Informacije o sigurnosnom sadržaju sustava macOS Catalina 10.15.2, sigurnosnom ažuriranju 2019-002 Mojave i sigurnosnom ažuriranju 2019-007 High Sierra
U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Catalina 10.15.2, sigurnosno ažuriranje 2019-002 Mojave i sigurnosno ažuriranje 2019-007 High Sierra.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
macOS Catalina 10.15.2, sigurnosno ažuriranje 2019-002 Mojave, sigurnosno ažuriranje 2019-007 High Sierra
ATS
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: zlonamjerna aplikacija može pristupiti ograničenim datotekama
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2019-8837: Csaba Fitzl (@theevilbit)
Bluetooth
Dostupno za: macOS Catalina 10.15
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8853: Jianjun Dai (Alpha Lab, Qihoo 360)
CallKit
Dostupno za: macOS Catalina 10.15
Učinak: pozivi upućeni putem Siri mogu se pokrenuti koristeći pogrešnu mobilnu tarifu na uređaju s dvjema aktivnim tarifama
Opis: postojao je problem s API-jem u rukovanju odlaznim pozivima upućenim putem Siri. Taj je problem riješen poboljšanim rukovanjem stanjem.
CVE-2019-8856: Fabrice TERRANCLE (TERRANCLE SARL)
CFNetwork proxyji
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: aplikacije mogu dobiti veće ovlasti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8848: Zhuo Liang (tim Vulcan, Qihoo 360)
CFNetwork
Dostupno za: macOS Catalina 10.15
Učinak: napadač s mrežnim ovlastima može zaobići HSTS za ograničeni broj određenih vršnih domena koje nisu bile uključene u predučitani popis HSTS-a
Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.
CVE-2019-8834: Rob Sayre (@sayrer)
CUPS
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: udaljeni napadač može poslati proizvoljne zadatke ispisa u određenim konfiguracijama
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-8842: Niky1235 (China Mobile)
CUPS
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-8839: Stephan Zeisberg (Security Research Labs)
FaceTime
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: obrada zlonamjernog videozapisa putem značajke FaceTime može uzrokovati proizvoljno izvršavanje koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8830: natashenka (Google Project Zero)
IOGraphics
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: Mac se možda ne može zaključati odmah po pokretanju
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8851: Vladik Khononov (DoiT International)
Kernel
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.
CVE-2019-8833: Ian Beer (Google Project Zero)
Kernel
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8828: Cim Stordal (Cognite)
CVE-2019-8838: dr. Silvio Cesare (InfoSect)
CVE-2019-8847: Apple
CVE-2019-8852: pattern-f (@pattern_F_) (WaCai)
libexpat
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: raščlanjivanje zlonamjerne XML datoteke moglo je dovesti do otkrivanja korisničkih podataka
Opis: problem je riješen ažuriranjem medijateke expat na verziju 2.2.8.
CVE-2019-15903: Joonun Jang
Napomene
Dostupno za: macOS Catalina 10.15
Učinak: udaljeni napadač može prebrisati postojeće datoteke
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2020-9782: Allison Husain (UC Berkeley)
OpenLDAP
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: veći broj problema u programu OpenLDAP
Opis: veći broj problema riješen je ažuriranjem na verziju 2.4.28 programa OpenLDAP.
CVE-2012-1164
CVE-2012-2668
CVE-2013-4449
CVE-2015-1545
CVE-2019-13057
CVE-2019-13565
Sigurnost
Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8832: Insu Yun (SSLab, Georgia Tech)
tcpdump
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15
Učinak: veći broj problema u medijateci tcpdump
Opis: veći broj problema riješen je ažuriranjem medijateke tcpdump na verziju 4.9.3 i medijateke libpcap na verziju 1.9.1
CVE-2017-16808
CVE-2018-10103
CVE-2018-10105
CVE-2018-14461
CVE-2018-14462
CVE-2018-14463
CVE-2018-14464
CVE-2018-14465
CVE-2018-14466
CVE-2018-14467
CVE-2018-14468
CVE-2018-14469
CVE-2018-14470
CVE-2018-14879
CVE-2018-14880
CVE-2018-14881
CVE-2018-14882
CVE-2018-16227
CVE-2018-16228
CVE-2018-16229
CVE-2018-16230
CVE-2018-16300
CVE-2018-16301
CVE-2018-16451
CVE-2018-16452
CVE-2019-15166
CVE-2019-15167
Wi-Fi
Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6
Učinak: napadač u dometu Wi-Fi mreže može vidjeti dio mrežnog prometa
Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.
CVE-2019-15126: Milos Cermak (ESET)
Dodatna zahvala
Računi
Željeli bismo zahvaliti Allison Husain (UC Berkeley), Kishanu Bagariji (KishanBagaria.com) i Tomu Snellingu (Sveučilište Loughborough) na pomoći.
Temeljni podaci
Željeli bismo zahvaliti korisniku natashenka (Google Project Zero) na pomoći.
Finder
Željeli bismo zahvaliti Csabai Fitzlu (@theevilbit) na pomoći.
Kernel
Željeli bismo zahvaliti Danielu Roethlisbergeru (Swisscom CSIRT) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.