Informacije o sigurnosnom sadržaju za macOS Mojave 10.14.5, sigurnosnom ažuriranju 2019-003 High Sierra, sigurnosnom ažuriranju 2019-003 Sierra
U ovom dokumentu opisuje se sigurnosni sadržaj za macOS Mojave 10.14.5, sigurnosno ažuriranje 2019-003 High Sierra, sigurnosno ažuriranje 2019-003 Sierra.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Mojave 10.14.5, sigurnosno ažuriranje 2019-003 High Sierra, sigurnosno ažuriranje 2019-003 Sierra
Okvir dostupnosti
Dostupno za: OS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8603: Phoenhex i qwerty (@_niklasb, @qwertyoruiopz, @bkth_) u suradnji s inicijativom Zero Day tvrtke Trend Micro
AMD
Dostupno za: macOS Mojave 10.14.4
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8635: Lilang Wu i Moony Li (Trend Micro Mobile Security Research Team) u suradnji s inicijativom Zero Day tvrtke Trend Micro
Vatrozid za aplikacije
Dostupno za: OS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2019-8590: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
Uslužni program za arhiviranje
Dostupno za: macOS Mojave 10.14.4
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8640: Ash Fox (Fitbit Product Security)
Bluetooth
Dostupno za: macOS Mojave 10.14.4
Učinak: zbog pogrešne konfiguracije protokola Bluetooth uparivanja FIDO sigurnosnih ključeva u verziji za Bluetooth Low Energy (BLE) moguće je da napadač u fizičkoj blizini presretne Bluetooth promet tijekom uparivanja
Opis: problem je riješen onemogućivanjem dodatne opreme s nesigurnim Bluetooth vezama. Kupci koji koriste Googleov Titan sigurnosni ključ u verziji za Bluetooth Low Energy (BLE) trebali bi pogledati Biltene za Android za lipanj i Googleove smjernice i poduzeti odgovarajuće radnje.
CVE-2019-2102: Matt Beaver i Erik Peterson, Microsoft Corp.
CoreAudio
Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem pogreškama.
CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day tvrtke Trend Micro
CoreAudio
Dostupno za: macOS Mojave 10.14.4
Učinak: obradom zlonamjerne filmske datoteke može doći do izvršavanja proizvoljnog koda
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8585: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Jezgreni tekst
Dostupno za: macOS Mojave 10.14.4
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8582: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
DesktopServices
Dostupno za: macOS Mojave 10.14.4
Učinak: zlonamjerna aplikacija može zaobići provjere alata Gatekeeper
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8589: Andreas Clementi, Stefan Haselwanter i Peter Stelzhammer (AV-Comparatives)
Slike diska
Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8560: Nikita Pupyshev (Državno tehničko sveučilište Bauman Moskva)
EFI
Dostupno za: macOS Mojave 10.14.4
Učinak: korisnik bi neočekivano mogao biti prijavljen na tuđi korisnički račun
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8634: Jenny Sprenger i Maik Hoepfel
Intelov grafički upravljački program
Dostupno za: macOS Mojave 10.14.4
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8616: Lilang Wu i Moony Li (Trend Micro Mobile Security Research Team, Trend Micro) u suradnji s inicijativom Zero Day tvrtke Trend Micro
Intelov grafički upravljački program
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8629: Arash Tohidi (Solita Oy)
IOAcceleratorFamily
Dostupno za: macOS High Sierra 10.13.6
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4456: Tyler Bohan (Cisco Talos)
IOKit
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Učinak: lokalni korisnik mogao bi učitati nedodijeljena proširenja kernela
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2019-8606: Phoenhex i qwerty (@_niklasb, @qwertyoruiopz, @bkth_) u suradnji s inicijativom Zero Day tvrtke Trend Micro
Kernel
Dostupno za: macOS Mojave 10.14.4, macOS High Sierra 10.13.6
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8633: Zhuo Liang, Qihoo 360 Vulcan Team
Kernel
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8525: Zhuo Liang i shrek_wzw (tim Nirvan, Qihoo 360)
Kernel
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Učinak: udaljeni napadač može probiti memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8547: derrek (@derrekr6)
Kernel
Dostupno za: macOS Mojave 10.14.4
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8576: Brandon Azad (Google Project Zero), Junho Jang i Hanul Choi (tim za sigurnost, LINE)
Kernel
Dostupno za: OS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Učinak: neke aplikacije mogu uzrokovati neočekivani pad sustava, odnosno pisati kernelsku memoriju
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8591: Ned Williamson u suradnji s Google Project Zero
Poruke
Dostupno za: macOS Mojave 10.14.4
Učinak: udaljeni napadač može uzrokovati sistemsko odbijanje usluge
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8573: natashenka (Google Project Zero)
Poruke
Dostupno za: macOS Mojave 10.14.4
Učinak: korisnici uklonjeni iz iMessage razgovora i dalje mogu mijenjati stanje
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8631: Jamie Bishop, Dynastic
Mikrokod
Dostupno za: macOS Mojave 10.14.4
Učinak: priključci za učitavanje, međuspremnici popune i međuspremnici pohrane u sustavima s mikroprocesorima koji koriste spekulativno izvršavanje mogli su napadaču s lokalnim korisničkim pristupom dopustiti da potencijalno omogući otkrivanje podataka putem sporednog kanala
Opis: veći broj problema s otkrivanjem podataka djelomično je riješen ažuriranjem mikrokoda i promjenom OS planera kako bi se sustav izolirao od web-sadržaja koji se prikazuje u pregledniku. Da bi se problemi riješili u potpunosti, postoje dodatna izborna ublažavanja kako bi se onemogućila simultana višenitnost, a omogućila ublažavanja koja se temelje na mikrokodu za sve procese prema zadanim postavkama. Informacije o ublažavanjima potražite na adresi https://support.apple.com/hr-hr/HT210107.
CVE-2018-12126: Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco (Intel); Lei Shi (Qihoo 360 CERT); Marina Minkin; Daniel Genkin (Sveučilište u Michiganu); Yuval Yarom (Sveučilište u Adelaideu)
CVE-2018-12127: Brandon Falk (Microsoft Windows Platform Security Team); Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco (Intel)
CVE-2018-12130: Giorgi Maisuradze (Microsoft Research); Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco (Intel); Moritz Lipp, Michael Schwarz i Daniel Gruss (Tehnološko sveučilište u Grazu); Stephan van Schaik, Alyssa Milburn, Sebastian Osterlund, Pietro Frigo, Kaveh Razavi, Herbert Bos i Cristiano Giuffrida (VUSec grupa, VU Amsterdam); Volodymyr Pikhur; Dan Horea Lutas (BitDefender)
CVE-2019-11091: Ke Sun, Henrique Kawakami, Kekai Hu i Rodrigo Branco (Intel); Moritz Lipp, Michael Schwarz i Daniel Gruss (Tehnološko sveučilište u Grazu)
Sigurnost
Dostupno za: OS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.4
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8604: Fluoroacetate u suradnji s inicijativom Zero Day tvrtke Trend Micro
SQLite
Dostupno za: macOS Mojave 10.14.4
Učinak: neka aplikacija mogla bi dobiti veće ovlasti
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8577: Omer Gull (Checkpoint Research)
SQLite
Dostupno za: macOS Mojave 10.14.4
Učinak: zlonamjerni SQL upit mogao je dovesti do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8600: Omer Gull (Checkpoint Research)
SQLite
Dostupno za: macOS Mojave 10.14.4
Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8598: Omer Gull (Checkpoint Research)
SQLite
Dostupno za: macOS Mojave 10.14.4
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.
CVE-2019-8602: Omer Gull (Checkpoint Research)
StreamingZip
Dostupno za: macOS Mojave 10.14.4
Učinak: lokalni korisnik može izmijeniti zaštićene dijelove datotečnog sustava
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
sysdiagnose
Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.4, macOS High Sierra 10.13.6
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2019-8574: Dayton Pidhirney ((@_watbulb), Seekintoo, (@seekintoo))
Podrška za Touch Bar
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8569: Viktor Oreshkin (@stek29)
WebKit
Dostupno za: macOS Mojave 10.14.4
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-6237: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro); Liu Long (tim Vulcan, Qihoo 360)
CVE-2019-8571: 01 u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8583: sakura (Tencent Xuanwu Lab), jessica ((@babyjess1ca_), Tencent Keen Lab) i dwfault (ADLab, Venustech)
CVE-2019-8584: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8586: anonimni istraživač
CVE-2019-8587: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8594: Suyoung Lee i Sooel Son (laboratorij za web-sigurnost i privatnost, KAIST) te HyungSeok Han i Sang Kil Cha (laboratorij za softversku sigurnost, KAIST)
CVE-2019-8595: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8596: Wen Xu (SSLab, Georgia Tech)
CVE-2019-8597: 01 u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8601: Fluoroacetate u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8608: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8609: Wen Xu (SSLab, Georgia Tech)
CVE-2019-8610: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8611: Samuel Groß (Google Project Zero)
CVE-2019-8615: G. Geshev (MWR Labs) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8619: Wen Xu (SSLab, Georgia Tech) i Hanqing Zhao (laboratorij za istraživanje sigurnosti, Chaitin)
CVE-2019-8622: Samuel Groß (Google Project Zero)
CVE-2019-8623: Samuel Groß (Google Project Zero)
CVE-2019-8628: Wen Xu (SSLab, Georgia Tech) i Hanqing Zhao (laboratorij za istraživanje sigurnosti, Chaitin)
WebKit
Dostupno za: macOS Mojave 10.14.4
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8607: Junho Jang i Hanul Choi (tim za sigurnost, LINE)
Wi-Fi
Dostupno za: macOS Mojave 10.14.4
Učinak: napadač na privilegiranoj poziciji na mreži može mijenjati stanje upravljačkog programa
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8612: Milan Stute (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
Dodatna zahvala
CoreAudio
Željeli bismo zahvaliti riusksku (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro) na pomoći.
CoreFoundation
Željeli bismo zahvaliti m4bln-u, Xiangqian Zhangu, Huiming Liuju (Xuanwu Lab, Tencent), Vozzieju i Ramiju na pomoći.
Kernel
Željeli bismo zahvaliti Denisu Kopyrinu na pomoći.
PackageKit
Željeli bismo zahvaliti Csabai Fitzlu (@theevilbit) na pomoći.
Safari
Željeli bismo zahvaliti Michaelu Ballu (Gradescope by Turnitin) na pomoći.
Postavke sustava
Željeli bismo zahvaliti anonimnom istraživaču za njegovu pomoć.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.