Zawartość związana z zabezpieczeniami w systemie macOS Mojave 10.14.4, uaktualnieniu zabezpieczeń 2019-002 High Sierra i uaktualnieniu zabezpieczeń 2019-002 Sierra

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Mojave 10.14.4, uaktualnieniu zabezpieczeń 2019-002 High Sierra i uaktualnieniu zabezpieczeń 2019-002 Sierra.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

System macOS Mojave 10.14.4, uaktualnienie zabezpieczeń 2019-002 High Sierra i uaktualnienie zabezpieczeń 2019-002 Sierra

802.1X

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie przechwycić ruch sieciowy.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-6203: Dominic White z SensePost (@singe)

802.1X

Dostępne dla: systemu macOS High Sierra 10.13.6

Zagrożenie: niezaufany certyfikat serwera Radius może być zaufany.

Opis: w protokole Trust Anchor Management występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2019-8531: anonimowy badacz, zespół QA z SecureW2

Konta

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanego pliku VCF mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

APFS

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: występował błąd logiczny powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2019-8534: Mac w ramach programu Zero Day Initiative firmy Trend Micro

AppleGraphicsControl

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.

CVE-2019-8555: Zhiyi Zhang z 360 ESG Codesafe Team, Zhuo Liang i shrek_wzw z Qihoo 360 Nirvan Team

Bom

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może ominąć kontrolę przeprowadzaną przez funkcję Gatekeeper.

Opis: ten problem rozwiązano przez poprawienie sposobu obsługi metadanych pliku.

CVE-2019-6239: Ian Moorhouse i Michael Trimm

CFString

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanego ciągu znaków mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.

CVE-2019-8516: SWIPS Team z Frifee Inc.

configd

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

Kontakty

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2019-8511: anonimowy badacz

CoreCrypto

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8542: anonimowy badacz

DiskArbitration

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: zaszyfrowany wolumin może zostać odmontowany i zamontowany ponownie przez innego użytkownika bez monitu o podanie hasła.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-8522: Colin Meginnis (@falc420)

FaceTime

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: obraz wideo przedstawiający użytkownika może nie zostać wstrzymany w połączeniu FaceTime, jeśli użytkownik opuści aplikację FaceTime po nadejściu połączenia przychodzącego.

Opis: w procedurze wstrzymywania obrazu wideo w aplikacji FaceTime wstępował błąd. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.

CVE-2019-8550: Lauren Guzniczak z Keystone Academy

FaceTime

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: lokalny atakujący może przeglądać kontakty z ekranu blokady.

Opis: błąd ekranu blokady umożliwiał dostęp do kontaktów na zablokowanym urządzeniu. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2019-8777: Abdullah H. AlJaber (@aljaber) z AJ.SA

Asystent opinii

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.

Opis: usunięto sytuację wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.

CVE-2019-8565: CodeColorist z Ant-Financial LightYear Labs

Asystent opinii

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2019-8521: CodeColorist z Ant-Financial LightYear Labs

Protokół file

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować ujawnienie informacji o użytkowniku.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8906: Francisco Alonso

Sterowniki graficzne

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) i Junzhi Lu z Trend Micro Research w ramach programu Zero Day Initiative firmy Trend Micro, Lilang Wu i Moony Li z Trend Micro

iAP

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8542: anonimowy badacz

IOGraphics

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: komputer Mac może się nie blokować po odłączeniu od monitora zewnętrznego.

Opis: rozwiązano błąd obsługi blokady przez poprawienie mechanizmu obsługi blokady.

CVE-2019-8533: anonimowy badacz, James Eagan z Télécom ParisTech, R. Scott Kemp z MIT i Romke van Dijk z Z-CERT

IOHIDFamily

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2019-8545: Adam Donenfeld (@doadam) z the Zimperium zLabs Team

IOKit

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8504: anonimowy badacz

IOKit SCSI

Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8529: Juwei Lin (@panicaII) z Trend Micro Research w ramach programu Zero Day Initiative firmy Trend Micro

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4448: Brandon Azad

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: osoba atakująca zdalnie może być w stanie zmienić dane o ruchu internetowym

Opis: w procedurze obsługi pakietów IPv6 występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.

CVE-2019-5608: Apple

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.

CVE-2019-8527: Ned Williamson z Google i derrek (@derrekr6)

Jądro

Dostępne dla: systemów macOS Mojave 10.14.3 i macOS High Sierra 10.13.6

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) z Qihoo 360 Vulcan Team

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS Mojave 10.14.3

Zagrożenie: zamontowanie złośliwie spreparowanego udziału sieciowego NFS może doprowadzić do wykonania dowolnego kodu z uprawnieniami systemowymi.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8508: Dr Silvio Cesare z InfoSect

Jądro

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-8514: Samuel Groß z Google Project Zero

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8540: Weibo Wang (@ma1fan) z Qihoo 360 Nirvan Team

Jądro

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-7293: Ned Williamson z Google

Jądro

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-6207: Weibo Wang z Qihoo 360 Nirvan Team (@ma1fan)

CVE-2019-8510: Stefan Esser z Antid0te UG

Jądro

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8547: derrek (@derrekr6)

Jądro

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2019-8525: Zhuo Liang i shrek_wzw z Qihoo 360 Nirvan Team

libmalloc

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: złośliwa aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd z konfiguracją przez wprowadzenie dodatkowych ograniczeń.

CVE-2018-4433: Vitaly Cheptsov

Mail

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości pocztowej może doprowadzić do spreparowania podpisu S/MIME.

Opis: w procedurze obsługi certyfikatów S-MIME występował błąd. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności certyfikatów S-MIME.

CVE-2019-8642: Maya Sigal i Volker Roth z Freie Universität Berlin

Mail

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może przechwycić treść wiadomości e-mail zaszyfrowanej przy użyciu mechanizmu S/MIME.

Opis: w procedurze obsługi zaszyfrowanej poczty występował błąd. Ten błąd naprawiono przez poprawienie izolacji trybu MIME w aplikacji Mail.

CVE-2019-8645: Maya Sigal i Volker Roth z Freie Universität Berlin

Wiadomości

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: użytkownik lokalny może wyświetlić poufne informacje użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2019-8546: ChiYuan Chang

Modem — CCL

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.

CVE-2019-8579: anonimowy badacz

Notatki

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: użytkownik lokalny może wyświetlić zablokowane notatki użytkownika.

Ten problem rozwiązano przez poprawienie procedur zarządzania pamięcią.

CVE-2019-8537: Greg Walker (gregwalker.us)

Oprogramowanie PackageKit

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2019-8561: Jaron Bradley z Crowdstrike

Perl

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: liczne błędy w oprogramowaniu Perl.

Opis: w oprogramowaniu Perl występowało wiele błędów, które zostały naprawione w tym uaktualnieniu.

CVE-2018-12015: Jakub Wilk

CVE-2018-18311: Jayakrishna Menon

CVE-2018-18313: Eiichi Tsukata

Zarządzanie energią

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: w kodzie wygenerowanym przez program MIG występowały liczne błędy walidacji danych wejściowych. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8549: Mohamed Ghannam (@_simo36) z SSD Secure Disclosure (ssd-disclosure.com)

QuartzCore

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwych danych może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-8507: Kai Lu z Fortinet's FortiGuard Labs

Piaskownica

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2019-8618: Brandon Azad

Zabezpieczenia

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2019-8526: Linus Henze (pinauten.de)

Zabezpieczenia

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: złośliwa aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8520: Antonio Groza, brytyjska organizacja National Cyber Security Centre (NCSC)

Zabezpieczenia

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: niezaufany certyfikat serwera Radius może być zaufany.

Opis: w protokole Trust Anchor Management występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2019-8531: anonimowy badacz, zespół QA z SecureW2

Zabezpieczenia

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: niezaufany certyfikat serwera Radius może być zaufany.

Opis: w protokole Trust Anchor Management występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2019-8531: anonimowy badacz, zespół QA z SecureW2

Siri

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie inicjować żądanie funkcji Dyktowanie bez autoryzacji użytkownika.

Opis: w procedurze obsługi żądań dyktowania występował błąd interfejsu API. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.

CVE-2019-8502: Luke Deshotels z uczelni North Carolina State University, Jordan Beichler z uczelni North Carolina State University, William Enck z uczelni North Carolina State University, Costin Carabaș z uczelni University POLITEHNICA of Bucharest i Răzvan Deaconescu z uczelni University POLITEHNICA of Bucharest

Time Machine

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: użytkownik lokalny może wykonywać dowolne polecenia powłoki

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2019-8513: CodeColorist z Ant-Financial LightYear Labs

Obsługa paska Touch Bar

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-8569: Viktor Oreshkin (@stek29)

TrueTypeScaler

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-8517: riusksk z VulWar Corp współpracujący Trend Micro Zero Day Initiative

Wi-Fi

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może modyfikować stan sterownika.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2019-8564: Hugues Anguelkov podczas stażu w Quarkslab

Wi-Fi

Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może modyfikować stan sterownika.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2019-8612: Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt

Wi-Fi

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.

Opis: rozwiązano problem z prywatnością użytkowników przez usunięcie rozgłaszania adresu MAC.

CVE-2019-8567: David Kreitschmann i Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt

xar

Dostępne dla: systemu macOS Mojave 10.14.3

Zagrożenie: przetworzenie złośliwie spreparowanego pakietu może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)

Usługi XPC

Dostępne dla: systemów macOS Sierra 10.12.6, macOS Mojave 10.14.3

Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2019-8530: CodeColorist z Ant-Financial LightYear Labs

Dodatkowe podziękowania

Konta

Dziękujemy za udzieloną pomoc: Milan Stute z Secure Mobile Networking Lab z Technische Universität Darmstadt.

Książki

Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).

Jądro

Następujące osoby otrzymują podziękowania za udzieloną pomoc: Brandon Azad, Brandon Azad z Google Project Zero, Daniel Roethlisberger ze Swisscom CSIRT, Raz Mashat (@RazMashat) z Ilan Ramon High School.

Mail

Następujące osoby otrzymują podziękowania za udzieloną pomoc: Craig Young z Tripwire VERT i Hanno Böck.

Time Machine

Następujące osoby otrzymują podziękowania za udzieloną pomoc: CodeColorist z Ant-Financial LightYear Labs.