Zawartość związana z zabezpieczeniami w systemie macOS Mojave 10.14.4, uaktualnieniu zabezpieczeń 2019-002 High Sierra i uaktualnieniu zabezpieczeń 2019-002 Sierra
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie macOS Mojave 10.14.4, uaktualnieniu zabezpieczeń 2019-002 High Sierra i uaktualnieniu zabezpieczeń 2019-002 Sierra.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
System macOS Mojave 10.14.4, uaktualnienie zabezpieczeń 2019-002 High Sierra i uaktualnienie zabezpieczeń 2019-002 Sierra
802.1X
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może być w stanie przechwycić ruch sieciowy.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-6203: Dominic White z SensePost (@singe)
802.1X
Dostępne dla: systemu macOS High Sierra 10.13.6
Zagrożenie: niezaufany certyfikat serwera Radius może być zaufany.
Opis: w protokole Trust Anchor Management występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.
CVE-2019-8531: anonimowy badacz, zespół QA z SecureW2
Konta
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: przetworzenie złośliwie spreparowanego pliku VCF mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
APFS
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: występował błąd logiczny powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2019-8534: Mac w ramach programu Zero Day Initiative firmy Trend Micro
AppleGraphicsControl
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.
CVE-2019-8555: Zhiyi Zhang z 360 ESG Codesafe Team, Zhuo Liang i shrek_wzw z Qihoo 360 Nirvan Team
Bom
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: złośliwa aplikacja może ominąć kontrolę przeprowadzaną przez funkcję Gatekeeper.
Opis: ten problem rozwiązano przez poprawienie sposobu obsługi metadanych pliku.
CVE-2019-6239: Ian Moorhouse i Michael Trimm
CFString
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: przetworzenie złośliwie spreparowanego ciągu znaków mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd sprawdzania poprawności przez poprawienie logiki sprawdzania.
CVE-2019-8516: SWIPS Team z Frifee Inc.
configd
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Kontakty
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2019-8511: anonimowy badacz
CoreCrypto
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8542: anonimowy badacz
DiskArbitration
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: zaszyfrowany wolumin może zostać odmontowany i zamontowany ponownie przez innego użytkownika bez monitu o podanie hasła.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8522: Colin Meginnis (@falc420)
FaceTime
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: obraz wideo przedstawiający użytkownika może nie zostać wstrzymany w połączeniu FaceTime, jeśli użytkownik opuści aplikację FaceTime po nadejściu połączenia przychodzącego.
Opis: w procedurze wstrzymywania obrazu wideo w aplikacji FaceTime wstępował błąd. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.
CVE-2019-8550: Lauren Guzniczak z Keystone Academy
FaceTime
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: lokalny atakujący może przeglądać kontakty z ekranu blokady.
Opis: błąd ekranu blokady umożliwiał dostęp do kontaktów na zablokowanym urządzeniu. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2019-8777: Abdullah H. AlJaber (@aljaber) z AJ.SA
Asystent opinii
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: usunięto sytuację wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.
CVE-2019-8565: CodeColorist z Ant-Financial LightYear Labs
Asystent opinii
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2019-8521: CodeColorist z Ant-Financial LightYear Labs
Protokół file
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować ujawnienie informacji o użytkowniku.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8906: Francisco Alonso
Sterowniki graficzne
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8519: Aleksandr Tarasikov (@astarasikov), Juwei Lin (@panicaII) i Junzhi Lu z Trend Micro Research w ramach programu Zero Day Initiative firmy Trend Micro, Lilang Wu i Moony Li z Trend Micro
iAP
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8542: anonimowy badacz
IOGraphics
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: komputer Mac może się nie blokować po odłączeniu od monitora zewnętrznego.
Opis: rozwiązano błąd obsługi blokady przez poprawienie mechanizmu obsługi blokady.
CVE-2019-8533: anonimowy badacz, James Eagan z Télécom ParisTech, R. Scott Kemp z MIT i Romke van Dijk z Z-CERT
IOHIDFamily
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2019-8545: Adam Donenfeld (@doadam) z the Zimperium zLabs Team
IOKit
Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8504: anonimowy badacz
IOKit SCSI
Dostępne dla: systemów macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8529: Juwei Lin (@panicaII) z Trend Micro Research w ramach programu Zero Day Initiative firmy Trend Micro
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4448: Brandon Azad
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: osoba atakująca zdalnie może być w stanie zmienić dane o ruchu internetowym
Opis: w procedurze obsługi pakietów IPv6 występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.
CVE-2019-5608: Apple
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: osoba atakująca zdalnie może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.
CVE-2019-8527: Ned Williamson z Google i derrek (@derrekr6)
Jądro
Dostępne dla: systemów macOS Mojave 10.14.3 i macOS High Sierra 10.13.6
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) z Qihoo 360 Vulcan Team
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS Mojave 10.14.3
Zagrożenie: zamontowanie złośliwie spreparowanego udziału sieciowego NFS może doprowadzić do wykonania dowolnego kodu z uprawnieniami systemowymi.
Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8508: Dr Silvio Cesare z InfoSect
Jądro
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8514: Samuel Groß z Google Project Zero
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS Mojave 10.14.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8540: Weibo Wang (@ma1fan) z Qihoo 360 Nirvan Team
Jądro
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-7293: Ned Williamson z Google
Jądro
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-6207: Weibo Wang z Qihoo 360 Nirvan Team (@ma1fan)
CVE-2019-8510: Stefan Esser z Antid0te UG
Jądro
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: osoba atakująca zdalnie może ujawnić zawartość pamięci.
Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8547: derrek (@derrekr6)
Jądro
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2019-8525: Zhuo Liang i shrek_wzw z Qihoo 360 Nirvan Team
libmalloc
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: złośliwa aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd z konfiguracją przez wprowadzenie dodatkowych ograniczeń.
CVE-2018-4433: Vitaly Cheptsov
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości pocztowej może doprowadzić do spreparowania podpisu S/MIME.
Opis: w procedurze obsługi certyfikatów S-MIME występował błąd. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności certyfikatów S-MIME.
CVE-2019-8642: Maya Sigal i Volker Roth z Freie Universität Berlin
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może przechwycić treść wiadomości e-mail zaszyfrowanej przy użyciu mechanizmu S/MIME.
Opis: w procedurze obsługi zaszyfrowanej poczty występował błąd. Ten błąd naprawiono przez poprawienie izolacji trybu MIME w aplikacji Mail.
CVE-2019-8645: Maya Sigal i Volker Roth z Freie Universität Berlin
Wiadomości
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: użytkownik lokalny może wyświetlić poufne informacje użytkownika.
Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.
CVE-2019-8546: ChiYuan Chang
Modem — CCL
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.
CVE-2019-8579: anonimowy badacz
Notatki
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: użytkownik lokalny może wyświetlić zablokowane notatki użytkownika.
Ten problem rozwiązano przez poprawienie procedur zarządzania pamięcią.
CVE-2019-8537: Greg Walker (gregwalker.us)
Oprogramowanie PackageKit
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2019-8561: Jaron Bradley z Crowdstrike
Perl
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: liczne błędy w oprogramowaniu Perl.
Opis: w oprogramowaniu Perl występowało wiele błędów, które zostały naprawione w tym uaktualnieniu.
CVE-2018-12015: Jakub Wilk
CVE-2018-18311: Jayakrishna Menon
CVE-2018-18313: Eiichi Tsukata
Zarządzanie energią
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w kodzie wygenerowanym przez program MIG występowały liczne błędy walidacji danych wejściowych. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8549: Mohamed Ghannam (@_simo36) z SSD Secure Disclosure (ssd-disclosure.com)
QuartzCore
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: przetworzenie złośliwych danych może doprowadzić do nieoczekiwanego zamknięcia aplikacji.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8507: Kai Lu z Fortinet's FortiGuard Labs
Piaskownica
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2019-8618: Brandon Azad
Zabezpieczenia
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2019-8526: Linus Henze (pinauten.de)
Zabezpieczenia
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: złośliwa aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8520: Antonio Groza, brytyjska organizacja National Cyber Security Centre (NCSC)
Zabezpieczenia
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: niezaufany certyfikat serwera Radius może być zaufany.
Opis: w protokole Trust Anchor Management występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.
CVE-2019-8531: anonimowy badacz, zespół QA z SecureW2
Zabezpieczenia
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: niezaufany certyfikat serwera Radius może być zaufany.
Opis: w protokole Trust Anchor Management występował błąd sprawdzania poprawności. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.
CVE-2019-8531: anonimowy badacz, zespół QA z SecureW2
Siri
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie inicjować żądanie funkcji Dyktowanie bez autoryzacji użytkownika.
Opis: w procedurze obsługi żądań dyktowania występował błąd interfejsu API. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności adresów.
CVE-2019-8502: Luke Deshotels z uczelni North Carolina State University, Jordan Beichler z uczelni North Carolina State University, William Enck z uczelni North Carolina State University, Costin Carabaș z uczelni University POLITEHNICA of Bucharest i Răzvan Deaconescu z uczelni University POLITEHNICA of Bucharest
Time Machine
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: użytkownik lokalny może wykonywać dowolne polecenia powłoki
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2019-8513: CodeColorist z Ant-Financial LightYear Labs
Obsługa paska Touch Bar
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8569: Viktor Oreshkin (@stek29)
TrueTypeScaler
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8517: riusksk z VulWar Corp współpracujący Trend Micro Zero Day Initiative
Wi-Fi
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6, macOS Mojave 10.14.3
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może modyfikować stan sterownika.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2019-8564: Hugues Anguelkov podczas stażu w Quarkslab
Wi-Fi
Dostępne dla: systemów macOS Sierra 10.12.6, macOS High Sierra 10.13.6
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może modyfikować stan sterownika.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8612: Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt
Wi-Fi
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.
Opis: rozwiązano problem z prywatnością użytkowników przez usunięcie rozgłaszania adresu MAC.
CVE-2019-8567: David Kreitschmann i Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt
xar
Dostępne dla: systemu macOS Mojave 10.14.3
Zagrożenie: przetworzenie złośliwie spreparowanego pakietu może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2019-6238: Yiğit Can YILMAZ (@yilmazcanyigit)
Usługi XPC
Dostępne dla: systemów macOS Sierra 10.12.6, macOS Mojave 10.14.3
Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2019-8530: CodeColorist z Ant-Financial LightYear Labs
Dodatkowe podziękowania
Konta
Dziękujemy za udzieloną pomoc: Milan Stute z Secure Mobile Networking Lab z Technische Universität Darmstadt.
Książki
Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).
Jądro
Następujące osoby otrzymują podziękowania za udzieloną pomoc: Brandon Azad, Brandon Azad z Google Project Zero, Daniel Roethlisberger ze Swisscom CSIRT, Raz Mashat (@RazMashat) z Ilan Ramon High School.
Następujące osoby otrzymują podziękowania za udzieloną pomoc: Craig Young z Tripwire VERT i Hanno Böck.
Time Machine
Następujące osoby otrzymują podziękowania za udzieloną pomoc: CodeColorist z Ant-Financial LightYear Labs.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.