Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Catalina 10.15.1, sigurnosno ažuriranje 2019-001, sigurnosno ažuriranje 2019-006
Objavljeno 29. listopada 2019.
Accounts
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: udaljeni napadač mogao bi otkriti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8787: Steffen Klee (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
Unos je ažuriran 11. veljače 2020.
Accounts
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: AirDrop prijenosi mogu se neočekivano prihvatiti dok ste u modu Svi
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8796: Allison Husain (UC Berkeley)
Unos je dodan 4. travnja 2020.
AirDrop
Dostupno za: macOS Catalina 10.15
Učinak: AirDrop prijenosi mogu se neočekivano prihvatiti dok ste u modu Svi
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8796: Allison Husain (UC Berkeley)
Unos je dodan 4. travnja 2020.
AMD
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8748: Lilang Wu i Moony Li (istraživački tim za mobilnu sigurnost, TrendMicro)
Unos je dodan 11. veljače 2020.
apache_mod_php
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: veći broj problema u PHP-u
Opis: veći broj problema riješen je ažuriranjem na PHP verziju 7.3.8.
CVE-2019-11041
CVE-2019-11042
Unos je dodan 11. veljače 2020.
APFS
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8824: Mac u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 11. veljače 2020.
App Store
Dostupno za: macOS Catalina 10.15
Učinak: lokalni napadač može se bez valjanih vjerodajnica prijaviti na račun korisnika koji je već bio prijavljen.
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleGraphicsControl
Dostupno za: macOS Catalina 10.15
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8817: Arash Tohidi
AppleGraphicsControl
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8716: Zhiyi Zhang (tim Codesafe, tvrtka Legendsec, grupa Qi'anxin), Zhuo Liang (tim Vulcan, Qihoo 360)
Associated Domains
Dostupno za: macOS Catalina 10.15
Učinak: neispravno procesiranje URL-a može dovesti do eksfiltriranja podataka
Opis: problem je postojao u raščlanjivanju URL-ova. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8788: Juha Lindstedt (Pakastin), Mirko Tanania, Rauli Rikama (Zero Keyboard Ltd)
Audio
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8706: Yu Zhou (Ant-financial Light-Year Security Lab)
Audio
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8785: Ian Beer (Google Project Zero)
CVE-2019-8797: 08Tc3wBB i SSD Secure Disclosure
Unos je ažuriran 11. veljače 2020.
Audio
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: obradom zlonamjernih audiodatoteka može doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8850: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
Unos je ažuriran 18. prosinca 2019.
Books
Dostupno za: macOS Catalina 10.15
Učinak: raščlanjivanjem zlonamjerne iBooks datoteke može doći do otkrivanja korisničkih podataka
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2019-8789: Gertjan Franken (imec-DistriNet, KU Leuven)
Contacts
Dostupno za: macOS Catalina 10.15
Učinak: obradom zlonamjernog kontakta može se krivotvoriti korisničko sučelje
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH (to.com))
CoreAudio
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 6. studenog 2019.
CoreAudio
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: obradom zlonamjernog filma može doći do otkrivanja procesne memorije
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2019-8705: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 11. veljače 2020.
CoreMedia
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8825: otkrio GWP-ASan u pregledniku Google Chrome
Unos je dodan 11. veljače 2020.
CUPS
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: napadač s administratorskim mrežnim ovlastima mogao bi otkriti povjerljive korisničke podatke
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8736: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)
CUPS
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: obrada zlonamjerno izrađenog niza može dovesti do oštećenja hrpe.
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8767: Stephen Zeisberg
CUPS
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.
CVE-2019-8737: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)
File Quarantine
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2019-8509: CodeColorist (Ant-Financial LightYear Labs)
File System Events
Dostupno za: macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8798: ABC Research s.r.o. i inicijativa Zero Day (Trend Micro)
Foundation
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8746: natashenka i Samuel Groß (Google Project Zero)
Unos je dodan 11. veljače 2020.
Graphics
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: obrada zlonamjernog sjenčanja može dovesti do neočekivanog prekida aplikacije ili svojevoljnog izvršenja koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-12152: Piotr Bania (Cisco Talos)
CVE-2018-12153: Piotr Bania (Cisco Talos)
CVE-2018-12154: Piotr Bania (Cisco Talos)
Graphics Driver
Dostupno za: macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8784: Vasiliy Vasilyev i Ilya Finogeev (Webinar, LLC)
Intel Graphics Driver
Dostupno za: macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8807: Yu Wang (Didi Research America)
IOGraphics
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8759: drugi iz tima 360 Nirvan
iTunes
Dostupno za: macOS Catalina 10.15
Učinak: pokretanje instalacijskog programa za iTunes u nepouzdanom direktoriju može rezultirati izvršavanjem arbitrarnog koda
Opis: u postavkama iTunes postojao je problem s učitavanjem dinamičke medijateke. To je riješeno poboljšanim pretraživanjem putanje.
CVE-2019-8801: Hou JingYi (@hjy79425575) (Qihoo 360 CERT)
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Unos je dodan 11. veljače 2020.
Kernel
Dostupno za: macOS Catalina 10.15
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8794: 08Tc3wBB i SSD Secure Disclosure
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8717: Jann Horn (Google Project Zero)
CVE-2019-8786: Wen Xu (Georgia Tech, stažist istraživačkog tima Microsoft Offensive Security)
Unos je ažuriran 18. listopada 2019. i 11. veljače 2020.
Kernel
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: zlonamjerna aplikacija mogla bi odrediti raspored elemenata kernelske memorije
Opis: prilikom rukovanja IPv6 paketima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim upravljanjem memorijom.
CVE-2019-8744: Zhuo Liang (tim Vulcan, Qihoo 360)
Kernel
Dostupno za: macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2019-8829: Jann Horn (Google Project Zero)
Unos je dodan 6. studenog 2019.
libxml2
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: veći broj problema u medijateci libxml2
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8749: otkrio OSS-Fuzz
CVE-2019-8756: otkrio OSS-Fuzz
libxslt
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: veći broj problema u medijateci libxslt
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8750: otkrio OSS-Fuzz
manpages
Dostupno za: macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2019-8802: Csaba Fitzl (@theevilbit)
PDFKit
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: napadač bi mogao izdvojiti sadržaj šifriranog PDF-a
Opis: postojao je problem u rukovanju vezama u šifriranom PDF-u. Problem je riješen dodavanjem upita za potvrdu.
CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) i Jörg Schwenk (Ruhr University Bochum)
Unos je dodan 11. veljače 2020.
PluginKit
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: lokalni korisnik mogao bi provjeriti postojanje proizvoljnih datoteka
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2019-8708: anonimni istraživač
PluginKit
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8715: anonimni istraživač
Screen Sharing Server
Dostupno za: macOS Catalina 10.15
Učinak: korisnik koji dijeli zaslon možda neće moći prekinuti dijeljenje
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8858: Saul van der Bijl (Saul’s Place Counseling B.V.)
Unos je dodan 18. prosinca 2019.
System Extensions
Dostupno za: macOS Catalina 10.15
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: postojao je problem s provjerom valjanosti u provjeri valjanosti ovlasti. Taj je problem riješen poboljšanom provjerom valjanosti ovlasti za taj postupak.
CVE-2019-8805: Scott Knight (@sdotknight) (VMware Carbon Black TAU)
UIFoundation
Dostupno za: macOS Catalina 10.15
Učinak: zlonamjeran HTML dokument mogao bi obraditi iframes s osjetljivim korisničkim podacima
Opis: u „iframe” elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.
CVE-2019-8754: Renee Trisberg (SpectX)
Unos je dodan 24. veljače 2020.
UIFoundation
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-8745: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 11. veljače 2020.
UIFoundation
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz sistemske ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8831: riusksk VulWar Corp u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 11. veljače 2020.
UIFoundation
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: raščlanjivanje zlonamjerne tekstne datoteke moglo bi dovesti do otkrivanja korisničkih podataka
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8761: Renee Trisberg (SpectX)
Unos je ažuriran 10. kolovoza 2020. i 21. srpnja 2021.
Wi-Fi
Dostupno za: macOS Catalina 10.15
Učinak: napadač u dometu Wi-Fi mreže može vidjeti dio mrežnog prometa
Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2019-15126: Milos Cermak (ESET)
Unos je dodan 11. veljače 2020.
Dodatna zahvala
CFNetwork
Željeli bismo zahvaliti Lily Chen (Google) na pomoći.
Find My
Želimo zahvaliti Amr Elseehyju za pomoć.
Unos je dodan 28. srpnja 2020.
Kernel
Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero), Danielu Roethlisbergeru (Swisscom CSIRT) i Jannu Hornu (Google Project Zero) na pomoći.
Unos je ažuriran 6. studenog 2019.
libresolv
Željeli bismo zahvaliti enh (Google) na pomoći.
Local Authentication
Željeli bismo zahvaliti Ryanu Lopopolou na pomoći.
Unos je dodan 11. veljače 2020.
mDNSResponder
Željeli bismo zahvaliti Gregoru Langu (e.solutions GmbH) na pomoći.
Unos je dodan 11. veljače 2020.
Postfix
Željeli bismo zahvaliti Chrius Barkeru (Puppet) na pomoći.
python
Na pomoći zahvaljujemo anonimnom istraživaču.
VPN
Željeli bismo zahvaliti Royceu Gawronu (Second Son Consulting, Inc.) na pomoći.