O sigurnosnom sadržaju sustava macOS Catalina 10.15.1, sigurnosnom ažuriranju 2019-001 i sigurnosnom ažuriranju 2019-006

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Catalina 10.15.1, sigurnosno ažuriranje 2019-001 i sigurnosno ažuriranje 2019-006.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Catalina 10.15.1, sigurnosno ažuriranje 2019-001, sigurnosno ažuriranje 2019-006

Objavljeno 29. listopada 2019.

Računi

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: udaljeni napadač može probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8787: Steffen Klee (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)

Unos ažuriran 11. veljače 2020.

Računi

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: AirDrop prijenosi mogu se neočekivano prihvatiti dok ste u modu Svi

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2019-8796: Allison Husain (UC Berkeley)

Unos dodan 4. travnja 2020.

AirDrop

Dostupno za: macOS Catalina 10.15

Učinak: AirDrop prijenosi mogu se neočekivano prihvatiti dok ste u modu Svi

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2019-8796: Allison Husain (UC Berkeley)

Unos dodan 4. travnja 2020.

AMD

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8748: Lilang Wu i Moony Li (istraživački tim za mobilnu sigurnost, TrendMicro)

Unos dodan 11. veljače 2020.

apache_mod_php

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: veći broj problema u PHP-u

Opis: veći broj problema riješen je ažuriranjem na PHP verziju 7.3.8.

CVE-2019-11041

CVE-2019-11042

Unos dodan 11. veljače 2020.

APFS

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8824: Mac u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 11. veljače 2020.

App Store

Dostupno za: macOS Catalina 10.15

Učinak: lokalni napadač može se bez valjanih vjerodajnica prijaviti na račun korisnika koji je već bio prijavljen.

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Dostupno za: macOS Catalina 10.15

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8716: Zhiyi Zhang (tim Codesafe, tvrtka Legendsec, grupa Qi'anxin), Zhuo Liang (tim Vulcan, Qihoo 360)

Povezane domene

Dostupno za: macOS Catalina 10.15

Učinak: neispravno procesiranje URL-a može dovesti do eksfiltriranja podataka

Opis: problem je postojao u raščlanjivanju URL-ova. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8788: Juha Lindstedt (Pakastin), Mirko Tanania, Rauli Rikama (Zero Keyboard Ltd)

Zvuk

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8706: Yu Zhou (Ant-financial Light-Year Security Lab)

Zvuk

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8785: Ian Beer (Google Project Zero)

CVE-2019-8797: 08Tc3wBB i SSD Secure Disclosure

Unos ažuriran 11. veljače 2020.

Zvuk

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: obradom zlonamjerne audiodatoteke može doći do otkrivanja ograničene memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8850: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)

Unos ažuriran 18. prosinca 2019.

Knjige

Dostupno za: macOS Catalina 10.15

Učinak: raščlanjivanjem zlonamjerne iBooks datoteke može doći do otkrivanja korisničkih podataka

Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2019-8789: Gertjan Franken (imec-DistriNet, KU Leuven)

Kontakti

Dostupno za: macOS Catalina 10.15

Učinak: obradom zlonamjernog kontakta može se krivotvoriti korisničko sučelje

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH (to.com))

CoreAudio

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati proizvoljno izvršavanje koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 6. studenog 2019.

CoreAudio

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: obradom zlonamjernog filma može doći do otkrivanja procesne memorije

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2019-8705: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 11. veljače 2020.

CoreMedia

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8825: otkrio GWP-ASan u pregledniku Google Chrome

Unos dodan 11. veljače 2020.

CUPS

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: napadač s administratorskim mrežnim ovlastima mogao je otkriti povjerljive korisničke podatke

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8736: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)

CUPS

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: obrada zlonamjerno izrađenog niza može dovesti do oštećenja hrpe.

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8767: Stephen Zeisberg

CUPS

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

CVE-2019-8737: Pawel Gocyla iz tvrtke ING Tech Poland (ingtechpoland.com)

File Quarantine

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: zlonamjerne aplikacije mogu dodijeliti ovlasti visokog stupnja

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2019-8509: CodeColorist (Ant-Financial LightYear Labs)

Događaji datotečnog sustava

Dostupno za: macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8798: ABC Research s.r.o. i inicijativa Zero Day (Trend Micro)

Osnove

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8746: Natalie Silvanovich i Samuel Groß (Google Project Zero)

Unos dodan 11. veljače 2020.

Grafika

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: obrada zlonamjernog sjenčanja može dovesti do neočekivanog prekida aplikacije ili svojevoljnog izvršenja koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-12152: Piotr Bania (Cisco Talos)

CVE-2018-12153: Piotr Bania (Cisco Talos)

CVE-2018-12154: Piotr Bania (Cisco Talos)

Upravljački program za grafičku karticu

Dostupno za: macOS Catalina 10.15

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8784: Vasiliy Vasilyev i Ilya Finogeev (Webinar, LLC)

Intelov grafički upravljački program

Dostupno za: macOS Catalina 10.15

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8807: Yu Wang (Didi Research America)

IOGraphics

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8759: drugi iz tima 360 Nirvan

iTunes

Dostupno za: macOS Catalina 10.15

Učinak: pokretanje instalacijskog programa za iTunes u nepouzdanom direktoriju može rezultirati izvršavanjem arbitrarnog koda

Opis: u postavkama iTunes postojao je problem s učitavanjem dinamičke medijateke. To je riješeno poboljšanim pretraživanjem putanje.

CVE-2019-8801: Hou JingYi (@hjy79425575) (Qihoo 360 CERT)

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Unos dodan 11. veljače 2020.

Kernel

Dostupno za: macOS Catalina 10.15

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2019-8794: 08Tc3wBB i SSD Secure Disclosure

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8717: Jann Horn (Google Project Zero)

CVE-2019-8786: Wen Xu (Georgia Tech, stažist istraživačkog tima Microsoft Offensive Security)

Unos ažuriran 18. listopada 2019., ažuriran 11. veljače 2020.

Kernel

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: prilikom rukovanja IPv6 paketima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim upravljanjem memorijom.

CVE-2019-8744: Zhuo Liang (tim Vulcan, Qihoo 360)

Kernel

Dostupno za: macOS Catalina 10.15

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2019-8829: Jann Horn (Google Project Zero)

Unos dodan 6. studenog 2019.

libxml2

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: veći broj problema u medijateci libxml2

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8749: otkrio OSS-Fuzz

CVE-2019-8756: otkrio OSS-Fuzz

libxslt

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: veći broj problema u medijateci libxslt

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8750: otkrio OSS-Fuzz

manpages

Dostupno za: macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: zlonamjerna aplikacija može steći korijenske ovlasti

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: napadač bi mogao izdvojiti sadržaj šifriranog PDF-a

Opis: postojao je problem u rukovanju vezama u šifriranom PDF-u. Problem je riješen dodavanjem upita za potvrdu.

CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) i Jörg Schwenk (Ruhr University Bochum)

Unos dodan 11. veljače 2020.

PluginKit

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: lokalni korisnik mogao bi provjeriti postojanje proizvoljnih datoteka

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2019-8708: anonimni istraživač

PluginKit

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8715: anonimni istraživač

Poslužitelj za dijeljenje zaslona

Dostupno za: macOS Catalina 10.15

Učinak: korisnik koji dijeli zaslon možda neće moći prekinuti dijeljenje

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8858: Saul van der Bijl (Saul’s Place Counseling B.V.)

Unos dodan 18. prosinca 2019.

Ekstenzije sustava

Dostupno za: macOS Catalina 10.15

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: postojao je problem s provjerom valjanosti u provjeri valjanosti ovlasti. Taj je problem riješen poboljšanom provjerom valjanosti ovlasti za taj postupak.

CVE-2019-8805: Scott Knight (@sdotknight) (VMware Carbon Black TAU)

UIFoundation

Dostupno za: macOS Catalina 10.15

Učinak: zlonamjeran HTML dokument mogao bi obraditi iframes s osjetljivim korisničkim podacima

Opis: u „iframe” elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.

CVE-2019-8754: Renee Trisberg (SpectX)

Unos dodan 24. veljače 2020.

UIFoundation

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8745: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 11. veljače 2020.

UIFoundation

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8831: riusksk VulWar Corp u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 11. veljače 2020.

UIFoundation

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: raščlanjivanje zlonamjerne tekstne datoteke moglo bi dovesti do otkrivanja korisničkih podataka

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8761: PaulosYibelo (Limehats), Renee Trisberg (SpectX)

Unos ažuriran 10. kolovoza 2020.

Wi-Fi

Dostupno za: macOS Catalina 10.15

Učinak: napadač u dometu Wi-Fi mreže može vidjeti dio mrežnog prometa

Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2019-15126: Milos Cermak (ESET)

Unos dodan 11. veljače 2020.

Dodatna zahvala

CFNetwork

Željeli bismo zahvaliti Lily Chen (Google) na pomoći.

Pronalaženje

Želimo zahvaliti Amr Elseehyju za pomoć.

Unos dodan 28. srpnja 2020.

Kernel

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero), Danielu Roethlisbergeru (Swisscom CSIRT) i Jannu Hornu (Google Project Zero) na pomoći.

Unos ažuriran 6. studenoga 2019.

libresolv

Željeli bismo zahvaliti enh (Google) na pomoći.

Lokalna provjera autentičnosti

Željeli bismo zahvaliti Ryanu Lopopolou na pomoći.

Unos dodan 11. veljače 2020.

mDNSResponder

Željeli bismo zahvaliti Gregoru Langu (e.solutions GmbH) na pomoći.

Unos dodan 11. veljače 2020.

Postfix

Željeli bismo zahvaliti Chrius Barkeru (Puppet) na pomoći.

python

Željeli bismo zahvaliti anonimnom istraživaču za njegovu pomoć.

VPN

Željeli bismo zahvaliti Royceu Gawronu (Second Son Consulting, Inc.) na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: