O sigurnosnom sadržaju za macOS Mojave 10.14.4, sigurnosno ažuriranje 2019-002 High Sierra, sigurnosno ažuriranje 2019-002 Sierra
U ovom dokumentu opisuje se sigurnosni sadržaj za macOS Mojave 10.14.4, sigurnosno ažuriranje 2019-002 High Sierra, sigurnosno ažuriranje 2019-002 Sierra.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Mojave 10.14.4, sigurnosno ažuriranje 2019-002 High Sierra, sigurnosno ažuriranje 2019-002 Sierra
802.1X
Dostupno za: macOS Mojave 10.14.3
Učinak: napadač s mrežnim ovlastima može presresti promet putem mreže
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-6203: Dominic White (SensePost, (@singe))
802.1X
Dostupno za: macOS High Sierra 10.13.6
Učinak: nepouzdani certifikat RADIUS poslužitelja može postati pouzdan
Opis: postojao je problem s provjerom valjanosti u upravljanju sidrom povjerenja. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2019-8531: anonimni istraživač, tim QA (SecureW2)
Računi
Dostupno za: macOS Mojave 10.14.3
Učinak: obradom zlonamjerne vcf datoteke moglo se izazvati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
APFS
Dostupno za: macOS Mojave 10.14.3
Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: postojao je logički problem koji je uzrokovao oštećenje memorije. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2019-8534: Mac u suradnji s inicijativom Zero Day tvrtke Trend Micro
AppleGraphicsControl
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2019-8555: Zhiyi Zhang (tim Codesafe, 360 ESG), Zhuo Liang i shrek_wzw (tim Nirvan, Qihoo 360)
Bom
Dostupno za: macOS Mojave 10.14.3
Učinak: zlonamjerna aplikacija može zaobići provjere alata Gatekeeper
Opis: problem je riješen poboljšanim rukovanjem metapodacima datoteke.
CVE-2019-6239: Ian Moorhouse i Michael Trimm
CFString
Dostupno za: macOS Mojave 10.14.3
Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2019-8516: tim SWIPS (Frifee Inc.)
configd
Dostupno za: macOS Mojave 10.14.3
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Kontakti
Dostupno za: macOS Mojave 10.14.3
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8511: anonimni istraživač
CoreCrypto
Dostupno za: macOS Mojave 10.14.3
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-8542: anonimni istraživač
DiskArbitration
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: šifriranu diskovnu jedinicu može deaktivirati pa ponovno aktivirati drugi korisnik bez upita za lozinku
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8522: Colin Meginnis (@falc420)
FaceTime
Dostupno za: macOS Mojave 10.14.3
Učinak: korisnikov videozapis u pozivu aplikacije FaceTime možda se neće pauzirati ako korisnik izađe iz aplikacije FaceTime dok poziv zvoni
Opis: postojao je problem s pauziranjem videozapisa u aplikaciji FaceTime. Problem je riješen poboljšanom logikom.
CVE-2019-8550: Lauren Guzniczak (Keystone Academy)
FaceTime
Dostupno za: macOS Mojave 10.14.3
Učinak: lokalni napadač može na zaključanom zaslonu vidjeti kontakte
Opis: problem sa zaključanim zaslonom omogućio je pristup kontaktima na zaključanom uređaju. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2019-8777: Abdullah H. AlJaber (@aljaber) iz tvrtke AJ.SA
Asistent za izvješća
Dostupno za: macOS Mojave 10.14.3
Učinak: zlonamjerna aplikacija može steći korijenske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2019-8565: CodeColorist (Ant-Financial LightYear Labs)
Asistent za izvješća
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8521: CodeColorist (Ant-Financial LightYear Labs)
datoteka
Dostupno za: macOS Mojave 10.14.3
Učinak: obrada zlonamjerno izrađene datoteke može otkriti korisničke informacije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8906: Francisco Alonso
Upravljački programi za grafiku
Dostupno za: macOS Mojave 10.14.3
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) i Junzhi Lu iz tvrtke Trend Micro Research zajedno s inicijativom Zero Day tvrtke Trend Micro, Lilang Wu i Moony Li iz tvrtke Trend Micro
iAP
Dostupno za: macOS Mojave 10.14.3
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-8542: anonimni istraživač
IOGraphics
Dostupno za: macOS Mojave 10.14.3
Učinak: Mac se možda neće zaključati prilikom odvajanja vanjskog monitora
Opis: problem rukovanja zaključavanjem riješen je boljim rukovanjem zaključavanjem.
CVE-2019-8533: anonimni istraživač, James Eagan (Télécom ParisTech), R. Scott Kemp (MIT) i Romke van Dijk (Z-CERT)
IOHIDFamily
Dostupno za: macOS Mojave 10.14.3
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8545: Adam Donenfeld ((@doadam), tim zLabs, Zimperium)
IOKit
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8504: anonimni istraživač
IOKit SCSI
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8529: Juwei Lin ((@panicaII), Trend Micro Research) u suradnji s inicijativom Zero Day (Trend Micro)
Kernel
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4448: Brandon Azad
Kernel
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: udaljeni napadač može izmijeniti podatke o mrežnom prometu
Opis: prilikom rukovanja IPv6 paketima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim upravljanjem memorijom.
CVE-2019-5608: Apple
Kernel
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2019-8527: Ned Williamson (Google) i derrek (@derrekr6)
Kernel
Dostupno za: macOS Mojave 10.14.3, macOS High Sierra 10.13.6
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun ((@S0rryMybad), tim Vulcan, Qihoo 360)
Kernel
Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Učinak: aktiviranje zlonamjerno izrađenog NFS mrežnog dijeljenja može dovesti do izvršavanja nasumičnog koda sa sistemskim ovlastima
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-8508: Dr. Silvio Cesare (InfoSect)
Kernel
Dostupno za: macOS Mojave 10.14.3
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8514: Samuel Groß (Google Project Zero)
Kernel
Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8540: Weibo Wang ((@ma1fan), tim Nirvan, Qihoo 360)
Kernel
Dostupno za: macOS Mojave 10.14.3
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-7293: Ned Williamson (Google)
Kernel
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-6207: Weibo Wang ((@ma1fan), tim Nirvan, Qihoo 360)
CVE-2019-8510: Stefan Esser (Antid0te UG)
Kernel
Dostupno za: macOS Mojave 10.14.3
Učinak: udaljeni napadač može probiti memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8547: derrek (@derrekr6)
Kernel
Dostupno za: macOS Mojave 10.14.3
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8525: Zhuo Liang i shrek_wzw (tim Nirvan, Qihoo 360)
libmalloc
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Učinak: zlonamjerna aplikacija može izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.
CVE-2018-4433: Vitaly Cheptsov
Dostupno za: macOS Mojave 10.14.3
Učinak: obradom zlonamjerne e-mail poruke može se poremetiti potpis standarda S/MIME
Opis: u rukovanju S-MIME certifikatima otkriven je problem. Taj je problem riješen poboljšanom provjerom S-MIME certifikata.
CVE-2019-8642: Maya Sigal sa sveučilišta Freie Universität Berlin i Volker Roth sa sveučilišta Freie Universität Berlin
Dostupno za: macOS Mojave 10.14.3
Učinak: napadači s mrežnim ovlastima mogli su presresti sadržaj e-mail poruka šifriranih pomoću standarda S/MIME
Opis: u rukovanju šifriranim porukama u aplikaciji Mail otkriven je problem. Problem je riješen poboljšanom izolacijom MIME standarda u aplikaciji Mail.
CVE-2019-8645: Maya Sigal sa sveučilišta Freie Universität Berlin i Volker Roth sa sveučilišta Freie Universität Berlin
Poruke
Dostupno za: macOS Mojave 10.14.3
Učinak: lokalni korisnik mogao je pregledavati povjerljive korisničke informacije
Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.
CVE-2019-8546: ChiYuan Chang
Modem CCL
Dostupno za: macOS Mojave 10.14.3
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8579: anonimni istraživač
Napomene
Dostupno za: macOS Mojave 10.14.3
Učinak: lokalni korisnik mogao je pregledati korisnikove zaključane bilješke
Opis: problem s pristupom riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8537: Greg Walker (gregwalker.us)
PackageKit
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8561: Jaron Bradley (Crowdstrike)
Perl
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: veći broj problema s jezikom Perl
Opis: u ovom je ažuriranju riješen veći broj problema s jezikom Perl.
CVE-2018-12015: Jakub Wilk
CVE-2018-18311: Jayakrishna Menon
CVE-2018-18313: Eiichi Tsukata
Upravljanje napajanjem
Dostupno za: macOS Mojave 10.14.3
Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod
Opis: u MIG generiranom kodu otkriven je veći broj problema s provjerom valjanosti ulaznih podataka. Ti su problemi riješeni poboljšanom provjerom valjanosti.
CVE-2019-8549: Mohamed Ghannam ((@_simo36), SSD Secure Disclosure (ssd-disclosure.com))
QuartzCore
Dostupno za: macOS Mojave 10.14.3
Učinak: obradom zlonamjernih podataka može doći do neočekivanog rušenja aplikacije
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8507: Kai Lu (Fortinet's FortiGuard Labs)
Memorija za testiranje
Dostupno za: macOS Mojave 10.14.3
Učinak: proces u memoriji za testiranje mogao je zaobići ograničenja memorije za testiranje
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2019-8618: Brandon Azad
Sigurnost
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8526: Linus Henze (pinauten.de)
Sigurnost
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8520: Antonio Groza, Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
Sigurnost
Dostupno za: macOS Mojave 10.14.3
Učinak: nepouzdani certifikat RADIUS poslužitelja može postati pouzdan
Opis: postojao je problem s provjerom valjanosti u upravljanju sidrom povjerenja. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2019-8531: anonimni istraživač, tim QA (SecureW2)
Sigurnost
Dostupno za: macOS Mojave 10.14.3
Učinak: nepouzdani certifikat RADIUS poslužitelja može postati pouzdan
Opis: postojao je problem s provjerom valjanosti u upravljanju sidrom povjerenja. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2019-8531: anonimni istraživač, tim QA (SecureW2)
Siri
Dostupno za: macOS Mojave 10.14.3
Učinak: zlonamjerna aplikacija može pokrenuti zahtjev za diktat bez odobrenja korisnika
Opis: postojao je problem s API-jem u rukovanju zahtjeva za diktat. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2019-8502: Luke Deshotels (Državno sveučilište Sjeverna Karolina), Jordan Beichler (Državno sveučilište Sjeverna Karolina), William Enck (Državno sveučilište Sjeverna Karolina), Costin Carabaș (Politehničko sveučilište u Bukureštu) i Răzvan Deaconescu (Politehničko sveučilište u Bukureštu)
Time Machine
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: lokalni korisnik mogao bi izvršiti proizvoljne naredbe ljuske sustava
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8513: CodeColorist (Ant-Financial LightYear Labs)
Podrška za Touch Bar
Dostupno za: macOS Mojave 10.14.3
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8569: Viktor Oreshkin (@stek29)
TrueTypeScaler
Dostupno za: macOS Mojave 10.14.3
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8517: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Wi-Fi
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Učinak: napadač na privilegiranoj poziciji na mreži može mijenjati stanje upravljačkog programa
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8564: Hugues Anguelkov tijekom stažiranja u tvrtki Quarkslab
Wi-Fi
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Učinak: napadač na privilegiranoj poziciji na mreži može mijenjati stanje upravljačkog programa
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8612: Milan Stute (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
Wi-Fi
Dostupno za: macOS Mojave 10.14.3
Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi
Opis: problem privatnosti korisnika riješen je uklanjanjem MAC adrese za emitiranje.
CVE-2019-8567: David Kreitschmann i Milan Stute (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
xar
Dostupno za: macOS Mojave 10.14.3
Učinak: obradom zlonamjernog paketa može doći do izvršavanja proizvoljnog koda
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)
XPC
Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.3
Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8530: CodeColorist (Ant-Financial LightYear Labs)
Dodatna zahvala
Računi
Željeli bismo zahvaliti Milanu Stuteu (laboratorij za sigurne mobilne mreže, Tehničko sveučilište u Darmstadtu) na pomoći.
Knjige
Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.
Kernel
Želimo zahvaliti Brandonu Azadu, Brandonu Azadu (Google Project Zero), Danielu Roethlisbergeru iz tvrtke Swisscom CSIRT, Raz Mashatu (@RazMashat) iz srednje škole Ilan Ramon za njihovu pomoć.
Željeli bismo zahvaliti Craigu Youngu (tim Tripwire, VERT) i Hannu Böcku na pomoći.
Time Machine
Željeli bismo zahvaliti CodeColoristu (Ant-Financial LightYear Labs) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.