Informacije o sigurnosnom sadržaju sustava macOS Catalina 10.15.2, sigurnosnom ažuriranju 2019-002 Mojave i sigurnosnom ažuriranju 2019-007 High Sierra

U ovom se dokumentu opisuje sigurnosni sadržaj sustava macOS Catalina 10.15.2, sigurnosno ažuriranje 2019-002 Mojave i sigurnosno ažuriranje 2019-007 High Sierra.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

macOS Catalina 10.15.2, sigurnosno ažuriranje 2019-002 Mojave, sigurnosno ažuriranje 2019-007 High Sierra

Objavljeno 10. prosinca 2019.

ATS

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: zlonamjerna aplikacija može pristupiti ograničenim datotekama

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Unos ažuriran 18. prosinca 2019.

Bluetooth

Dostupno za: macOS Catalina 10.15

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2019-8853: Jianjun Dai (Alpha Lab, Qihoo 360)

CallKit

Dostupno za: macOS Catalina 10.15

Učinak: pozivi upućeni putem Siri mogu se pokrenuti koristeći pogrešnu mobilnu tarifu na uređaju s dvjema aktivnim tarifama

Opis: postojao je problem s API-jem u rukovanju odlaznim pozivima upućenim putem Siri. Taj je problem riješen poboljšanim rukovanjem stanjem.

CVE-2019-8856: Fabrice TERRANCLE (TERRANCLE SARL)

CFNetwork proxyji

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: aplikacije mogu dobiti veće ovlasti

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8848: Zhuo Liang (tim Vulcan, Qihoo 360)

Unos ažuriran 18. prosinca 2019.

CFNetwork

Dostupno za: macOS Catalina 10.15

Učinak: napadač s mrežnim ovlastima može zaobići HSTS za ograničeni broj određenih vršnih domena koje nisu bile uključene u predučitani popis HSTS-a

Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.

CVE-2019-8834: Rob Sayre (@sayrer)

Unos dodan 3. veljače 2020.

CUPS

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: udaljeni napadač može poslati proizvoljne zadatke ispisa u određenim konfiguracijama

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8842: Niky1235 (China Mobile)

Unos ažuriran 18. prosinca 2019.

CUPS

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: napadač s mrežnim ovlastima mogao bi izazvati napad odbijanja usluge

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8839: Stephan Zeisberg (Security Research Labs)

Unos ažuriran 18. prosinca 2019.

FaceTime

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: obrada zlonamjernog videozapisa putem značajke FaceTime može uzrokovati proizvoljno izvršavanje koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8830: natashenka (Google Project Zero)

Unos ažuriran 18. prosinca 2019.

IOGraphics

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: Mac se možda ne može zaključati odmah po pokretanju

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8851: Vladik Khononov (DoiT International)

Unos dodan 3. veljače 2020.

Kernel

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.

CVE-2019-8833: Ian Beer (Google Project Zero)

Unos ažuriran 18. prosinca 2019.

Kernel

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8828: Cim Stordal (Cognite)

CVE-2019-8838: dr. Silvio Cesare (InfoSect)

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) (WaCai)

libexpat

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: raščlanjivanje zlonamjerne XML datoteke moglo je dovesti do otkrivanja korisničkih podataka

Opis: problem je riješen ažuriranjem medijateke expat na verziju 2.2.8.

CVE-2019-15903: Joonun Jang

Unos ažuriran 18. prosinca 2019.

Napomene

Dostupno za: macOS Catalina 10.15

Učinak: udaljeni napadač može prebrisati postojeće datoteke

Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.

CVE-2020-9782: Allison Husain (UC Berkeley)

Unos je dodan 4. travnja 2020.

OpenLDAP

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: veći broj problema u programu OpenLDAP

Opis: veći broj problema riješen je ažuriranjem na verziju 2.4.28 programa OpenLDAP.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Unos je ažuriran 3. veljače 2020.

Sigurnost

Dostupno za: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8832: Insu Yun (SSLab, Georgia Tech)

tcpdump

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Učinak: veći broj problema u medijateci tcpdump

Opis: veći broj problema riješen je ažuriranjem medijateke tcpdump na verziju 4.9.3 i medijateke libpcap na verziju 1.9.1

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15166

CVE-2019-15167

Unos ažuriran 11. veljače 2020.

Wi-Fi

Dostupno za: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Učinak: napadač u dometu Wi-Fi mreže može vidjeti dio mrežnog prometa

Opis: u rukovanju prijelazima iz jednog stanja u drugo pojavio se logički problem. Problem je riješen poboljšanim upravljanjem stanjem.

CVE-2019-15126: Milos Cermak (ESET)

Unos je dodan 27. veljače 2020.

Dodatna zahvala

Računi

Željeli bismo zahvaliti Allison Husain (UC Berkeley), Kishanu Bagariji (KishanBagaria.com) i Tomu Snellingu (Sveučilište Loughborough) na pomoći.

Unos je ažuriran 4. travnja 2020.

Temeljni podaci

Željeli bismo zahvaliti korisniku natashenka (Google Project Zero) na pomoći.

Finder

Željeli bismo zahvaliti Csabai Fitzlu (@theevilbit) na pomoći.

Unos dodan 18. prosinca 2019.

Kernel

Željeli bismo zahvaliti Danielu Roethlisbergeru (Swisscom CSIRT) na pomoći.

Unos dodan 18. prosinca 2019.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: