O sigurnosnom sadržaju za macOS Mojave 10.14.5, sigurnosnom ažuriranju 2019-003 High Sierra, sigurnosnom ažuriranju 2019-003 Sierra

U ovom dokumentu opisuje se sigurnosni sadržaj za macOS Mojave 10.14.5, sigurnosno ažuriranje 2019-003 High Sierra, sigurnosno ažuriranje 2019-003 Sierra.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Mojave 10.14.5, sigurnosno ažuriranje 2019-003 High Sierra, sigurnosno ažuriranje 2019-003 Sierra

Izdano 13. svibnja 2019.

Okvir dostupnosti

Dostupno za: OS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2019-8603: Phoenhex i qwerty (@_niklasb, @qwertyoruiopz, @bkth_) u suradnji s inicijativom Zero Day tvrtke Trend Micro

AMD

Dostupno za: macOS Mojave 10.14.4

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8635: Lilang Wu i Moony Li (Trend Micro Mobile Security Research Team) u suradnji s inicijativom Zero Day tvrtke Trend Micro

Vatrozid za aplikacije

Dostupno za: OS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2019-8590: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)

CoreAudio

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Učinak: obradom zlonamjerne audiodatoteke moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem pogreškama.

CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day tvrtke Trend Micro

CoreAudio

Dostupno za: macOS Mojave 10.14.4

Učinak: obradom zlonamjerne filmske datoteke moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8585: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day tvrtke Trend Micro

DesktopServices

Dostupno za: macOS Mojave 10.14.4

Učinak: zlonamjerna aplikacija mogla je zaobići provjere alata Gatekeeper

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8589: Andreas Clementi, Stefan Haselwanter i Peter Stelzhammer (AV-Comparatives)

Slike diska

Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2019-8560: Nikita Pupyshev (Državno tehničko sveučilište Bauman Moskva)

Unos ažuriran 14. svibnja 2019.

EFI

Dostupno za: macOS Mojave 10.14.4

Učinak: korisnik je neočekivano mogao biti prijavljen na tuđi korisnički račun

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8634: Jenny Sprenger i Maik Hoepfel

Intelov grafički upravljački program

Dostupno za: macOS Mojave 10.14.4

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8616: Lilang Wu i Moony Li (Trend Micro Mobile Security Research Team, Trend Micro) u suradnji s inicijativom Zero Day tvrtke Trend Micro

Intelov grafički upravljački program

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8629: Arash Tohidi (Solita Oy)

IOAcceleratorFamily

Dostupno za: macOS High Sierra 10.13.6

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4456: Tyler Bohan (Cisco Talos)

IOKit

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Učinak: lokalni korisnik mogao je učitati nedodijeljena proširenja kernela

Opis: u rukovanju simboličkim vezama otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2019-8606: Phoenhex i qwerty (@_niklasb, @qwertyoruiopz, @bkth_) u suradnji s inicijativom Zero Day tvrtke Trend Micro

Kernel

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8525: Zhuo Liang i shrek_wzw (tim Nirvan, Qihoo 360)

Unos dodan 14. svibnja 2019.

Kernel

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Učinak: udaljeni napadač mogao je čitati memoriju

Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8547: derrek (@derrekr6)

Unos dodan 14. svibnja 2019.

Kernel

Dostupno za: OS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Učinak: uz sistemske ovlasti neke zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8605: Ned Williamson u suradnji s Google Project Zero

Kernel

Dostupno za: macOS Mojave 10.14.4

Učinak: lokalni korisnik mogao je izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8576: Brandon Azad (Google Project Zero), unho Jang i Hanul Choi (LINE Security Team)

Kernel

Dostupno za: OS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Učinak: neke su aplikacije mogle uzrokovati neočekivani pad sustava odnosno pisati kernelsku memoriju

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8591: Ned Williamson u suradnji s Google Project Zero

Mikrokod

Dostupno za: macOS Mojave 10.14.4

Učinak: priključci za učitavanje, međuspremnici popune i međuspremnici pohrane u sustavima s mikroprocesorima koji koriste spekulativno izvršavanje mogli su napadaču s lokalnim korisničkim pristupom dopustiti da potencijalno omogući otkrivanje podataka putem sporednog kanala

Opis: veći broj problema s otkrivanjem podataka djelomično je riješen ažuriranjem mikrokoda i promjenom OS planera kako bi se sustav izolirao od web-sadržaja koji se prikazuje u pregledniku. Da bi se problemi riješili u potpunosti, postoje dodatna izborna ublažavanja kako bi se onemogućila simultana višenitnost, a omogućila ublažavanja koja se temelje na mikrokodu za sve procese prema zadanim postavkama. Informacije o ublažavanjima potražite na adresi https://support.apple.com/hr-hr/HT210107.

CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco (Intel); Lei Shi (Qihoo 360 CERT); Marina Minkin; Daniel Genkin (Sveučilište u Michiganu); Yuval Yarom (Sveučilište u Adelaideu)

CVE-2018-12127: Brandon Falk (Microsoft Windows Platform Security Team); Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco (Intel)

CVE-2018-12130: Giorgi Maisuradze (Microsoft Research); Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco (Intel); Moritz Lipp, Michael Schwarz i Daniel Gruss (Tehnološko sveučilište u Grazu); Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos i Cristiano Giuffrida (VUSec grupa, VU Amsterdam); Volodymyr Pikhur; Dan Horea Lutas (BitDefender)

CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco (Intel); Moritz Lipp, Michael Schwarz i Daniel Gruss (Tehnološko sveučilište u Grazu)

Unos dodan 14. svibnja 2019.

Sigurnost

Dostupno za: OS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8604: Fluoroacetate u suradnji s inicijativom Zero Day tvrtke Trend Micro

SQLite

Dostupno za: macOS Mojave 10.14.4

Učinak: neke su aplikacije mogle dobiti veće ovlasti

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8577: Omer Gull (Checkpoint Research)

SQLite

Dostupno za: macOS Mojave 10.14.4

Učinak: zlonamjerni SQL upit mogao je dovesti do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8600: Omer Gull (Checkpoint Research)

SQLite

Dostupno za: macOS Mojave 10.14.4

Učinak: zlonamjerne aplikacije mogle su čitati ograničenu memoriju

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8598: Omer Gull (Checkpoint Research)

SQLite

Dostupno za: macOS Mojave 10.14.4

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.

CVE-2019-8602: Omer Gull (Checkpoint Research)

StreamingZip

Dostupno za: macOS Mojave 10.14.4

Učinak: lokalni korisnik mogao je izmijeniti zaštićene dijelove datotečnog sustava

Opis: u rukovanju simboličkim vezama otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

sysdiagnose

Dostupno za: OS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8574: Dayton Pidhirney (@_watbulb) (Seekintoo, (@seekintoo))

Podrška za Touch Bar

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8569: Viktor Oreshkin (@stek29)

WebKit

Dostupno za: macOS Mojave 10.14.4

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-6237: G. Geshev u suradnji s inicijativom Zero Day tvrtke Trend Micro; Liu Long (Vulcan Team, Qihoo 360)

CVE-2019-8571: 01 u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8583: sakura (Tencent Xuanwu Lab), jessica (@babyjess1ca_) (Tencent Keen Lab) i dwfault (ADLab, Venustech)

CVE-2019-8584: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8586: anonimni istraživač

CVE-2019-8587: G. Geshev u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8594: Suyoung Lee i Sooel Son (KAIST Web Security & Privacy Lab) te HyungSeok Han i Sang Kil Cha (KAIST SoftSec Lab)

CVE-2019-8595: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8596: Wen Xu (SSLab, Georgia Tech)

CVE-8597-01: 01 u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8601: Fluoroacetate u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8608: G. Geshev u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8609: Wen Xu (SSLab, Georgia Tech)

CVE-2019-8610: anonimni istraživač u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8611: Samuel Groß (Google Project Zero)

CVE-2019-8615: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8619: Wen Xu (SSLab, Georgia Tech) i Hanqing Zhao (Chaitin Security Research Lab)

CVE-2019-8622: Samuel Groß (Google Project Zero)

CVE-2019-8623: Samuel Groß (Google Project Zero)

CVE-2019-8628: Wen Xu (SSLab, Georgia Tech) i Hanqing Zhao (Chaitin Security Research Lab)

WebKit

Dostupno za: macOS Mojave 10.14.4

Učinak: obradom zlonamjernog web-sadržaja mogla se otkriti procesna memorija

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8607: Junho Jang i Hanul Choi (LINE Security Team)

Wi-Fi

Dostupno za: macOS Mojave 10.14.4

Učinak: napadač na privilegiranoj poziciji na mreži mogao je mijenjati stanje upravljačkog programa

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8612: David Kreitschmann i Milan Stute (Secure Mobile Networking Lab, Tehničko sveučilište Darmstadt)

Unos dodan 14. svibnja 2019.

Dodatna zahvala

CoreFoundation

Željeli bismo zahvaliti m4bln-u, Xiangqian Zhangu, Huiming Liuju (Xuanwu Lab, Tencent), Vozzieju i Ramiju na pomoći.

Unos ažuriran 14. svibnja 2019.

Kernel

Željeli bismo zahvaliti Denisu Kopyrinu na pomoći.

Unos ažuriran 14. svibnja 2019.

PackageKit

Željeli bismo zahvaliti Csabai Fitzlu (@theevilbit) na pomoći.

Safari

Na pomoći zahvaljujemo Michaelu Ballu (Gradescope by Turnitin).

Postavke sustava

Na pomoći zahvaljujemo anonimnom istraživaču.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: