Zawartość związana z zabezpieczeniami w systemie macOS Catalina 10.15.2, uaktualnieniu zabezpieczeń 2019-002 Mojave oraz uaktualnieniu zabezpieczeń 2019-007 High Sierra.

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Catalina 10.15.2, uaktualnieniu zabezpieczeń 2019-002 Mojave oraz uaktualnieniu zabezpieczeń 2019-007 High Sierra.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

System macOS Catalina 10.15.2, uaktualnienie zabezpieczeń 2019-002 Mojave oraz uaktualnienie zabezpieczeń 2019-007 High Sierra

ATS

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do plików objętych ograniczeniami.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2019-8837: Csaba Fitzl (@theevilbit)

Bluetooth

Dostępne dla: systemu macOS Catalina 10.15

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2019-8853: Jianjun Dai z Qihoo 360 Alpha Lab

CallKit

Dostępne dla: systemu macOS Catalina 10.15

Zagrożenie: połączenia wykonywane za pomocą Siri mogą być inicjowane z użyciem niewłaściwego planu sieci komórkowej na urządzeniach z dwoma aktywnymi planami.

Opis: w mechanizmie obsługi wychodzących połączeń telefonicznych inicjowanych za pomocą Siri występował błąd interfejsu API. Ten błąd naprawiono przez poprawienie procedur obsługi stanu.

CVE-2019-8856: Fabrice TERRANCLE z TERRANCLE SARL

Serwery proxy środowiska CFNetwork

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2019-8848: Zhuo Liang z Qihoo 360 Vulcan Team

CFNetwork

Dostępne dla: systemu macOS Catalina 10.15

Zagrożenie: soba atakująca z uprzywilejowanym dostępem do sieci może być w stanie ominąć zabezpieczenia HSTS dla ograniczonej liczby określonych domen najwyższego poziomu, które wcześniej nie znajdowały się na liście wstępnego wczytywania HSTS.

Opis: naprawiono błąd z konfiguracją przez wprowadzenie dodatkowych ograniczeń.

CVE-2019-8834: Rob Sayre (@sayrer)

CUPS

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: w określonych konfiguracjach osoba atakująca zdalnie może być w stanie przesłać dowolne zadania drukowania.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8842: Niky1235 z China Mobile

CUPS

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8839: Stephan Zeisberg z Security Research Labs

FaceTime

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości wideo przy użyciu usługi FaceTime może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8830: natashenka z Google Project Zero

IOGraphics

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: Mac może się nie blokować od razu po wybudzeniu.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-8851: Vladik Khononov z DoiT International

Jądro

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2019-8833: Ian Beer z Google Project Zero

Jądro

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8828: Cim Stordal z Cognite

CVE-2019-8838: Dr Silvio Cesare z InfoSect

CVE-2019-8847: Apple

CVE-2019-8852: pattern-f (@pattern_F_) z WaCai

libexpat

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: przeprowadzenie analizowania złośliwie spreparowanego pliku XML może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: ten problem rozwiązano przez uaktualnienie do wersji expat 2.2.8.

CVE-2019-15903: Joonun Jang

Notatki

Dostępne dla: systemu macOS Catalina 10.15

Zagrożenie: osoba atakująca zdalnie może nadpisać istniejące pliki.

Opis: poprawiono mechanizm sprawdzania poprawności ścieżek w celu naprawiono błędu analizy składniowej w obsłudze ścieżek katalogowych.

CVE-2020-9782: Allison Husain z UC Berkeley

OpenLDAP

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: liczne błędy w OpenLDAP.

Opis: naprawiono liczne błędy przez uaktualnienie OpenLDAP do wersji 2.4.28.

CVE-2012-1164

CVE-2012-2668

CVE-2013-4449

CVE-2015-1545

CVE-2019-13057

CVE-2019-13565

Zabezpieczenia

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8832: Insu Yun z SSLab w Georgia Tech

tcpdump

Dostępne dla: systemów macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15

Zagrożenie: liczne błędy w bibliotece tcpdump

Opis: naprawiono liczne błędy przez uaktualnienie biblioteki tcpdump do wersji 4.9.3 i biblioteki libpcap do wersji 1.9.1.

CVE-2017-16808

CVE-2018-10103

CVE-2018-10105

CVE-2018-14461

CVE-2018-14462

CVE-2018-14463

CVE-2018-14464

CVE-2018-14465

CVE-2018-14466

CVE-2018-14467

CVE-2018-14468

CVE-2018-14469

CVE-2018-14470

CVE-2018-14879

CVE-2018-14880

CVE-2018-14881

CVE-2018-14882

CVE-2018-16227

CVE-2018-16228

CVE-2018-16229

CVE-2018-16230

CVE-2018-16300

CVE-2018-16301

CVE-2018-16451

CVE-2018-16452

CVE-2019-15166

CVE-2019-15167

Wi-Fi

Dostępne dla: systemów macOS Mojave 10.14.6 i macOS High Sierra 10.13.6

Zagrożenie: osoba atakująca w zasięgu sieci Wi-Fi może być w stanie zobaczyć niewielką ilość ruchu sieciowego.

Opis: w procedurze obsługi przejść pomiędzy stanami występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2019-15126: Milos Cermak z ESET

Dodatkowe podziękowania

Konta

Dziękujemy za pomoc następującym osobom: Allison Husain z UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling z Loughborough University.

Podstawowe dane

Dziękujemy za udzieloną pomoc: natashenka z Google Project Zero.

Finder

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit).

Jądro

Dziękujemy za udzieloną pomoc: Daniel Roethlisberger ze Swisscom CSIRT.