Informacije o sigurnosnom sadržaju sustava macOS Catalina 10.15.3, sigurnosnom ažuriranju 2020-001 Mojave i sigurnosnom ažuriranju 2020-001 High Sierra

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Catalina 10.15.3, sigurnosnog ažuriranja 2020-001 Mojave i sigurnosnog ažuriranja 2020-001 High Sierra.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Catalina 10.15.3, sigurnosno ažuriranje 2020-001 Mojave, sigurnosno ažuriranje 2020-001 High Sierra

Objavljeno 28. siječnja 2020.

AnnotationKit

Dostupno za: macOS Catalina 10.15.2

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-3877: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)

apache_mod_php

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Učinak: veći broj problema u PHP-u

Opis: veći broj problema riješen je ažuriranjem na PHP verziju 7.3.11.

CVE-2019-11043

Zvuk

Dostupno za: macOS Catalina 10.15.2

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3857: Zhuo Liang (tim Vulcan, Qihoo 360)

autofs

Dostupno za: macOS Catalina 10.15.2

Učinak: pretraživanje i otvaranje datoteke iz NFS-a koji je pod kontrolom napadača moglo bi zaobići funkciju Gatekeeper

Opis: to je riješeno dodatnim provjerama koje funkcija Gatekeeper provodi na datotekama postavljenima putem mrežnog dijeljenja.

CVE-2020-3866: Jose Castro Almeida (@HackerOn2Wheels) i René Kroka (@rene_kroka)

CoreBluetooth

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-3848: Jianjun Dai (Alpha Lab, Qihoo 360)

CVE-2020-3849: Jianjun Dai (Alpha Lab, Qihoo 360)

CVE-2020-3850: Jianjun Dai (Alpha Lab, Qihoo 360)

Unos je ažuriran 3. veljače 2020.

CoreBluetooth

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Učinak: udaljeni napadač može probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-3847: Jianjun Dai (Alpha Lab, Qihoo 360)

Unos je ažuriran 3. veljače 2020.

Izvješće o padu sustava

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Učinak: zlonamjerna aplikacija može pristupiti ograničenim datotekama

Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2020-3835: Csaba Fitzl (@theevilbit)

crontab

Dostupno za: macOS Catalina 10.15.2

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3863: James Hutchins

Unos dodan 8. rujna 2020.

Pronađeno u aplikacijama

Dostupno za: macOS Catalina 10.15.2

Učinak: moguć je neprimjeren pristup šifriranim podacima

Opis: postojao je problem s pristupom Siri prijedloga šifriranim podacima. Problem je riješen ograničavanjem pristupa šifriranim podacima.

CVE-2020-9774: Bob Gendler (National Institute of Standards and Technology)

Unos ažuriran 28. srpnja 2020.

Obrada slika

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Učinak: prikazom zlonamjerno stvorene JPEG datoteke moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-3827: Samuel Groß (Google Project Zero)

Ulaz i izlaz slika

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-3826: Samuel Groß (Google Project Zero)

CVE-2020-3870

CVE-2020-3878: Samuel Groß (Google Project Zero)

CVE-2020-3880: Samuel Groß (Google Project Zero)

Unos je ažuriran 4. travnja 2020.

Intelov grafički upravljački program

Dostupno za: macOS Mojave 10.14.6, macOS Catalina 10.15.2

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3845: Zhuo Liang (tim Vulcan, Qihoo 360)

IOAcceleratorFamily

Dostupno za: macOS Catalina 10.15.2

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3837: Brandon Azad (Google Project Zero)

IOThunderboltFamily

Dostupno za: macOS Catalina 10.15.2

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3851: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.) te Luyi Xing (Sveučilište Bloomington u Indiani)

Unos dodan 4. travnja 2020.

IPSec

Dostupno za: macOS Catalina 10.15.2

Učinak: učitavanje zlonamjerne konfiguracijske datoteke racoon može uzrokovati arbitrarno izvršavanje koda

Opis: otkriven je problem off by one u konfiguracijskim datotekama racoon. Problem je riješen poboljšanom provjerom ograničenja.

CVE-2020-3840: @littlelailo

Kernel

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2020-3875: Brandon Azad (Google Project Zero)

Kernel

Dostupno za: macOS Catalina 10.15.2

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3872: Haakon Garseg Mørk (Cognite) i Cim Stordal (Cognite)

Kernel

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3853: Brandon Azad (Google Project Zero)

Kernel

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: problem s pristupom riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3836: Brandon Azad (Google Project Zero)

Kernel

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2020-3842: Ned Williamson u suradnji s Google Project Zero

CVE-2020-3871: Corellium

libxml2

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2020-3846: Ranier Vilela

Unos je ažuriran 3. veljače 2020.

libxpc

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Učinak: obrada zlonamjerno izrađenog niza može dovesti do oštećenja hrpe.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-3856: Ian Beer (Google Project Zero)

libxpc

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2020-3829: Ian Beer (Google Project Zero)

PackageKit

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke

Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2020-3830: Csaba Fitzl (@theevilbit)

Sigurnost

Dostupno za: macOS Catalina 10.15.2

Učinak: zlonamjerne aplikacije mogu izaći izvan ograničene memorije

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2020-3854: Jakob Rieck (@0xdead10cc) i Maximilian Blochberger (grupa za sigurnost u distribuiranim sustavima Sveučilišta u Hamburgu)

Unos je ažuriran 3. veljače 2020.

sudo

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Učinak: određene konfiguracije mogu dopustiti lokalnom napadaču izvršavanja proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2019-18634: Apple

Sustav

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke

Opis: problem s pristupom riješen je s poboljšanim ograničenjima pristupa.

CVE-2020-3855: Csaba Fitzl (@theevilbit)

Wi-Fi

Dostupno za: macOS Catalina 10.15.2

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2020-3839: s0ngsari (Theori) i Lee (Nacionalno sveučilište Seul) u suradnji s inicijativom Zero Day (Trend Micro)

Wi-Fi

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2020-3843: Ian Beer (Google Project Zero)

Unos je ažuriran 13. svibnja 2020.

wifivelocityd

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem je riješen poboljšanjem logičkog procesa dozvola.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Dodatna zahvala

Memorija fotografija

Željeli bismo zahvaliti Allison Husain (UC Berkeley) na pomoći.

Unos je ažuriran 19. ožujka 2020.

SharedFileList

Željeli bismo zahvaliti Patricku Wardleu (Jamf) na pomoći.

Unos dodan 4. travnja 2020.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: