bismo zahvaliti Chrius Barkeru (Puppet) na pomoći.
python
Na pomoći zahvaljujemo anonimnom istraživaču.
VPN
Željeli bismo zahvaliti Royceu Gawronu (Second Son Consulting, Inc.) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.