O sigurnosnom sadržaju sustava macOS Catalina 10.15

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Catalina 10.15.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Catalina 10.15

Izdano 7. listopada 2019.

AMD

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8748: Lilang Wu i Moony Li (istraživački tim za mobilnu sigurnost, TrendMicro)

apache_mod_php

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: veći broj problema u PHP-u

Opis: veći broj problema riješen je ažuriranjem na PHP verziju 7.3.8.

CVE-2019-11041

CVE-2019-11042

Zvuk

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8706: Yu Zhou (Ant-financial Light-Year Security Lab)

Unos dodan 29. listopada 2019.

Zvuk

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: obradom zlonamjerne audiodatoteke može doći do otkrivanja ograničene memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8850: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 4. prosinca 2019.

Knjige

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: parsiranjem zlonamjerno stvorene iBooks datoteke može doći do trajnog odbijanja usluge

Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8774: Gertjan Franken (imec-DistriNet, KU Leuven)

Unos dodan 29. listopada 2019.

CFNetwork

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8753: Łukasz Pilorz (Standard Chartered GBS Poland)

Unos dodan 29. listopada 2019.

CoreAudio

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: obradom zlonamjernog filma može doći do otkrivanja procesne memorije

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2019-8705: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

CoreAudio

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati proizvoljno izvršavanje koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 6. studenog 2019.

CoreCrypto

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: obradom velikog unosa može se izazvati uskraćivanje usluge

Opis: problem uskraćivanja usluge riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8741: Nicky Mouha (NIST)

Unos dodan 29. listopada 2019.

CoreMedia

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8825: otkrio GWP-ASan u pregledniku Google Chrome

Unos dodan 29. listopada 2019.

Izvješće o padu sustava

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: postavka Share Mac Analytics možda neće biti onemogućena kada korisnik isključi odabir za prebacivanje na zajedničku analizu

Opis: uvjet nadvladavanja postojalo je prilikom čitanja i pisanja korisničkih postavki. Taj je problem riješen poboljšanim rukovanjem stanjem.

CVE-2019-8757: William Cerniuk (Core Development, LLC)

CUPS

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: napadač s administratorskim mrežnim ovlastima mogao je otkriti povjerljive korisničke podatke

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8736: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)

Unos dodan 29. listopada 2019.

CUPS

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: obrada zlonamjerno izrađenog niza može dovesti do oštećenja hrpe.

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8767: Stephen Zeisberg

Unos dodan 29. listopada 2019.

CUPS

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

CVE-2019-8737: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)

Unos dodan 29. listopada 2019.

dyld

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8776: Jann Horn (Google Project Zero)

Unos dodan 3. veljače 2020.

File Quarantine

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: zlonamjerne aplikacije mogu dodijeliti ovlasti visokog stupnja

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2019-8509: CodeColorist (Ant-Financial LightYear Labs)

Unos dodan 29. listopada 2019.

Osnove

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8746: Natalie Silvanovich i Samuel Groß (Google Project Zero)

Unos dodan 29. listopada 2019.

Grafika

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: obrada zlonamjernog sjenčanja može dovesti do neočekivanog prekida aplikacije ili svojevoljnog izvršenja koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-12152: Piotr Bania (Cisco Talos)

CVE-2018-12153: Piotr Bania (Cisco Talos)

CVE-2018-12154: Piotr Bania (Cisco Talos)

Unos dodan 29. listopada 2019.

IOGraphics

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8759: drugi iz tima 360 Nirvan

Unos dodan 29. listopada 2019.

Intelov grafički upravljački program

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8758: Lilang Wu i Moony Li (Trend Micro)

IOGraphics

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2019-8755: Lilang Wu i Moony Li (Trend Micro)

Kernel

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: lokalna aplikacija može čitati trajni identifikator računa

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2019-8809: Apple

Unos dodan 29. listopada 2019.

Kernel

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: prilikom rukovanja IPv6 paketima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim upravljanjem memorijom.

CVE-2019-8744: Zhuo Liang (tim Vulcan, Qihoo 360)

Unos dodan 29. listopada 2019.

Kernel

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8717: Jann Horn (Google Project Zero)

Kernel

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

Unos ažuriran 29. listopada 2019.

libxml2

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: veći broj problema u medijateci libxml2

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8749: otkrio OSS-Fuzz

CVE-2019-8756: otkrio OSS-Fuzz

Unos dodan 29. listopada 2019.

libxslt

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: veći broj problema u medijateci libxslt

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8750: otkrio OSS-Fuzz

Unos dodan 29. listopada 2019.

mDNSResponder

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: napadač koji se nalazi u blizini može pasivno promatrati nazive uređaja u AWDL komunikacijama

Opis: problem je riješen zamjenom naziva uređaja nasumičnim identifikatorom.

CVE-2019-8799: David Kreitschmann i Milan Stute (laboratorij za sigurne mobilne mreže, Tehničko sveučilište u Darmstadtu)

Unos dodan 29. listopada 2019.

Izbornici

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8826: otkrio GWP-ASan u pregledniku Google Chrome

Unos dodan 29. listopada 2019.

Napomene

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: lokalni korisnik mogao je pregledati korisnikove zaključane bilješke

Opis: u rezultatima pretraživanja ponekad se pojavljivao sadržaj zaključanih bilješki. Taj je problem riješen poboljšanim čišćenjem podataka.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) (Institut za politehniku i Državno sveučilište Virginia)

PDFKit

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: napadač bi mogao izdvojiti sadržaj šifriranog PDF-a

Opis: postojao je problem u rukovanju vezama u šifriranom PDF-u. Problem je riješen dodavanjem upita za potvrdu.

CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) i Jörg Schwenk (Ruhr University Bochum)

PluginKit

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: lokalni korisnik mogao bi provjeriti postojanje proizvoljnih datoteka

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2019-8708: anonimni istraživač

Unos dodan 29. listopada 2019.

PluginKit

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8715: anonimni istraživač

Unos dodan 29. listopada 2019.

Memorija za testiranje

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: zlonamjerna aplikacija može pristupiti ograničenim datotekama

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2019-8855: Apple

Unos dodan 18. prosinca 2019.

SharedFileList

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: zlonamjerna aplikacija može pristupiti nedavnim dokumentima

Opis: problem je riješen poboljšanjem logičkog procesa dozvola.

CVE-2019-8770: Stanislav Zinukhov (Parallels International GmbH)

sips

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) i pjf iz laboratorija IceSword tvrtke Qihoo 360

UIFoundation

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: raščlanjivanje zlonamjerne tekstne datoteke moglo bi dovesti do otkrivanja korisničkih podataka

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8761: PaulosYibelo (Limehats), Renee Trisberg (SpectX)

Unos ažuriran 10. kolovoza 2020.

UIFoundation

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8745: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

UIFoundation

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8831: riusksk VulWar Corp u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 18. studenog 2019.

WebKit

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: posjetom zlonamjerno izrađenom web-mjestu može se otkriti povijest pregledavanja

Opis: problem je postojao u nacrtu elemenata web-stranice. Problem je riješen poboljšanjem logike.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: korisnik možda ne može izbrisati stavke povijesti pretraživanja

Opis: odabirom opcije „Očisti povijest i podatke web-mjesta” povijest se nije očistila. Taj je problem riješen poboljšanim brisanjem podataka.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Wi-Fi

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi

Opis: problem privatnosti korisnika riješen je uklanjanjem MAC adrese za emitiranje.

CVE-2019-8854: FuriousMacTeam s akademije United States Naval Academy i Mitre Cooperation, Ta-Lun Yen iz UCCU Hackera

Unos dodan 4. prosinca 2019., ažuriran 18. prosinca 2019.

Dodatna zahvala

AppleRTC

Željeli bismo zahvaliti Vitaliju Cheptsovu na pomoći.

Unos dodan 29. listopada 2019.

Zvuk

Željeli bismo zahvaliti riusksku (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro) na pomoći.

Unos dodan 29. listopada 2019.

boringssl

Željeli bismo zahvaliti Nimrodu Aviramu sa Sveučilišta u Tel Avivu, Robertu Mergetu sa Sveučilišta Ruhr Bochum, Juraju Somorovskom sa Sveučilišta Ruhr Bochum, Thijsu Alkemadeu (@xnyhps) (Computest) na pomoći.

Unos dodan 8. listopada 2019. i ažuriran 29. listopada 2019.

curl

Želimo zahvaliti Josephu Barisa (School District of Philadelphia) za pomoć.

Unos dodan 3. veljače 2020., ažuriran 11. veljače 2020.

Finder

Željeli bismo zahvaliti Csabai Fitzlu (@theevilbit) na pomoći.

Gatekeeper

Željeli bismo zahvaliti Csabai Fitzlu (@theevilbit) na pomoći.

Usluga provjere identiteta

Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.

Unos dodan 29. listopada 2019.

Kernel

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) i Vladu Tsyrklevichu na pomoći.

Unos ažuriran 28. srpnja 2020.

Lokalna provjera autentičnosti

Željeli bismo zahvaliti Ryanu Lopopolou na pomoći.

Unos dodan 3. veljače 2020.

mDNSResponder

Željeli bismo zahvaliti Gregoru Langu (e.solutions GmbH) na pomoći.

Unos dodan 29. listopada 2019.

python

Željeli bismo zahvaliti anonimnom istraživaču za njegovu pomoć.

Unos dodan 29. listopada 2019.

Uvoz podataka preglednika Safari

Želimo zahvaliti Kentu Zoya za pruženu pomoć.

Sigurnost

Želimo zahvaliti Pepijnu Dutour Geerlingu (pepijn.io), anonimnom istraživaču za pomoć.

Unos dodan 18. studenog 2019.

Protokol SCEP

Željeli bismo zahvaliti anonimnom istraživaču za njegovu pomoć.

Siri

Zahvaljujemo Yuvalu Ronu, Amichai Shulman i Eliju Biham (Technion of Israel Institute of Technology) za pomoć.

Unos dodan 4. prosinca 2019., ažuriran 18. prosinca 2019.

Telefonija

Želimo zahvaliti Philu Stokesu iz SentinelOnea za pomoć.

VPN

Željeli bismo zahvaliti Royceu Gawronu (Second Son Consulting, Inc.) na pomoći.

Unos dodan 29. listopada 2019.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: