Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Mojave 10.14.6, sigurnosno ažuriranje 2019-004 High Sierra, sigurnosno ažuriranje 2019-004 Sierra
Objavljeno 22. srpnja 2019.
AppleGraphicsControl
Dostupno za: macOS Mojave 10.14.5
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8693: Arash Tohidi (Solita)
autofs
Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.5, macOS High Sierra 10.13.6
Učinak: izdvajanje komprimirane datoteke koja sadrži simboličku vezu na krajnju točku u postavljenom NFS-u koji je pod kontrolom napadača moglo bi zaobići funkciju Gatekeeper
Opis: to je riješeno dodatnim provjerama koje funkcija Gatekeeper provodi na datotekama postavljenima putem mrežnog dijeljenja.
CVE-2019-8656: Filippo Cavallarin
Bluetooth
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5
Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-19860
Bluetooth
Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.5, macOS High Sierra 10.13.6
Utjecaj: napadač s položaja privilegirane mreže može presresti Bluetooth promet (Key Negotiation of Bluetooth - KNOB)
Opis: na Bluetooth mreži otkriven je problem s provjerom valjanosti unosa. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-9506: Daniele Antonioli s SUTD-a, Singapur, dr. Nils Ole Tippenhauer iz CISPA-e, Njemačka i prof. Kasper Rasmussen sa Sveučilišta u Oxfordu, Engleska
Izmjene za ovo izdanje rješavaju probleme za CVE-2020-10135.
Unos je dodan 13. kolovoza 2019., ažurirano 25. lipnja 2020.
Karbonska jezgra
Dostupno za: macOS Mojave 10.14.5
Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8661: Natalie Silvanovich (Google Project Zero)
Temeljni podaci
Dostupno za: macOS Mojave 10.14.5
Učinak: udaljeni napadač može probiti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8646: Natalie Silvanovich (Google Project Zero)
Temeljni podaci
Dostupno za: macOS Mojave 10.14.5
Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8660: Samuel Groß i Natalie Silvanovich (Google Project Zero)
CUPS
Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.5, macOS High Sierra 10.13.6
Učinak: napadač s mrežnim ovlastima može izvršiti proizvoljni kod
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8675: Stephan Zeisberg (github.com/stze) iz tvrtke Security Research Labs (srlabs.de)
CVE-2019-8696: Stephan Zeisberg (github.com/stze) iz tvrtke Security Research Labs (srlabs.de)
Unos dodan 14. kolovoza 2019., ažuriran 17. rujna 2019.
Upravljanje diskom
Dostupno za: macOS Mojave 10.14.5
Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8539: ccpwd u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 17. rujna 2019.
Upravljanje diskom
Dostupno za: macOS Mojave 10.14.5
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8697: ccpwd u suradnji s inicijativom Zero Day (Trend Micro)
FaceTime
Dostupno za: macOS Mojave 10.14.5
Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8648: Tao Huang i Tielei Wang (tim Pangu)
Pronađeno u aplikacijama
Dostupno za: macOS Mojave 10.14.5
Učinak: udaljeni napadač može probiti memoriju
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8663: Natalie Silvanovich (Google Project Zero)
Game Center
Dostupno za: macOS Mojave 10.14.5
Učinak: lokalni korisnik može čitati trajni identifikator računa
Opis: problem je riješen novim ovlastima.
CVE-2019-8702: Min (Spark) Zheng i Xiaolong Bai (Alibaba Inc.)
Unos je dodan 24. veljače 2020.
Grapher
Dostupno za: macOS Mojave 10.14.5
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8695: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Upravljački programi za grafiku
Dostupno za: macOS Mojave 10.14.5, macOS High Sierra 10.13.6
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8691: Aleksandr Tarasikov (@astarasikov), Arash Tohidi iz tvrtke Solita, Lilang Wu i Moony Li iz istraživačkog tima za mobilnu sigurnost tvrtke Trend Micro u suradnji s inicijativom Zero Day tvrtke Trend Micro
CVE-2019-8692: Lilang Wu i Moony Li iz istraživačkog tima za mobilnu sigurnost tvrtke Trend Micro u suradnji s inicijativom Zero Day tvrtke Trend Micro
Unos je ažuriran 25. srpnja 2019.
Heimdal
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5
Učinak: u sustavu Samba postojao je problem koji je omogućivao napadačima izvršavanje neovlaštenih postupaka presretanjem komunikacija između usluga
Opis: taj je problem riješen poboljšanim provjerama za sprječavanje neovlaštenih postupaka.
CVE-2018-16860: Isaac Boukris i Andrew Bartlett (Samba Team i Catalyst)
IOAcceleratorFamily
Dostupno za: macOS Mojave 10.14.5
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8694: Arash Tohidi (Solita)
libxslt
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5
Učinak: udaljeni napadač može vidjeti povjerljive podatke
Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.
CVE-2019-13118: otkrio OSS-Fuzz
Brzi pregled
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5
Učinak: napadač može pokrenuti upotrebu nakon besplatne probe u aplikaciji deserijalizirajući nepouzdani NSDictionary
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8662: Natalie Silvanovich i Samuel Groß (Google Project Zero)
Safari
Dostupno za: macOS Mojave 10.14.5
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8670: Tsubasa FUJII (@reinforchu)
Sigurnost
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8697: ccpwd u suradnji s inicijativom Zero Day (Trend Micro)
sips
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) i pjf iz laboratorija IceSword tvrtke Qihoo 360
Unos je dodan 8. listopada 2019.
Siri
Dostupno za: macOS Mojave 10.14.5
Učinak: udaljeni napadač može probiti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8646: Natalie Silvanovich (Google Project Zero)
Time Machine
Dostupno za: macOS Mojave 10.14.5
Učinak: status enkripcije sigurnosne kopije za Time Machine mogao bi biti netočan
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8667: Roland Kletzing iz tvrtke cyber:con GmbH
UIFoundation
Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5
Učinak: raščlanjivanjem zlonamjernih dokumenata sustava Office može doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8657: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: macOS Mojave 10.14.5
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: postojao je logički problem u rukovanju učitavanjima dokumenata. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2019-8690: Sergei Glazunov (Google Project Zero)
WebKit
Dostupno za: macOS Mojave 10.14.5
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: postojao je logički problem u rukovanju sinkronim učitavanjima stranica. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2019-8649: Sergei Glazunov (Google Project Zero)
WebKit
Dostupno za: macOS Mojave 10.14.5
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8658: akayn u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: macOS Mojave 10.14.5
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8644: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8666: Zongming Wang (王宗明) i Zhe Jin (金哲) (Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.)
CVE-2019-8669: akayn u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8671: Apple
CVE-2019-8672: Samuel Groß (Google Project Zero)
CVE-2019-8673: Soyeon Park i Wen Xu (SSLab, Georgia Tech)
CVE-2019-8676: Soyeon Park i Wen Xu (SSLab, Georgia Tech)
CVE-2019-8677: Jihui Lu (Tencent KeenLab)
CVE-2019-8678: anonimni istraživač, Anthony Lai ((@darkfloyd1014), Knownsec), Ken Wong ((@wwkenwong), VXRL), Jeonghoon Shin ((@singi21a), Theori), Johnny Yu ((@straight_blast), VX Browser Exploitation Group), Chris Chan ((@dr4g0nfl4me); VX Browser Exploitation Group), Phil Mok ((@shadyhamsters), VX Browser Exploitation Group), Alan Ho ((@alan_h0) Knownsec), Byron Wai (VX Browser Exploitation)
CVE-2019-8679: Jihui Lu (Tencent KeenLab)
CVE-2019-8680: Jihui Lu (Tencent KeenLab)
CVE-2019-8681: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8683: lokihardt (Google Project Zero)
CVE-2019-8684: lokihardt (Google Project Zero)
CVE-2019-8685: akayn, Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech), Ken Wong ((@wwkenwong), VXRL), Anthony Lai ((@darkfloyd1014), VXRL) i Eric Lung ((@Khlung1), VXRL)
CVE-2019-8686: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8687: Apple
CVE-2019-8688: Insu Yun (SSLab, Georgia Tech)
CVE-2019-8689: lokihardt (Google Project Zero)
Dodatna zahvala
Učionica
Zahvaljujemo Jeffu Johnsonu (underpassapp.com) na pomoći.
Game Center
Željeli bismo zahvaliti Minu (Spark) Zhengu i Xiaolongu Baiju (Alibaba Inc.) na pomoći.