O sigurnosnom sadržaju sustava macOS Catalina 10.15

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Catalina 10.15.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Catalina 10.15

Objavljeno 7. listopada 2019.

AMD

Dostupno za: MacBook (početkom 2015. i novija verzija), MacBook Air (sredinom 2012. i novija verzija), MacBook Pro (sredinom 2012. i novija verzija), Mac mini (krajem 2012. i novija verzija), iMac (krajem 2012. i novija verzija), iMac Pro (svi modeli) i Mac Pro (krajem 2013. i novija verzija)

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8748: Lilang Wu i Moony Li (istraživački tim za mobilnu sigurnost, TrendMicro)

apache_mod_php

Učinak: veći broj problema u PHP-u

Opis: veći broj problema riješen je ažuriranjem na PHP verziju 7.3.8.

CVE-2019-11041

CVE-2019-11042

Audio

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8706: Yu Zhou (Ant-Financial Light-Year Security Lab)

Unos je dodan 29. listopada 2019.

Audio

Učinak: obradom zlonamjernih audiodatoteka može doći do otkrivanja ograničene memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8850: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 4. prosinca 2019.

Books

Učinak: parsiranjem zlonamjerno stvorene iBooks datoteke može doći do trajnog odbijanja usluge

Opis: problem iscrpljivanja resursa riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8774: Gertjan Franken (imec-DistriNet, KU Leuven)

Unos je dodan 29. listopada 2019.

CFNetwork

Učinak: obradom zlonamjernog web-sadržaja može doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8753: Łukasz Pilorz (Standard Chartered GBS Poland)

Unos je dodan 29. listopada 2019.

CoreAudio

Učinak: obradom zlonamjernog filma može doći do otkrivanja procesne memorije

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2019-8705: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

CoreAudio

Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 6. studenog 2019.

CoreCrypto

Učinak: obradom velikog unosa može se izazvati uskraćivanje usluge

Opis: problem uskraćivanja usluge riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8741: Nicky Mouha (NIST)

Unos je dodan 29. listopada 2019.

CoreMedia

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8825: otkrio GWP-ASan u pregledniku Google Chrome

Unos je dodan 29. listopada 2019.

Crash Reporter

Učinak: postavka Share Mac Analytics možda neće biti onemogućena kada korisnik isključi odabir za prebacivanje na zajedničku analizu

Opis: uvjet nadvladavanja postojalo je prilikom čitanja i pisanja korisničkih postavki. Taj je problem riješen poboljšanim rukovanjem stanjem.

CVE-2019-8757: William Cerniuk (Core Development, LLC)

CUPS

Učinak: napadač s administratorskim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8736: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)

Unos je dodan 29. listopada 2019.

CUPS

Učinak: obrada zlonamjerno izrađenog niza može dovesti do oštećenja hrpe.

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8767: Stephen Zeisberg

Unos je dodan 29. listopada 2019.

CUPS

Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

CVE-2019-8737: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)

Unos je dodan 29. listopada 2019.

dyld

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8776: Jann Horn (Google Project Zero)

Unos je dodan 3. veljače 2020.

File Quarantine

Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2019-8509: CodeColorist (Ant-Financial LightYear Labs)

Unos je dodan 29. listopada 2019.

Foundation

Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8746: natashenka i Samuel Groß (Google Project Zero)

Unos je dodan 29. listopada 2019.

Graphics

Učinak: obrada zlonamjernog sjenčanja može dovesti do neočekivanog prekida aplikacije ili svojevoljnog izvršenja koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-12152: Piotr Bania (Cisco Talos)

CVE-2018-12153: Piotr Bania (Cisco Talos)

CVE-2018-12154: Piotr Bania (Cisco Talos)

Unos je dodan 29. listopada 2019.

IOGraphics

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8759: drugi iz tima 360 Nirvan

Unos je dodan 29. listopada 2019.

Intel Graphics Driver

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8758: Lilang Wu i Moony Li (Trend Micro)

IOGraphics

Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2019-8755: Lilang Wu i Moony Li (Trend Micro)

Kernel

Učinak: neka bi aplikacija mogla dobiti veće ovlasti

Opis: problem je riješen poboljšanim pravima.

CVE-2019-8703: anonimni istraživač

Unos je dodan 16. ožujka 2021.

Kernel

Učinak: lokalna aplikacija može čitati trajni identifikator računa

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2019-8809: Apple

Unos je dodan 29. listopada 2019.

Kernel

Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije

Opis: prilikom rukovanja IPv6 paketima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim upravljanjem memorijom.

CVE-2019-8744: Zhuo Liang (tim Vulcan, Qihoo 360)

Unos je dodan 29. listopada 2019.

Kernel

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8717: Jann Horn (Google Project Zero)

Kernel

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

CVE-2019-8781: Linus Henze (pinauten.de)

Unos je ažuriran 29. listopada 2019.

libxml2

Učinak: veći broj problema u medijateci libxml2

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8749: otkrio OSS-Fuzz

CVE-2019-8756: otkrio OSS-Fuzz

Unos je dodan 29. listopada 2019.

libxslt

Učinak: veći broj problema u medijateci libxslt

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8750: otkrio OSS-Fuzz

Unos je dodan 29. listopada 2019.

mDNSResponder

Učinak: napadač koji se nalazi u blizini može pasivno promatrati nazive uređaja u AWDL komunikacijama

Opis: problem je riješen zamjenom naziva uređaja nasumičnim identifikatorom.

CVE-2019-8799: David Kreitschmann i Milan Stute (laboratorij za sigurne mobilne mreže, Tehničko sveučilište u Darmstadtu)

Unos je dodan 29. listopada 2019.

Menus

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8826: otkrio GWP-ASan u pregledniku Google Chrome

Unos je dodan 29. listopada 2019.

Notes

Učinak: lokalni korisnik mogao je pregledati korisnikove zaključane bilješke

Opis: u rezultatima pretraživanja ponekad se pojavljivao sadržaj zaključanih bilješki. Taj je problem riješen poboljšanim čišćenjem podataka.

CVE-2019-8730: Jamie Blumberg (@jamie_blumberg) (Institut za politehniku i Državno sveučilište Virginia)

PDFKit

Učinak: napadač bi mogao izdvojiti sadržaj šifriranog PDF-a

Opis: postojao je problem u rukovanju vezama u šifriranom PDF-u. Problem je riješen dodavanjem upita za potvrdu.

CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) i Jörg Schwenk (Ruhr University Bochum)

PluginKit

Učinak: lokalni korisnik mogao bi provjeriti postojanje proizvoljnih datoteka

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2019-8708: anonimni istraživač

Unos je dodan 29. listopada 2019.

PluginKit

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8715: anonimni istraživač

Unos je dodan 29. listopada 2019.

Sandbox

Učinak: zlonamjerna aplikacija može pristupiti ograničenim datotekama

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2019-8855: Apple

Unos je dodan 18. prosinca 2019.

SharedFileList

Učinak: zlonamjerna aplikacija može pristupiti nedavnim dokumentima

Opis: problem je riješen poboljšanjem logičkog procesa dozvola.

CVE-2019-8770: Stanislav Zinukhov (Parallels International GmbH)

sips

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) i pjf iz laboratorija IceSword tvrtke Qihoo 360

UIFoundation

Učinak: raščlanjivanje zlonamjerne tekstne datoteke moglo bi dovesti do otkrivanja korisničkih podataka

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8761: Renee Trisberg (SpectX)

Unos je ažuriran 10. kolovoza 2020. i 21. srpnja 2021.

UIFoundation

Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8745: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

UIFoundation

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8831: riusksk VulWar Corp u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 18. studenog 2019.

WebKit

Učinak: posjetom zlonamjerno izrađenom web-mjestu može se otkriti povijest pregledavanja

Opis: problem je postojao u nacrtu elemenata web-stranice. Problem je riješen poboljšanjem logike.

CVE-2019-8769: Piérre Reimertz (@reimertz)

WebKit

Učinak: korisnik možda ne može izbrisati stavke povijesti pretraživanja

Opis: odabirom opcije „Očisti povijest i podatke web-mjesta” povijest se nije očistila. Problem je riješen poboljšanim brisanjem podataka.

CVE-2019-8768: Hugo S. Diaz (coldpointblue)

Wi-Fi

Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi

Opis: problem privatnosti korisnika riješen je uklanjanjem MAC adrese za emitiranje.

CVE-2019-8854: FuriousMacTeam s akademije United States Naval Academy i Mitre Cooperation, Ta-Lun Yen iz UCCU Hackera

Unos je dodan 4. prosinca 2019. i ažuriran 18. prosinca 2019.

Dodatna zahvala

AppleRTC

Željeli bismo zahvaliti Vitaliju Cheptsovu na pomoći.

Unos je dodan 29. listopada 2019.

Audio

Željeli bismo zahvaliti riusksku (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro) na pomoći.

Unos je dodan 29. listopada 2019.

boringssl

Željeli bismo zahvaliti Nimrodu Aviramu sa Sveučilišta u Tel Avivu, Robertu Mergetu sa Sveučilišta Ruhr Bochum, Juraju Somorovskom sa Sveučilišta Ruhr Bochum, Thijsu Alkemadeu (@xnyhps) (Computest) na pomoći.

Unos je dodan 8. listopada 2019. i ažuriran 29. listopada 2019.

curl

Želimo zahvaliti Josephu Barisi (School District of Philadelphia) na pomoći.

Unos je dodan 3. veljače 2020. i ažuriran 11. veljače 2020.

Finder

Željeli bismo zahvaliti Csabi Fitzlu (@theevilbit) na pomoći.

Gatekeeper

Željeli bismo zahvaliti Csabi Fitzlu (@theevilbit) na pomoći.

Identity Service

Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) na pomoći.

Unos je dodan 29. listopada 2019.

Kernel

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) i Vladu Tsyrklevichu na pomoći.

Unos je ažuriran 28. srpnja 2020.

Local Authentication

Željeli bismo zahvaliti Ryanu Lopopolou na pomoći.

Unos je dodan 3. veljače 2020.

mDNSResponder

Željeli bismo zahvaliti Gregoru Langu (e.solutions GmbH) na pomoći.

Unos je dodan 29. listopada 2019.

python

Na pomoći zahvaljujemo anonimnom istraživaču.

Unos je dodan 29. listopada 2019.

Safari Data Importing

Želimo zahvaliti Kentu Zoyi na pruženoj pomoći.

Security

Želimo zahvaliti Pepijnu Dutour Geerlingu (pepijn.io), anonimnom istraživaču na pomoći.

Unos je dodan 18. studenog 2019.

Simple certificate enrollment protocol (SCEP)

Na pomoći zahvaljujemo anonimnom istraživaču.

Siri

Zahvaljujemo Yuvalu Ronu, Amichaiju Shulmanu i Eliju Bihamu (Technion of Israel Institute of Technology) na pomoći.

Unos je dodan 4. prosinca 2019. i ažuriran 18. prosinca 2019.

Telephony

Željeli bismo zahvaliti Philu Stokesu iz tvrtke SentinelOne na pomoći.

VPN

Željeli bismo zahvaliti Royceu Gawronu (Second Son Consulting, Inc.) na pomoći.

Unos je dodan 29. listopada 2019.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 02. kolovoza 2021.