Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Catalina 10.15.1, sigurnosno ažuriranje 2019-001, sigurnosno ažuriranje 2019-006
Objavljeno 29. listopada 2019.
Računi
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: udaljeni napadač može probiti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8787: Steffen Klee (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
Unos ažuriran 11. veljače 2020.
Računi
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: AirDrop prijenosi mogu se neočekivano prihvatiti dok ste u modu Svi
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8796: Allison Husain (UC Berkeley)
Unos dodan 4. travnja 2020.
AirDrop
Dostupno za: macOS Catalina 10.15
Učinak: AirDrop prijenosi mogu se neočekivano prihvatiti dok ste u modu Svi
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8796: Allison Husain (UC Berkeley)
Unos dodan 4. travnja 2020.
AMD
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8748: Lilang Wu i Moony Li (istraživački tim za mobilnu sigurnost, TrendMicro)
Unos dodan 11. veljače 2020.
apache_mod_php
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: veći broj problema u PHP-u
Opis: veći broj problema riješen je ažuriranjem na PHP verziju 7.3.8.
CVE-2019-11041
CVE-2019-11042
Unos dodan 11. veljače 2020.
APFS
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8824: Mac u suradnji s inicijativom Zero Day (Trend Micro)
Unos dodan 11. veljače 2020.
App Store
Dostupno za: macOS Catalina 10.15
Učinak: lokalni napadač može se bez valjanih vjerodajnica prijaviti na račun korisnika koji je već bio prijavljen.
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleGraphicsControl
Dostupno za: macOS Catalina 10.15
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8817: Arash Tohidi
AppleGraphicsControl
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8716: Zhiyi Zhang (tim Codesafe, tvrtka Legendsec, grupa Qi'anxin), Zhuo Liang (tim Vulcan, Qihoo 360)
Povezane domene
Dostupno za: macOS Catalina 10.15
Učinak: neispravno procesiranje URL-a može dovesti do eksfiltriranja podataka
Opis: problem je postojao u raščlanjivanju URL-ova. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8788: Juha Lindstedt (Pakastin), Mirko Tanania, Rauli Rikama (Zero Keyboard Ltd)
Zvuk
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8706: Yu Zhou (Ant-financial Light-Year Security Lab)
Zvuk
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8785: Ian Beer (Google Project Zero)
CVE-2019-8797: 08Tc3wBB i SSD Secure Disclosure
Unos ažuriran 11. veljače 2020.
Zvuk
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: obradom zlonamjerne audiodatoteke može doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8850: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
Unos ažuriran 18. prosinca 2019.
Knjige
Dostupno za: macOS Catalina 10.15
Učinak: raščlanjivanjem zlonamjerne iBooks datoteke može doći do otkrivanja korisničkih podataka
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2019-8789: Gertjan Franken (imec-DistriNet, KU Leuven)
Kontakti
Dostupno za: macOS Catalina 10.15
Učinak: obradom zlonamjernog kontakta može se krivotvoriti korisničko sučelje
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH (to.com))
CoreAudio
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati proizvoljno izvršavanje koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Unos dodan 6. studenog 2019.
CoreAudio
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: obradom zlonamjernog filma može doći do otkrivanja procesne memorije
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2019-8705: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Unos dodan 11. veljače 2020.
CoreMedia
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8825: otkrio GWP-ASan u pregledniku Google Chrome
Unos dodan 11. veljače 2020.
CUPS
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: napadač s administratorskim mrežnim ovlastima mogao je otkriti povjerljive korisničke podatke
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8736: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)
CUPS
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: obrada zlonamjerno izrađenog niza može dovesti do oštećenja hrpe.
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8767: Stephen Zeisberg
CUPS
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.
CVE-2019-8737: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)
File Quarantine
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: zlonamjerne aplikacije mogu dodijeliti ovlasti visokog stupnja
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2019-8509: CodeColorist (Ant-Financial LightYear Labs)
Događaji datotečnog sustava
Dostupno za: macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8798: ABC Research s.r.o. i inicijativa Zero Day (Trend Micro)
Osnove
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8746: Natalie Silvanovich i Samuel Groß (Google Project Zero)
Unos dodan 11. veljače 2020.
Grafika
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: obrada zlonamjernog sjenčanja može dovesti do neočekivanog prekida aplikacije ili svojevoljnog izvršenja koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-12152: Piotr Bania (Cisco Talos)
CVE-2018-12153: Piotr Bania (Cisco Talos)
CVE-2018-12154: Piotr Bania (Cisco Talos)
Upravljački program za grafičku karticu
Dostupno za: macOS Catalina 10.15
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8784: Vasiliy Vasilyev i Ilya Finogeev (Webinar, LLC)
Intelov grafički upravljački program
Dostupno za: macOS Catalina 10.15
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8807: Yu Wang (Didi Research America)
IOGraphics
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8759: drugi iz tima 360 Nirvan
iTunes
Dostupno za: macOS Catalina 10.15
Učinak: pokretanje instalacijskog programa za iTunes u nepouzdanom direktoriju može rezultirati izvršavanjem arbitrarnog koda
Opis: u postavkama iTunes postojao je problem s učitavanjem dinamičke medijateke. To je riješeno poboljšanim pretraživanjem putanje.
CVE-2019-8801: Hou JingYi (@hjy79425575) (Qihoo 360 CERT)
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Unos dodan 11. veljače 2020.
Kernel
Dostupno za: macOS Catalina 10.15
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8794: 08Tc3wBB i SSD Secure Disclosure
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8717: Jann Horn (Google Project Zero)
CVE-2019-8786: Wen Xu (Georgia Tech, stažist istraživačkog tima Microsoft Offensive Security)
Unos ažuriran 18. listopada 2019., ažuriran 11. veljače 2020.
Kernel
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: prilikom rukovanja IPv6 paketima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim upravljanjem memorijom.
CVE-2019-8744: Zhuo Liang (tim Vulcan, Qihoo 360)
Kernel
Dostupno za: macOS Catalina 10.15
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2019-8829: Jann Horn (Google Project Zero)
Unos dodan 6. studenog 2019.
libxml2
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: veći broj problema u medijateci libxml2
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8749: otkrio OSS-Fuzz
CVE-2019-8756: otkrio OSS-Fuzz
libxslt
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: veći broj problema u medijateci libxslt
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8750: otkrio OSS-Fuzz
manpages
Dostupno za: macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: zlonamjerna aplikacija može steći korijenske ovlasti
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2019-8802: Csaba Fitzl (@theevilbit)
PDFKit
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: napadač bi mogao izdvojiti sadržaj šifriranog PDF-a
Opis: postojao je problem u rukovanju vezama u šifriranom PDF-u. Problem je riješen dodavanjem upita za potvrdu.
CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) i Jörg Schwenk (Ruhr University Bochum)
Unos dodan 11. veljače 2020.
PluginKit
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: lokalni korisnik mogao bi provjeriti postojanje proizvoljnih datoteka
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2019-8708: anonimni istraživač
PluginKit
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8715: anonimni istraživač
Poslužitelj za dijeljenje zaslona
Dostupno za: macOS Catalina 10.15
Učinak: korisnik koji dijeli zaslon možda neće moći prekinuti dijeljenje
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8858: Saul van der Bijl (Saul’s Place Counseling B.V.)
Unos dodan 18. prosinca 2019.
Ekstenzije sustava
Dostupno za: macOS Catalina 10.15
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: postojao je problem s provjerom valjanosti u provjeri valjanosti ovlasti. Taj je problem riješen poboljšanom provjerom valjanosti ovlasti za taj postupak.
CVE-2019-8805: Scott Knight (@sdotknight) (VMware Carbon Black TAU)
UIFoundation
Dostupno za: macOS Catalina 10.15
Učinak: zlonamjeran HTML dokument mogao bi obraditi iframes s osjetljivim korisničkim podacima
Opis: u „iframe” elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.
CVE-2019-8754: Renee Trisberg (SpectX)
Unos dodan 24. veljače 2020.
UIFoundation
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-8745: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Unos dodan 11. veljače 2020.
UIFoundation
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8831: riusksk VulWar Corp u suradnji s inicijativom Zero Day (Trend Micro)
Unos dodan 11. veljače 2020.
UIFoundation
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: raščlanjivanje zlonamjerne tekstne datoteke moglo bi dovesti do otkrivanja korisničkih podataka
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8761: PaulosYibelo (Limehats), Renee Trisberg (SpectX)
Unos ažuriran 10. kolovoza 2020.
Wi-Fi
Dostupno za: macOS Catalina 10.15
Učinak: napadač u dometu Wi-Fi mreže može vidjeti dio mrežnog prometa
Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2019-15126: Milos Cermak (ESET)
Unos dodan 11. veljače 2020.
Dodatna zahvala
CFNetwork
Željeli bismo zahvaliti Lily Chen (Google) na pomoći.
Pronalaženje
Želimo zahvaliti Amr Elseehyju za pomoć.
Unos dodan 28. srpnja 2020.
Kernel
Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero), Danielu Roethlisbergeru (Swisscom CSIRT) i Jannu Hornu (Google Project Zero) na pomoći.
Unos ažuriran 6. studenoga 2019.
libresolv
Željeli bismo zahvaliti enh (Google) na pomoći.
Lokalna provjera autentičnosti
Željeli bismo zahvaliti Ryanu Lopopolou na pomoći.
Unos dodan 11. veljače 2020.
mDNSResponder
Željeli bismo zahvaliti Gregoru Langu (e.solutions GmbH) na pomoći.
Unos dodan 11. veljače 2020.
Postfix
Željeli bismo zahvaliti Chrius Barkeru (Puppet) na pomoći.
python
Željeli bismo zahvaliti anonimnom istraživaču za njegovu pomoć.
VPN
Željeli bismo zahvaliti Royceu Gawronu (Second Son Consulting, Inc.) na pomoći.