O sigurnosnom sadržaju sustava macOS Mojave 10.14.6, sigurnosnom ažuriranju 2019-004 High Sierra, sigurnosnom ažuriranju 2019-004 Sierra

U ovom dokumentu opisan je sigurnosni sadržaj sustava macOS Mojave 10.14.6, sigurnosno ažuriranje 2019-004 High Sierra, sigurnosno ažuriranje 2019-004 Sierra.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Mojave 10.14.6, sigurnosno ažuriranje 2019-004 High Sierra, sigurnosno ažuriranje 2019-004 Sierra

Objavljeno 22. srpnja 2019.

AppleGraphicsControl

Dostupno za: macOS Mojave 10.14.5

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2019-8693: Arash Tohidi (Solita)

autofs

Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.5, macOS High Sierra 10.13.6

Učinak: izdvajanje komprimirane datoteke koja sadrži simboličku vezu na krajnju točku u postavljenom NFS-u koji je pod kontrolom napadača moglo bi zaobići funkciju Gatekeeper

Opis: to je riješeno dodatnim provjerama koje funkcija Gatekeeper provodi na datotekama postavljenima putem mrežnog dijeljenja.

CVE-2019-8656: Filippo Cavallarin

Bluetooth

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5

Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-19860

Bluetooth

Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.5, macOS High Sierra 10.13.6

Utjecaj: napadač s položaja privilegirane mreže može presresti Bluetooth promet (Key Negotiation of Bluetooth - KNOB)

Opis: na Bluetooth mreži otkriven je problem s provjerom valjanosti unosa. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-9506: Daniele Antonioli s SUTD-a, Singapur, dr. Nils Ole Tippenhauer iz CISPA-e, Njemačka i prof. Kasper Rasmussen sa Sveučilišta u Oxfordu, Engleska

Izmjene za ovo izdanje rješavaju probleme za CVE-2020-10135.

Unos je dodan 13. kolovoza 2019., ažurirano 25. lipnja 2020.

Karbonska jezgra

Dostupno za: macOS Mojave 10.14.5

Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8661: natashenka (Google Project Zero)

Temeljni podaci

Dostupno za: macOS Mojave 10.14.5

Učinak: udaljeni napadač može probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8646: natashenka (Google Project Zero)

Temeljni podaci

Dostupno za: macOS Mojave 10.14.5

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8660: Samuel Groß i natashenka (Google Project Zero)

CUPS

Dostupno za: macOS Sierra 10.12.6, macOS Mojave 10.14.5, macOS High Sierra 10.13.6

Učinak: napadač s mrežnim ovlastima može izvršiti proizvoljni kod

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8675: Stephan Zeisberg (github.com/stze) iz tvrtke Security Research Labs (srlabs.de)

CVE-2019-8696: Stephan Zeisberg (github.com/stze) iz tvrtke Security Research Labs (srlabs.de)

Unos dodan 14. kolovoza 2019., ažuriran 17. rujna 2019.

Upravljanje diskom

Dostupno za: macOS Mojave 10.14.5

Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8539: ccpwd u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 17. rujna 2019.

Upravljanje diskom

Dostupno za: macOS Mojave 10.14.5

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8697: ccpwd u suradnji s inicijativom Zero Day (Trend Micro)

FaceTime

Dostupno za: macOS Mojave 10.14.5

Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8648: Tao Huang i Tielei Wang (tim Pangu)

Pronađeno u aplikacijama

Dostupno za: macOS Mojave 10.14.5

Učinak: udaljeni napadač može probiti memoriju

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8663: natashenka (Google Project Zero)

Game Center

Dostupno za: macOS Mojave 10.14.5

Učinak: lokalni korisnik može čitati trajni identifikator računa

Opis: problem je riješen novim ovlastima.

CVE-2019-8702: Min (Spark) Zheng i Xiaolong Bai (Alibaba Inc.)

Unos dodan 24. veljače 2020.

Grapher

Dostupno za: macOS Mojave 10.14.5

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8695: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Upravljački programi za grafiku

Dostupno za: macOS Mojave 10.14.5, macOS High Sierra 10.13.6

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2019-8691: Aleksandr Tarasikov (@astarasikov), Arash Tohidi iz tvrtke Solita, Lilang Wu i Moony Li iz istraživačkog tima za mobilnu sigurnost tvrtke Trend Micro u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8692: Lilang Wu i Moony Li iz istraživačkog tima za mobilnu sigurnost tvrtke Trend Micro u suradnji s inicijativom Zero Day tvrtke Trend Micro

Unos je ažuriran 25. srpnja 2019.

Heimdal

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5

Učinak: u sustavu Samba postojao je problem koji je omogućivao napadačima izvršavanje neovlaštenih postupaka presretanjem komunikacija između usluga

Opis: taj je problem riješen poboljšanim provjerama za sprječavanje neovlaštenih postupaka.

CVE-2018-16860: Isaac Boukris i Andrew Bartlett (Samba Team i Catalyst)

IOAcceleratorFamily

Dostupno za: macOS Mojave 10.14.5

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8694: Arash Tohidi (Solita)

libxslt

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5

Učinak: udaljeni napadač može vidjeti povjerljive podatke

Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2019-13118: otkrio OSS-Fuzz

Brzi pregled

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5

Učinak: napadač može pokrenuti upotrebu nakon besplatne probe u aplikaciji deserijalizirajući nepouzdani NSDictionary

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8662: natashenka i Samuel Groß (Google Project Zero)

Safari

Dostupno za: macOS Mojave 10.14.5

Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8670: Tsubasa FUJII (@reinforchu)

Sigurnost

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8697: ccpwd u suradnji s inicijativom Zero Day (Trend Micro)

sips

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) i pjf iz laboratorija IceSword tvrtke Qihoo 360

Unos je dodan 8. listopada 2019.

Siri

Dostupno za: macOS Mojave 10.14.5

Učinak: udaljeni napadač može probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8646: natashenka (Google Project Zero)

Time Machine

Dostupno za: macOS Mojave 10.14.5

Učinak: status enkripcije sigurnosne kopije za Time Machine mogao bi biti netočan

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8667: Roland Kletzing iz tvrtke cyber:con GmbH

UIFoundation

Dostupno za: macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.5

Učinak: raščlanjivanjem zlonamjernih dokumenata sustava Office može doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8657: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

WebKit

Dostupno za: macOS Mojave 10.14.5

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: postojao je logički problem u rukovanju učitavanjima dokumenata. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2019-8690: Sergei Glazunov (Google Project Zero)

WebKit

Dostupno za: macOS Mojave 10.14.5

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: postojao je logički problem u rukovanju sinkronim učitavanjima stranica. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2019-8649: Sergei Glazunov (Google Project Zero)

WebKit

Dostupno za: macOS Mojave 10.14.5

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8658: akayn u suradnji s inicijativom Zero Day (Trend Micro)

WebKit

Dostupno za: macOS Mojave 10.14.5

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8644: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8666: Zongming Wang (王宗明) i Zhe Jin (金哲) (Chengdu Security Response Center, Qihoo 360 Technology Co. Ltd.)

CVE-2019-8669: akayn u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8671: Apple

CVE-2019-8672: Samuel Groß (Google Project Zero)

CVE-2019-8673: Soyeon Park i Wen Xu (SSLab, Georgia Tech)

CVE-2019-8676: Soyeon Park i Wen Xu (SSLab, Georgia Tech)

CVE-2019-8677: Jihui Lu (Tencent KeenLab)

CVE-2019-8678: anonimni istraživač, Anthony Lai ((@darkfloyd1014), Knownsec), Ken Wong ((@wwkenwong), VXRL), Jeonghoon Shin ((@singi21a), Theori), Johnny Yu ((@straight_blast), VX Browser Exploitation Group), Chris Chan ((@dr4g0nfl4me); VX Browser Exploitation Group), Phil Mok ((@shadyhamsters), VX Browser Exploitation Group), Alan Ho ((@alan_h0) Knownsec), Byron Wai (VX Browser Exploitation)

CVE-2019-8679: Jihui Lu (Tencent KeenLab)

CVE-2019-8680: Jihui Lu (Tencent KeenLab)

CVE-2019-8681: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8683: lokihardt (Google Project Zero)

CVE-2019-8684: lokihardt (Google Project Zero)

CVE-2019-8685: akayn, Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech), Ken Wong ((@wwkenwong), VXRL), Anthony Lai ((@darkfloyd1014), VXRL) i Eric Lung ((@Khlung1), VXRL)

CVE-2019-8686: G. Geshev u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8687: Apple

CVE-2019-8688: Insu Yun (SSLab, Georgia Tech)

CVE-2019-8689: lokihardt (Google Project Zero)

Dodatna zahvala

Učionica

Zahvaljujemo Jeffu Johnsonu (underpassapp.com) na pomoći.

Game Center

Željeli bismo zahvaliti Minu (Spark) Zhengu i Xiaolongu Baiju (Alibaba Inc.) na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: