A macOS Catalina 10.15 biztonsági változásjegyzéke
Ez a dokumentum a macOS Catalina 10.15 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
macOS Catalina 10.15
AMD
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8748: Lilang Wu és Moony Li (Trend Micro Mobile Security Research Team)
apache_mod_php
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A PHP több biztonsági rése.
Leírás: Több hibát elhárítottunk a PHP 7.3.8-as verziójára való frissítéssel.
CVE-2019-11041
CVE-2019-11042
Audio
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8706: Yu Zhou (Ant-Financial Light-Year Security Lab)
Audio
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2019-8850: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
Books
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott iBooks-fájlok elemzésekor folyamatos szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy erőforrásfogyással kapcsolatos hibát.
CVE-2019-8774: Gertjan Franken imec-DistriNet (KU Leuven)
CFNetwork
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2019-8753: Łukasz Pilorz (Standard Chartered GBS Poland)
CoreAudio
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Az ártó szándékkal létrehozott filmek feldolgozása lehetőséget adott a folyamatmemóriához való illetéktelen hozzáférésre.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8705: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CoreAudio
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Egy rosszindulatú hangfájl lejátszása tetszőleges programkód végrehajtására adott lehetőséget.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8592: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CoreCrypto
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Előfordult, hogy nagy mennyiségű bemenet feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2019-8741: Nicky Mouha (NIST)
CoreMedia
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8825: megtaláló: GWP-ASan a Google Chrome-ban
Crash Reporter
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A „Mac elemzés megosztása” beállítás időnként nem volt letiltható, amikor a felhasználó törölte a jelet az analitikai adatok megosztását engedélyező jelölőnégyzetből.
Leírás: Versenyhelyzeti probléma állt fenn a felhasználói beállítások olvasásakor és írásakor. Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2019-8757: William Cerniuk (Core Development, LLC)
CUPS
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A magas hálózati jogosultságú támadók ki tudtak szivárogtatni bizalmas jellegű információkat.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.
CVE-2019-8736: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)
CUPS
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
CVE-2019-8767: Stephen Zeisberg
CUPS
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A magas jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2019-8737: Pawel Gocyla (ING Tech Poland, ingtechpoland.com)
dyld
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8776: Jann Horn (Google Project Zero)
File Quarantine
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.
Leírás: A sebezhető kód eltávolításával hárítottuk el a problémát.
CVE-2019-8509: CodeColorist (Ant-Financial Light-Year Labs)
Foundation
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2019-8746: natashenka és Samuel Groß (Google Project Zero)
Graphics
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A rosszindulatú shaderek feldolgozásakor időnként váratlan alkalmazásleállásra vagy tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.
CVE-2018-12152: Piotr Bania (Cisco Talos)
CVE-2018-12153: Piotr Bania (Cisco Talos)
CVE-2018-12154: Piotr Bania (Cisco Talos)
IOGraphics
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A helyi felhasználók váratlan rendszerleállást tudtak előidézni, illetve olvasni tudták a kernelmemóriát.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2019-8759: another (360 Nirvan Team)
Intel Graphics Driver
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8758: Lilang Wu és Moony Li (Trend Micro)
IOGraphics
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2019-8755: Lilang Wu és Moony Li (Trend Micro)
Kernel
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.
CVE-2019-8703: anonim kutató
Kernel
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Előfordult, hogy a helyi alkalmazások olvasni tudták az állandó fiókazonosítókat.
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.
CVE-2019-8809: Apple
Kernel
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.
Leírás: Memóriasérülési probléma lépett fel az IPv6-csomagok kezelésekor. Hatékonyabb memóriakezeléssel küszöböltük ki a problémát.
CVE-2019-8744: Zhuo Liang (Qihoo 360 Vulcan Team)
Kernel
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8717: Jann Horn (Google Project Zero)
Kernel
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
CVE-2019-8781: Linus Henze (pinauten.de)
libxml2
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A libxml2 motorral kapcsolatos többféle probléma.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.
CVE-2019-8749: megtaláló: OSS-Fuzz
CVE-2019-8756: megtaláló: OSS-Fuzz
libxslt
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A libxslt motorral kapcsolatos többféle probléma.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.
CVE-2019-8750: megtaláló: OSS-Fuzz
mDNSResponder
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Egy fizikailag a közelben lévő támadó passzív módon megfigyelhette a készülékneveket az AWDL-kommunikációk során.
Leírás: A problémát úgy hárítottuk el, hogy a készülékneveket véletlenszerű azonosítóra cseréltük le.
CVE-2019-8799: David Kreitschmann és Milan Stute (Secure Mobile Networking Lab, Technische Universität Darmstadt)
Menus
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8826: megtaláló: GWP-ASan a Google Chrome-ban
Notes
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A helyi felhasználók meg tudták tekinteni egy másik felhasználó zárolt jegyzeteit.
Leírás: A zárolt jegyzetek tartalma néha megjelent a keresési találatok között. Hatékonyabb adattisztítással küszöböltük ki a problémát.
CVE-2019-8730: Jamie Blumberg (@jamie_blumberg; Virginia Polytechnic Institute and State University)
PDFKit
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Előfordult, hogy támadók ki tudták vonni titkosított PDF-fájlok tartalmát.
Leírás: Hibás volt a titkosított PDF-fájlokban található hivatkozások kezelése. Egy megerősítésre felszólító üzenet hozzáadásával küszöböltük ki a problémát.
CVE-2019-8772: Jens Müller (Ruhr University Bochum), Fabian Ising (FH Münster University of Applied Sciences), Vladislav Mladenov (Ruhr University Bochum), Christian Mainka (Ruhr University Bochum), Sebastian Schinzel (FH Münster University of Applied Sciences) és Jörg Schwenk (Ruhr University Bochum)
PluginKit
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Előfordult, hogy a helyi felhasználók ellenőrizni tudták, hogy léteznek-e tetszőleges fájlok.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2019-8708: anonim kutató
PluginKit
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8715: anonim kutató
Sandbox
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni korlátozott fájlokhoz.
Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.
CVE-2019-8855: Apple
SharedFileList
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások hozzá tudtak férni a legutóbbi dokumentumokhoz.
Leírás: Hatékonyabb engedélyezési logikával küszöböltük ki a problémát.
CVE-2019-8770: Stanislav Zinukhov (Parallels International GmbH)
sips
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8701: Simon Huang (@HuangShaomang), Rong Fan (@fanrong1992) és pjf (IceSword Lab, Qihoo 360)
UIFoundation
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Az ártó szándékkal létrehozott szövegfájlok elemzésekor felfedhetők voltak a felhasználói adatok.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2019-8761: Renee Trisberg (SpectX)
UIFoundation
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Az ártó szándékkal létrehozott szövegfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2019-8745: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
UIFoundation
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8831: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor felfedhetők voltak a böngészési előzmények.
Leírás: Hibás volt a weboldalelemek megrajzolása. Hatékonyabb logikával hárítottuk el a problémát.
CVE-2019-8769: Piérre Reimertz (@reimertz)
WebKit
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: Előfordult, hogy a felhasználó nem tudta törölni a böngészési előzményeket.
Leírás: Az „Előzmények és webhelyadatok törlése” funkció nem törölte az előzményeket. Az adattörlés javításával küszöböltük ki a problémát.
CVE-2019-8768: Hugo S. Diaz (coldpointblue)
Wi-Fi
A következőkhöz érhető el: MacBook (2015 eleje és újabb), MacBook Air (2012 közepe és újabb), MacBook Pro (2012 közepe és újabb), Mac mini (2012 vége és újabb), iMac (2012 vége és újabb), iMac Pro (az összes modell), Mac Pro (2013 vége és újabb)
Érintett terület: A készülékek passzív módon nyomon követhetők voltak a Wi-Fi MAC-címük alapján.
Leírás: Egy felhasználói adatvédelmi probléma hárult el a szórási MAC-cím eltávolításával.
CVE-2019-8854: FuriousMacTeam (United States Naval Academy és Mitre Cooperation), Ta-Lun Yen (UCCU Hacker)
További köszönetnyilvánítás
AppleRTC
Köszönjük Vitaly Cheptsov segítségét.
Audio
Köszönjük riusksk (VulWar Corp, a Trend Micro Zero Day Initiative kezdeményezésének közreműködője) segítségét.
boringssl
Köszönjük Nimrod Aviram (Tel Aviv University), Robert Merget (Ruhr University Bochum), Juraj Somorovsky (Ruhr University Bochum), Thijs Alkemade (@xnyhps, Computest) segítségét.
curl
Köszönjük Joseph Barisa (The School District of Philadelphia) segítségét.
Finder
Köszönjük Fitzl Csaba (@theevilbit) segítségét.
Gatekeeper
Köszönjük Fitzl Csaba (@theevilbit) segítségét.
Identity Service
Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.
Kernel
Köszönjük Brandon Azad (Google Project Zero) és Vlad Tsyrklevich segítségét.
Local Authentication
Köszönjük Ryan Lopopolo segítségét.
mDNSResponder
Köszönjük Gregor Lang (e.solutions GmbH) segítségét.
python
Köszönjük egy anonim kutató segítségét.
Safari Data Importing
Köszönjük Kent Zoya segítségét.
Security
Köszönjük Pepijn Dutour Geerling (pepijn.io), egy anonim kutató segítségét.
Simple certificate enrollment protocol (SCEP)
Köszönjük egy anonim kutató segítségét.
Siri
Köszönjük Yuval Ron, Amichai Shulman és Eli Biham (Technion of Israel Institute of Technology) segítségét.
Telephony
Köszönjük Phil Stokes (SentinelOne) segítségét.
VPN
Köszönjük Royce Gawron (Second Son Consulting, Inc.) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.