O sigurnosnom sadržaju za macOS Mojave 10.14.4, sigurnosno ažuriranje 2019-002 High Sierra, sigurnosno ažuriranje 2019-002 Sierra

U ovom dokumentu opisuje se sigurnosni sadržaj za macOS Mojave 10.14.4, sigurnosno ažuriranje 2019-002 High Sierra, sigurnosno ažuriranje 2019-002 Sierra.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Mojave 10.14.4, sigurnosno ažuriranje 2019-002 High Sierra, sigurnosno ažuriranje 2019-002 Sierra

Objavljeno 25. ožujka 2019.

802.1X

Dostupno za: macOS Mojave 10.14.3

Učinak: napadač s mrežnim ovlastima mogao je presresti promet putem mreže

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-6203: Dominic White (SensePost, (@singe))

Unos dodan 15. travnja 2019.

802.1X

Dostupno za: macOS High Sierra 10.13.6

Učinak: nepouzdani certifikat RADIUS poslužitelja mogao je postati pouzdan.

Opis: postojao je problem s provjerom valjanosti u upravljanju sidrom povjerenja. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2019-8531: anonimni istraživač, tim QA (SecureW2)

Unos dodan 15. svibnja 2019.

Računi

Dostupno za: macOS Mojave 10.14.3

Učinak: obradom zlonamjerne vcf datoteke moglo se izazvati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

Unos dodan 3. travnja 2019.

APFS

Dostupno za: macOS Mojave 10.14.3

Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod

Opis: postojeći logički problem rezultirao je oštećenjem memorije. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2019-8534: Mac u suradnji s inicijativom Zero Day tvrtke Trend Micro

Unos dodan 15. travnja 2019.

AppleGraphicsControl

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2019-8555: Zhiyi Zhang (tim Codesafe, 360 ESG), Zhuo Liang i shrek_wzw (tim Nirvan, Qihoo 360)

Bom

Dostupno za: macOS Mojave 10.14.3

Učinak: zlonamjerna aplikacija može zaobići provjere alata Gatekeeper

Opis: problem je riješen poboljšanim rukovanjem metapodacima datoteke.

CVE-2019-6239: Ian Moorhouse i Michael Trimm

CFString

Dostupno za: macOS Mojave 10.14.3

Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2019-8516: tim SWIPS (Frifee Inc.)

configd

Dostupno za: macOS Mojave 10.14.3

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

Kontakti

Dostupno za: macOS Mojave 10.14.3

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8511: anonimni istraživač

CoreCrypto

Dostupno za: macOS Mojave 10.14.3

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8542: anonimni istraživač

DiskArbitration

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Učinak: šifriranu diskovnu jedinicu može deaktivirati pa ponovno aktivirati drugi korisnik bez upita za lozinku

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8522: Colin Meginnis (@falc420)

FaceTime

Dostupno za: macOS Mojave 10.14.3

Učinak: korisnikov videozapis u pozivu aplikacije FaceTime možda se neće pauzirati ako korisnik izađe iz aplikacije FaceTime dok poziv zvoni

Opis: postojao je problem s pauziranjem videozapisa u aplikaciji FaceTime. Problem je riješen poboljšanom logikom.

CVE-2019-8550: Lauren Guzniczak (Keystone Academy)

Asistent za izvješća

Dostupno za: macOS Mojave 10.14.3

Učinak: zlonamjerna aplikacija može steći korijenske ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2019-8565: CodeColorist (Ant-Financial LightYear Labs)

Asistent za izvješća

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8521: CodeColorist (Ant-Financial LightYear Labs)

datoteka

Dostupno za: macOS Mojave 10.14.3

Učinak: obrada zlonamjerno izrađene datoteke može otkriti korisničke informacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8906: Francisco Alonso

Unos ažuriran 15. travnja 2019.

Upravljački programi za grafiku

Dostupno za: macOS Mojave 10.14.3

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) i Junzhi Lu (Trend Micro Research) u suradnji s inicijativom Zero Day tvrtke Trend Micro

iAP

Dostupno za: macOS Mojave 10.14.3

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8542: anonimni istraživač

IOGraphics

Dostupno za: macOS Mojave 10.14.3

Učinak: Mac se možda neće zaključati prilikom odvajanja vanjskog monitora

Opis: problem rukovanja zaključavanjem riješen je boljim rukovanjem zaključavanjem.

CVE-2019-8533: anonimni istraživač, James Eagan (Télécom ParisTech), R. Scott Kemp (MIT) i Romke van Dijk (Z-CERT)

IOHIDFamily

Dostupno za: macOS Mojave 10.14.3

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8545: Adam Donenfeld ((@doadam), tim zLabs, Zimperium)

IOKit

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Učinak: lokalni korisnici mogli su čitati kernelsku memoriju

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8504: anonimni istraživač

IOKit SCSI

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8529: Juwei Lin ((@panicaII), Trend Micro Research) u suradnji s inicijativom Zero Day tvrtke Trend Micro

Unos ažuriran 15. travnja 2019.

Kernel

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2019-8527: Ned Williamson (Google) i derrek (@derrekr6)

Kernel

Dostupno za: macOS Mojave 10.14.3

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun ((@S0rryMybad), tim Vulcan, Qihoo 360)

Unos dodan 3. travnja 2019.

Kernel

Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Učinak: aktiviranje zlonamjerno izrađenog NFS mrežnog dijeljenja može dovesti do izvršavanja nasumičnog koda sa sistemskim ovlastima

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8508: Dr. Silvio Cesare (InfoSect)

Kernel

Dostupno za: macOS Mojave 10.14.3

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8514: Samuel Groß (Google Project Zero)

Kernel

Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8540: Weibo Wang ((@ma1fan), tim Nirvan, Qihoo 360)

Kernel

Dostupno za: macOS Mojave 10.14.3

Učinak: lokalni korisnici mogli su čitati kernelsku memoriju

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-7293: Ned Williamson (Google)

Kernel

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-6207: Weibo Wang ((@ma1fan), tim Nirvan, Qihoo 360)

CVE-2019-8510: Stefan Esser (Antid0te UG)

Poruke

Dostupno za: macOS Mojave 10.14.3

Učinak: lokalni korisnik mogao je pregledavati povjerljive korisničke informacije

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2019-8546: ChiYuan Chang

Modem CCL

Dostupno za: macOS Mojave 10.14.3

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8579: anonimni istraživač

Unos dodan 15. travnja 2019.

Napomene

Dostupno za: macOS Mojave 10.14.3

Učinak: lokalni korisnik možda može pregledati korisnikove zaključane bilješke

Opis: problem s pristupom riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8537: Greg Walker (gregwalker.us)

PackageKit

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2019-8561: Jaron Bradley (Crowdstrike)

Perl

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Učinak: veći broj problema s jezikom Perl

Opis: u ovom je ažuriranju riješen veći broj problema s jezikom Perl.

CVE-2018-12015: Jakub Wilk

CVE-2018-18311: Jayakrishna Menon

CVE-2018-18313: Eiichi Tsukata

Upravljanje napajanjem

Dostupno za: macOS Mojave 10.14.3

Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

Opis: u MIG generiranom kodu otkriven je veći broj problema s provjerom valjanosti ulaznih podataka. Ti su problemi riješeni poboljšanom provjerom valjanosti.

CVE-2019-8549: Mohamed Ghannam ((@_simo36), SSD Secure Disclosure (ssd-disclosure.com))

QuartzCore

Dostupno za: macOS Mojave 10.14.3

Učinak: obradom zlonamjernih podataka može doći do neočekivanog rušenja aplikacije

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8507: Kai Lu (Fortinet's FortiGuard Labs)

Sigurnost

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8526: Linus Henze (pinauten.de)

Sigurnost

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8520: Antonio Groza, Britanski nacionalni centar za kibernetičku sigurnost (NCSC)

Sigurnost

Dostupno za: macOS Mojave 10.14.3

Učinak: nepouzdani certifikat RADIUS poslužitelja mogao je postati pouzdan.

Opis: postojao je problem s provjerom valjanosti u upravljanju sidrom povjerenja. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2019-8531: anonimni istraživač, tim QA (SecureW2)

Sigurnost

Dostupno za: macOS Mojave 10.14.3

Učinak: nepouzdani certifikat RADIUS poslužitelja mogao je postati pouzdan.

Opis: postojao je problem s provjerom valjanosti u upravljanju sidrom povjerenja. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2019-8531: anonimni istraživač, tim QA (SecureW2)

Unos dodan 15. svibnja 2019.

Siri

Dostupno za: macOS Mojave 10.14.3

Učinak: zlonamjerna aplikacija mogla je pokrenuti zahtjev za diktat bez odobrenja korisnika

Opis: postojao je problem s API-jem u rukovanju zahtjeva za diktat. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2019-8502: Luke Deshotels (Državno sveučilište Sjeverna Karolina), Jordan Beichler (Državno sveučilište Sjeverna Karolina), William Enck (Državno sveučilište Sjeverna Karolina), Costin Carabaș (Politehničko sveučilište u Bukureštu) i Răzvan Deaconescu (Politehničko sveučilište u Bukureštu)

Time Machine

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Učinak: lokalni korisnik moga bi izvršiti nasumične naredbe ljuske sustava

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8513: CodeColorist (Ant-Financial LightYear Labs)

TrueTypeScaler

Dostupno za: macOS Mojave 10.14.3

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8517: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Wi-Fi

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Učinak: napadač na privilegiranoj poziciji na mreži može mijenjati stanje upravljačkog programa

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2019-8564: Hugues Anguelkov tijekom stažiranja u tvrtki Quarkslab

Unos dodan 15. travnja 2019.

xar

Dostupno za: macOS Mojave 10.14.3

Učinak: obradom zlonamjernog paketa može doći do izvršavanja proizvoljnog koda

Opis: u rukovanju simboličkim vezama otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)

Unos dodan 15. travnja 2019.

XPC

Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.3

Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8530: CodeColorist (Ant-Financial LightYear Labs)

Dodatna zahvala

Računi

Željeli bismo zahvaliti Milanu Stuteu (laboratorij za sigurne mobilne mreže, Tehničko sveučilište u Darmstadtu) na pomoći.

Knjige

Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.

Kernel

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.

Mail

Željeli bismo zahvaliti Craigu Youngu (tim Tripwire, VERT) i Hannu Böcku na pomoći.

Time Machine

Željeli bismo zahvaliti CodeColoristu (Ant-Financial LightYear Labs) na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: